Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone,

C'est une industrie énorme, mais très peu connue du grand public et non réglementée

La collecte des données personnelles des utilisateurs de smartphones ne sert pas seulement à améliorer leur expérience ; au contraire, une grande industrie clandestine s'est développée autour de cette pratique et permet aux entreprises qui le font d'engranger des milliards de dollars chaque année. Les données de géolocalisation des utilisateurs représentent à elles seules un marché d'environ 12 milliards de dollars par an. Il a été identifié pas moins de 47 entreprises qui récoltent, vendent ou échangent les données de géolocalisation de téléphones mobiles.

Les données de localisation : une manne financière très précieuse

Ces affirmations sont les conclusions d'un rapport publié récemment par The Markup, une organisation américaine à but non lucratif basée à New York. Elle a vu le jour en 2018 dans le but de se concentrer sur le journalisme basé sur les données personnelles, couvrant l'éthique et l'impact de la technologie sur la société. Le document révèle les structures obscures qui permettent aux données de géolocalisation que les utilisateurs génèrent à partir d'applications de finir par être partagées avec toutes sortes d'acteurs inattendus, en violation flagrante de notre vie privée. Il fouille dans le quotidien de ces entreprises et ressort des pratiques inédites.

L'équipe de recherche a rapporté que le marché des données de localisation, estimé à 12 milliards de dollars, compte de nombreux acteurs : collecteurs, agrégateurs, places de marché et sociétés de renseignement géographique, qui se vantent tous de l'ampleur et de la précision des données qu'ils ont accumulées. Par exemple, la société de géolocalisation Near se décrit comme le plus grand ensemble de données au monde sur le comportement des gens dans le monde réel, avec des données représentant 1,6 milliard de personnes dans 44 pays. Mobilewalla se vante d'avoir dans plus de 40 pays, plus de 1,9 milliard d'appareils.


Le site Web de X-Mode affirme que ses données couvrent plus de 25 % de la population adulte des États-Unis chaque mois. Au total, The Markup a identifié 47 acteurs dans l'industrie des données de localisation. Et bien que cette liste soit loin d'être exhaustive, l'équipe de recherche a déclaré qu'elle commence toutefois à brosser un tableau des acteurs interconnectés qui font tout, depuis la fourniture de code aux développeurs d'applications pour monétiser les données des utilisateurs jusqu'à l'offre d'analyses à partir de "1,9 milliard d'appareils" et l'accès à des ensembles de données sur des centaines de millions de personnes.

Sur les 47 entreprises, six ont revendiqué plus d'un milliard d'appareils dans leurs données, et au moins quatre ont affirmé que leurs données étaient les "plus précises" du secteur. L'ampleur de la pratique en intrigue certains. « Il n'y a pas assez de transparence et il y a une toile d'ombre vraiment, vraiment complexe d'interactions entre ces entreprises qu'il est difficile de démêler. Elles fonctionnent sur le fait que le grand public et les personnes à Washington et dans d'autres centres de réglementation ne prêtent pas attention à ce qu'elles font », a déclaré Justin Sherman, chargé de la cyberpolitique au Duke Tech Policy Lab.

En outre, le rapport ajoute qu'une fois collectées, ces données sont vendues et utilisées de façon anarchique ; il suffit que l'acheteur paie pour les avoir. Parmi les cas d'utilisations les plus inédits signalés par le rapport, un média catholique a également utilisé les données de localisation d'un fournisseur de données pour démasquer un prêtre qui avait fréquenté des bars gays, mais l'on ignore encore aujourd'hui quelle entreprise a vendu ces informations.

Le rapport montre comment des applications de toutes sortes, de la simple application météo à celles que nous utilisons pour faire de l'exercice, pour la mobilité urbaine, pour la photographie et bien plus encore, font partie d'un vaste marché dans lequel nos données sont échangées à notre insu. Les contrôles des applications récemment introduits par Apple dans le système d'exploitation de ses appareils ont quelque peu amélioré la situation, mais elle est encore loin d'être maîtrisée.

Comment vos données personnelles quittent-elles votre téléphone ?

Plusieurs entreprises promettent que la protection de la vie privée est au cœur de leurs activités et qu'elles veillent à ne jamais vendre de données qui permettent de remonter jusqu'à une personne. Mais selon le rapport, des chercheurs qui étudient les données de localisation anonymes ont montré à quel point cette affirmation peut être trompeuse. En réalité, il est difficile de connaître toutes les façons dont vos mouvements sont suivis et échangés. Les entreprises révèlent souvent peu de choses sur les applications qui servent de sources aux données qu'elles collectent, sur la nature exacte de ces données et sur la distance qu'elles parcourent.

Pour dresser un tableau de l'écosystème, l'équipe a examiné les sites Web et le langage marketing de chacune des 47 entreprises qu'elle a identifiées comme opérant sur le marché des données de localisation, ainsi que toutes les informations qu'elles ont révélées sur la façon dont elles obtiennent ces données. Premièrement, le rapport note que la plupart du temps, le pipeline des données de localisation commence entre vos mains, lorsqu'une application envoie une notification demandant la permission d'accéder à vos données de localisation. Selon le rapport, les applications ont toutes sortes de raisons d'utiliser votre localisation.

