Si nous connaissons les trajets de Lisa, c'est que, comme des milliers de Belges, elle utilise une ou plusieurs applications – jeux, shopping... – qui enregistrent sa localisation et ses déplacements. Dans le cadre de notre enquête avec plusieurs médias européens, nous avons pu obtenir des centaines de millions de localisations provenant de téléphones en Belgique.
À partir de ces informations, il est généralement possible de localiser précisément un domicile, un lieu de travail, des rendez-vous dans un bar ou des séances de fitness régulières dans des salles de sport. Si l'exemple de Lisa ci-dessus est fictif – pour des raisons évidentes de vie privée –, il illustre ce que nous avons pu observer lors de notre investigation: il est possible de suivre avec précision les trajets et les lieux visités par des propriétaires de smartphone en Belgique, uniquement grâce à des applications mobiles qui enregistrent leurs localisations.
Vous n'avez rien à cacher? Tant mieux, car vos données de localisation peuvent donner accès à un nombre important d'informations sur vos habitudes, qu'elles soient pleinement publiques, privées ou intimes. Des informations, parfois anodines, qui peuvent pourtant se révéler sensibles ou problématiques en fonction de chaque individu.
De nombreux téléphones localisés se retrouvent au sein de sites comme ceux de l'Otan, de la Commission européenne ou de bases militaires belges.
C'est le cas des habitudes d'employés de structures critiques ou sensibles. La mise en ligne de leurs informations personnelles peut constituer une menace pour leur propre sécurité ou celle de l'infrastructure pour laquelle ils travaillent, particulièrement dans un contexte géopolitique actuellement sous tension, où le nombre de cyberattaques et d’intrusions informatiques, russes notamment, ne cessent d’augmenter.
Les principales institutions critiques menacées
Il est ainsi possible de suivre avec précision des téléphones localisés dans les centrales nucléaires de Doel et de Tihange, des prisons de haute sécurité, les quartiers généraux de l'Otan (Organisation du traité de l’Atlantique nord), la Commission européenne ou encore des bases militaires belges, à l'image de celle de Kleine-Brogel dans le Limbourg, censée abriter des armes nucléaires américaines. À travers le traçage des propriétaires de téléphones, les principales institutions et les entreprises critiques situées en Belgique sont potentiellement menacées.
Quartier général, centre politique et administratif.
Grand Quartier général des puissances alliées en Europe, responsable de toutes les opérations militaires de l'Alliance.
Un responsable de l'Otan interrogé par L'Echo confie qu'ils sont "pleinement conscients des risques généraux que la collecte de données par des tiers fait peser sur l'Alliance. Nous avons mis en place des mesures visant à atténuer ces risques". Malgré ces mesures (que l'organisation n'a pas voulu communiquer), plus d'un millier de téléphones ont été localisés au sein de leur quartier général à Evere, ainsi qu'au Grand quartier général des puissances alliées en Europe, situé à Mons.
Engie, opérateur des centrales nucléaires de Doel et de Tihange, indique que "l'appareil connecté [un smartphone, NDLR] n’est pas admis dans les zones nucléaires techniques. Des exceptions existent pour certains appareils connectés requis pour des besoins professionnels".
La Défense, de son côté, se dit aussi consciente du problème: "L’usage du smartphone est prohibé dans l’ensemble des quartiers sensibles de la Défense", tout en nous spécifiant qu'il nous est interdit légalement de publier des cartes de bases militaires, alors que nous y avons recensé des centaines de téléphones actifs.
Après avoir pris connaissance de l'enquête, la Commission a publié de nouvelles consignes à l'intention de son personnel, et en a informé d'autres entités de l'Union.
Un porte-parole de la Commission européenne
De hauts responsables européens identifiés lors de notre enquête
Les informations que nous avons récoltées sont vendues par des courtiers en données (voir plus bas). Ces courtiers rassemblent des données qui proviennent d'applications mobiles, puis les revendent officiellement à des fins marketing ou publicitaires. Ces informations sont censées être "anonymes", ces listes ne comprennent ainsi ni numéros de téléphone, ni noms ou prénoms, c'est vrai. Mais bien un identifiant unique, lié au système d'exploitation d'un téléphone.
"Là où il y a un problème de confidentialité, c'est quand ces courtiers rassemblent des données d'une douzaine d'applications et les mettent en corrélation", nous confie Nviso, spécialiste belge de la cybersécurité. Le couplage d'informations "anonymes" peut alors aboutir à la réidentification et au profilage d'une personne.
Trois hauts responsables travaillant pour l'Union européenne ont été formellement identifiés. Deux ont confirmé que les données recueillies correspondaient bien à leur domicile, lieu de travail et déplacements.
Nous avons d'ailleurs réussi à mettre des noms, des prénoms et à observer des habitudes de vie sur la base des données liées à au moins cinq personnes qui travaillent ou ont travaillé pour l'UE, dont trois qui occupent des postes à haute responsabilité. Deux de ces hauts responsables ont confirmé que les données recueillies correspondaient bien à leur domicile, lieu de travail et déplacements, sans vouloir toutefois apparaître publiquement dans notre article. Les autres personnes identifiées n'ont pas répondu à nos sollicitations, mais les données du troisième haut fonctionnaire européen, couplées à l'ensemble de ses traces numériques (réseaux sociaux et autres sites accessibles au public), confirment bel et bien son identité.