Les applications de cartographie ont besoin de savoir où vous êtes pour vous indiquer le chemin à suivre. Une application de météo, de vagues ou de vent vérifie votre position pour vous donner des informations météorologiques pertinentes. Une application de streaming vidéo vérifie où vous êtes pour s'assurer que vous vous trouvez dans un pays où elle est autorisée à diffuser certaines émissions. Mais à l'insu de la plupart des utilisateurs, certaines de ces applications vendent ou partagent les données de localisation de leurs utilisateurs avec des entreprises qui analysent ces données et vendent leurs informations, comme Advan Research.

D'autres entreprises, comme Adsquare, achètent ou obtiennent les données de localisation des applications dans le but de les agréger à d'autres sources de données. Des entreprises telles que des sociétés immobilières, des fonds spéculatifs et des commerces de détail peuvent ensuite transformer et utiliser ces données à des fins publicitaires, analytiques, de stratégie d'investissement ou de marketing. L'équipe a déclaré qu'il est difficile de savoir quelles applications collectent telles données et que les entreprises qui font ce commerce sont réticentes à partager les applications qui leur fournissent des données.

Selon Serge Egelman, chercheur à l'International Computer Science Institute de l'UC Berkeley et directeur technique d'AppCensus, qui a mené des recherches sur les autorisations de données sensibles sur les applications mobiles, il est difficile de dire quelles applications sur votre téléphone utilisent simplement les données à des fins fonctionnelles et quelles sont celles qui libèrent vos données dans l'éther économique. Par exemple, Adsquare et Cuebiq ont déclaré qu'elles ne divulguent pas publiquement les applications dont elles obtiennent les données de localisation afin de conserver un avantage concurrentiel.

« Lorsque l'application demande la localisation, sur le moment, parce que vous avez peut-être cliqué sur le bouton pour trouver des choses près de chez vous et que vous obtenez une boîte de dialogue d'autorisation, vous pouvez en déduire que "Oh, c'est pour répondre à cette demande et fournir cette fonctionnalité", mais il n'y a aucune garantie de cela. Et il n'y a certainement jamais de divulgation indiquant que les données vont être limitées à cette fin », a déclaré Egelman. Adsquare et Cuebiq ont toutefois maintenu que leur processus de collecte était transparent et avec le consentement clair des utilisateurs d'applications.

Un petit tour sur le marché des données de géolocalisation

Le rapport indique qu'une fois que les données de géolocalisation d'une personne ont été collectées à partir d'une application et qu'elles sont entrées sur le marché des données de localisation, elles peuvent être vendues encore et encore, des fournisseurs de données à un agrégateur qui revend des données issues de diverses sources. En outre, elles peuvent se retrouver entre les mains d'une société de "géo-intelligence" qui utilise les données brutes pour analyser le trafic piétonnier dans les zones commerciales et les données démographiques associées à ses visiteurs. Elles peuvent également être achetées par un fonds spéculatif.


Ce dernier peut les analyser pour connaître combien de personnes se rendent dans un certain magasin. « Il y a les agrégateurs de données qui collectent les données privées de plusieurs applications et les vendent en gros. Et ensuite, il y a les sociétés d'analyse qui achètent des données soit aux agrégateurs, soit aux applications, et qui effectuent l'analyse. Et tout le monde vend à tout le monde », explique Tsiounis d'Advan Research. Selon le document, certaines places de marché de données font partie d'entreprises bien connues, comme AWS Data Exchange d'Amazon ou Data Marketplace d'Oracle.

Ces entreprises vendent tous les types de données, et pas seulement des données de localisation. Le rapport note qu'Oracle se targue d'être la "plus grande place de marché de données tierces au monde" pour la publicité ciblée, tandis qu'Amazon prétend "faciliter la recherche, la souscription et l'utilisation de données tierces dans le cloud". Ces deux places de marché contiennent des listes pour plusieurs des entreprises de données de localisation que l'équipe a examinées. D'autres entreprises, comme Narrative, affirment qu'elles mettent simplement en relation les acheteurs et les vendeurs de données en fournissant une plateforme.

Le site Web de Narrative, par exemple, cite des fournisseurs de données de géolocalisation comme SafeGraph et Complementics parmi ses 17 fournisseurs, avec plus de deux milliards d'identifiants publicitaires mobiles à acheter. « Pour donner une idée de l'ampleur du secteur, Amass Insights compte 320 fournisseurs de données de géolocalisation dans son annuaire. Bien que la société ne collecte ni ne vende directement aucune donnée, les fonds spéculatifs la paient pour les guider à travers la myriade de sociétés de données de localisation », a déclaré Jordan Hauer, le PDG de la société.

« La partie la plus inefficace de tout le processus n'est en fait pas la livraison des données. Il s'agit en fait de trouver ce que vous cherchez et de vous assurer qu'il est conforme, qu'il a de la valeur et qu'il est exactement ce que le fournisseur dit qu'il est », a ajouté Hauer. En ce qui concerne les cas d'utilisation de ces données, le rapport indique qu'il en existe des centaines, mais qu'ils sont difficiles à recenser. À titre d'exemple, les données de la société Thasos Group, spécialisée dans le renseignement géographique, ont été utilisées pour mesurer le nombre de travailleurs qui font des heures supplémentaires dans les usines Tesla.