Principal organe exécutif de l'UE
La Commission européenne se dit "préoccupée par le commerce" de ce type de données et parle de "conclusions inquiétantes", concernant notre investigation. "Après avoir pris connaissance de l'enquête, la Commission a publié de nouvelles consignes à l'intention de son personnel concernant les paramètres de suivi publicitaire sur les appareils professionnels et privés, et en a informé d'autres entités de l'Union."
Alors qu'il "fait des efforts pour éviter ce type de suivi", un journaliste de L'Echo fait aussi partie des personnes présentes dans notre jeu de données. Il a été identifié à partir de son adresse privée. Si certaines de ses données étaient fausses, nous avions tout de même accès aux lieux visités lors de ses vacances en famille, mais aussi à d'autres endroits fréquentés au quotidien. "Je savais que j'étais suivi et que mes données étaient utilisées. Mais je ne savais pas qu'elles pouvaient être vendues comme ça."
Le business des fournisseurs de données
Pour obtenir ces informations, nous avons visité un répertoire en ligne qui met en relation des fournisseurs de données et des clients potentiels. Les données proposées sont très variées: contact de millions d'entreprises américaines, consommation électrique des ménages en temps réel, mais aussi des informations plus personnelles: des listes détaillées de profils LinkedIn, des adresses e-mail et de numéros de téléphone, et... des données de localisation. Un des courtiers propose, par exemple, des données de ce type provenant du monde entier et concernant plus de 330 millions de téléphones sur un historique de cinq ans.
De 24.000 à 60.000 dollars.
C'est ce qu'il faut payer, par an, pour obtenir des données actualisées de centaines de milliers de localisations de téléphones en Belgique.
Contactées sous l'identité d'une entreprise spécialisée dans le marketing (voir encadré) afin d'obtenir les données, plusieurs compagnies américaines ont répondu à nos questions lors de visioconférences. "Est-ce légal?", s'aventure-t-on. "Oui, les utilisateurs ont donné leur consentement pour l'utilisation de leurs données".
Après plusieurs échanges, nous recevons un échantillon gratuit couvrant une période de deux semaines et contenant plus d'un million de téléphones. Le prix pour obtenir des données actualisées en Belgique varie de 24.000 dollars à 60.000 dollars par an, selon les entreprises. Ils peuvent fournir, par jour, 500.000 à 700.000 téléphones tracés.
Des données loin d'être anonymes
"Est-ce anonyme?", demande-t-on au courtier, "Oui, mais pas vraiment", nous répond l'un d'entre eux, sourire aux lèvres. Vincent Blondel, professeur de mathématiques appliquées et actuel président du Sénat (Les Engagés) ainsi que Yves-Alexandre de Montjoye, professeur de mathématiques appliquées et informatique à l'Imperial College, ont travaillé sur la désanonymisation de ce type de données il y a plus d'une dizaine d'années.
Ils démontrent qu'à partir de la localisation d'une précision approximative (une personne dans un rayon d'un kilomètre carré), il suffit de connaître quatre éléments d'informations sur cette personne (domicile, travail...) pour avoir 95% de chance de la retrouver dans une base de données anonymisée. Avec la précision de nos données téléphoniques (latitude et longitude), "deux informations seulement permettront de réidentifier quelqu'un", nous confie Vincent Blondel, preuve de la non-anonymisation de tels points géolocalisés rassemblés.
Avec la précision de nos données téléphoniques (latitude et longitude), "deux informations seulement permettront de réidentifier quelqu'un.
Vincent Blondel, professeur de mathématiques appliquées et actuel Président du Sénat
"Cette possible divulgation de la trajectoire complète d’un téléphone mobile est très interpellante et l’utilisation de ces données doit être strictement contrôlée. Mais interdire tout usage de ces données empêcherait aussi le développement d’applications positives, comme retrouver des personnes après un tremblement de terre, par exemple". Trouver le point d'équilibre entre la possibilité d'utiliser ces données à des fins positives et les préoccupations légitimes en matière de protection de la vie privée est un défi qui doit faire l'objet d'un débat public, selon ces chercheurs.
Yves-Alexandre de Montjoye mentionne aussi plusieurs cas pratiques et positifs rendus possibles grâce aux statistiques issues de données de localisation: "prévenir la diffusion de la malaria ou améliorer les infrastructures de transport selon les déplacements réels". Cependant, "ceux-ci ne justifient pas de traiter les données de cette manière surtout que des solutions solides de protection de la vie privée existent pour utiliser ses données de manière réellement anonymes."
Comment les données de votre téléphone s'envolent-elles?
Depuis 2022, les applications du Google Play Store sont tenues de divulguer les données collectées et leur finalité. Ainsi, un bref coup d'œil à certaines applications de poker, de jeux militaires ou de dominos téléchargées des millions de fois montrent, en effet, qu'elles peuvent partager "avec d'autres entreprises ou organisations" des informations comme la position exacte ou l'historique des achats à des fins de "publicité ou de marketing". L'App Store d'Apple communique lui aussi pour chaque application les données liées à votre identité qui peuvent être collectées.
À l'utilisateur de faire attention? Hélas, pas seulement. Une analyse réalisée par les médias partenaires de cette enquête révèle des centaines d'informations inexactes sur le Google Play Store. Au moins 756 applications Android analysées ont accès à la localisation précise, mais ne la mentionnent pas dans la section "Sécurité des données". Google propose donc une transparence uniquement basée sur la véracité des informations transmises par les développeurs eux-mêmes. Ceux-ci sont "responsables des informations divulguées", écrit Google, agitant le bâton de mesures coercitives en cas de non-respect des règles.
Le chemin qu'empruntent les données depuis l'utilisation du téléphone jusqu'aux databrokers est complexe et opaque. Il peut se faire de plusieurs manières. D'abord, via des SDK, ces outils ou bibliothèques externes que les développeurs utilisent pour créer des applications. Une application météo peut utiliser un SDK de géolocalisation, qui va pouvoir collecter et revendre vos informations.
Enfin, via un système d'appel d’enchères en temps réel qui propose un espace publicitaire personnalisé sur lequel les annonceurs choisissent ou non d'afficher une publicité, en fonction de votre profil de consommateur (centres d'intérêt, emplacement...). Ils obtiennent alors une mine d'informations sur vous, des informations prêtes à être stockées ou revendues.
Certaines données de géolocalisation approximatives obtenues par nos confrères allemands provenaient de l'application du journal Le Monde. Pourtant, les services informatique et juridique du journal français ont confirmé l'absence de lien direct avec des courtiers, démontrant un possible détournement des données par un des acteurs de la chaîne publicitaire. Un système opaque qui rend impossible la maîtrise et la traçabilité du partage de ses données personnelles.
Le RGPD est-il respecté?
L'Europe a mis en place des garde-fous pour encadrer globalement la protection des données, comme le RGPD. Selon l'Autorité de protection des données en Belgique, qui veille à l’application de ce règlement, le consentement est une base légale possible pour la revente de données. Mais celui-ci doit remplir certaines conditions, comme le fait que "l’utilisateur doit être informé de manière préalable de quelles données sont traitées, par qui et pour quoi, et ce de manière claire".
Il semble peu certain que les personnes que nous avons identifiées aient bien été informées en jouant sur une application de poker. L'APD rappelle aussi que les clients qui achètent des données aux databrokers "doivent prendre toutes les mesures nécessaires pour s’assurer que le consentement des personnes concernées a valablement été collecté".
La Commission européenne, de son côté, rejette la responsabilité sur les autorités nationales de protection des données "afin de déterminer si les lois de l'UE en matière de protection des données ont été enfreintes". Les collecteurs de données semblent en tout cas jouer avec les angles morts du RGPD et regorgent de créativité pour le contourner à leur façon.
En complément avec le RGPD, le DSA (Digital Services Act), élargi à l’ensemble des acteurs du web sur le marché européen en 2024, permet de surveiller, sanctionner et contraindre les applications à respecter les droits fondamentaux des utilisateurs en matière de données personnelles. Le fait qu'une application partage systématiquement une information personnelle sans la déclarer pourrait constituer un manquement à certaines obligations de transparence du DSA, et nécessiterait de la part de leur service d'entreprendre les démarches nécessaires.
Comment avons-nous travaillé?
Afin d'obtenir les données auprès des courtiers, nous avons prétendu travailler pour une entreprise de marketing.
La méthode dite du "journalisme undercover" est encadrée par le code de déontologie journalistique, dans l'article 17. Il stipule qu'un journaliste peut recourir à ce genre de méthode si "l’information recherchée est d’intérêt général et revêt de l’importance pour la société", qu'"il est impossible de se procurer l’information par d’autres moyens", que "les risques encourus par les journalistes et par des tiers restent proportionnés au résultat recherché" et que les "méthodes utilisées sont autorisées ou, le cas échéant, validées par la rédaction en chef".
Nous avons reçu un échantillon de données gratuit. Nous avons ensuite fusionné ces informations avec un autre jeu de données récoltées par Netzpolitik.org et les chaînes publiques allemandes (BR / ARD) pour atteindre 2,6 millions d'identifiants uniques de téléphone.
Merci à Mathieu Le Boudec, juriste à Mediafin (éditeur de L'Echo), pour son temps, son écoute et ses conseils.
Merci à (Danke an) Katharina Brunner, journaliste/développeuse à la radiodiffusion publique allemande (BR / ARD) de nous avoir permis d'accéder à leur outil d'exploration de ce type de données, qui a inspiré notre propre outil maison.
Cette investigation a été menée par Nicolas Baudoux et Benjamin Verboogen (L'Echo), Martin Untersinger et Damien Leloup (Le Monde), Lisanne Wichgers et Bart Rijswijk (BNR), Sebastian Meineck, Ingo Dachwitz, Anna Biselli et Maximilian Henning (Netzpolitik.org).
Les données utilisées dans notre exemple sur Lisa sont fictives et purement illustratives.