Les restaurants de fast-food et d'autres entreprises sont connus pour acheter ces données à des fins publicitaires jusqu'aux pas d'une personne. Par exemple, en 2018, Burger King a organisé une promotion dans laquelle, si le téléphone d'un client se trouvait à moins de 182 mètres d'un McDonald's, l'application Burger King permettait à l'utilisateur d'acheter un Whopper pour un centime.

Le prix des services liés à la géolocalisation peut grimper rapidement

Parmi les entreprises de données de localisation examinées par The Markup, les offres sont diverses. Advan Research, par exemple, utilise des données de localisation historiques pour indiquer à ses clients, principalement des commerces de détail, d'où viennent leurs visiteurs, et fait des suppositions sur leurs revenus, leur race et leurs intérêts en fonction des endroits où ils sont allés. D'autres combinent les données de géolocalisation qu'ils obtiennent avec d'autres données recueillies à partir de vos activités en ligne. Complementics propose des données de localisation associées à des données interappareils pour le ciblage des publicités mobiles.

Outlogic (anciennement connu sous le nom de X-Mode) propose une licence pour un ensemble de données de localisation intitulé "Cyber Security Location data" sur Datarade pour 240 000 dollars par an. L'annonce indique que "les données de localisation précises et granulaires d'Outlogic sont collectées directement à partir du GPS d'un appareil mobile". Pour l'instant, il existe peu ou pas de règles limitant qui peut acheter vos données. Les lois existantes en matière de protection de la vie privée, comme la loi californienne sur la protection de la vie privée des consommateurs ou le RGPD, ne limitent pas l'achat de données.

Le RGPD (règlement général sur la protection des données) de l'Union européenne impose des exigences plus strictes en matière de notification aux utilisateurs lorsque leurs données sont traitées ou transférées. Mais Ashkan Soltani, expert en protection de la vie privée et ancien technologue en chef de la Federal Trade Commission (FTC) des États-Unis, a expliqué qu'il n'est pas réaliste d'attendre des clients qu'ils traquent les entreprises et insistent pour qu'elles suppriment leurs données personnelles. « Nous savons dans la pratique que les consommateurs ne prennent pas de mesures », a-t-il déclaré.

« Il est incroyablement taxant de se retirer de centaines de courtiers en données dont vous n'avez jamais entendu parler », a-t-il ajouté. Selon Egelman d'AppCensus, les entreprises comme Apple et Google, qui détiennent et contrôlent l'accès aux magasins d'applications, sont les mieux placées pour contrôler le marché des données de localisation. « Le véritable danger est que l'application soit retirée de la boutique Google Play ou de la boutique d'applications iOS. En conséquence, votre entreprise perd de l'argent », a déclaré Egelman. Cependant, le rapport ne relate aucun effort dans ce sens de la part de ces deux géants technologiques.

Google et Apple ont tous deux récemment interdit aux développeurs d'applications d'utiliser les SDK de rapports de localisation de plusieurs sociétés de données. Les chercheurs ont toutefois constaté que les SDK de ces sociétés étaient toujours présents dans la boutique d'applications de Google. Selon le rapport, la protection de la vie privée numérique est une question politique essentielle pour le sénateur américain Ron Wyden, un démocrate de l'Oregon, qui a déclaré à The Markup que les grands magasins d'applications devaient en faire plus.

« C'est une bonne initiative de la part de Google, mais eux et Apple doivent faire plus que jouer au jeu de la taupe avec les applications qui vendent les informations de localisation des Américains. Ces entreprises ont besoin d'un véritable plan pour protéger la vie privée et la sécurité des utilisateurs contre ces applications malveillantes », a déclaré Wyden dans un courriel.

Source : The Markup

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de cette pratique généralisée de collecte de données ?
Pensez-vous que les gens ont un moyen d'échapper à cette intrusion dans leur vie privée ?
Votre organisation fait-elle appel à ces courtiers de données pour ses activités ? Si oui, pourquoi ?
Pensez-vous qu'on peut réglementer un tel marché ? Si oui, quelles approches de solution proposez-vous ?

Voir aussi

Atteinte à la vie privée et rencontres en ligne : en France, 10 % des utilisateurs d'applications de rencontre ont été victimes de divulgation de données personnelles (doxing), selon Kaspersky

« Le plan de surveillance des appareils d'Apple est une menace pour la vie privée des utilisateurs - et la liberté de la presse », prévient la Freedom of the Press Association

La Californie adopte une loi sur la protection de la vie privée qui rendra plus difficile pour Facebook et Google de suivre les utilisateurs et de recueillir leurs données personnelles

Amazon est confronté à un problème de protection de vie privée pour sa fonction Sidewalk, qui transforme les appareils Alexa en réseaux Wi-Fi de quartier, que les propriétaires doivent désactiver

Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG