Votre téléphone vend votre localisation — voici l'industrie qui en profite

Votre téléphone sait où vous dormez, où vous travaillez, quel médecin vous consultez, quel lieu de culte vous fréquentez, à quels rassemblements politiques vous assistez et quels bars vous fermez le vendredi soir. Ces informations — issues du signal GPS émis par votre téléphone, des réseaux Wi-Fi auxquels il se connecte et des beacons Bluetooth qu'il détecte — sont collectées par les applications sur votre appareil, agrégées par des courtiers en données, conditionnées en ensembles de données de mobilité et vendues à des acheteurs que vous ne rencontrerez jamais, à des fins dont vous n'avez jamais été informé.

Ce n'est pas une préoccupation hypothétique en matière de confidentialité. C'est une industrie active de plusieurs milliards de dollars qui fonctionne à l'échelle commerciale depuis environ 2015 et qui touche les données de la plupart des utilisateurs de smartphones aux États-Unis, en Europe et dans de nombreuses autres régions. Comprendre comment elle fonctionne, qui en profite et ce qui — si quelque chose — peut être fait à ce sujet nécessite de regarder au-delà du langage rassurant des boîtes de dialogue d'autorisation des applications vers l'infrastructure que ces autorisations alimentent.

Comment les données de localisation sont collectées

Le mécanisme de collecte principal est le modèle SDK (Software Development Kit). Les sociétés de courtage de données de localisation fournissent des SDK gratuits aux développeurs d'applications — des bibliothèques de code qui gèrent des fonctions telles que les analyses, l'attribution publicitaire ou les données météorologiques. En échange, le SDK collecte les signaux de localisation de chaque utilisateur de l'application et les renvoie aux serveurs du courtier. Le développeur de l'application obtient des outils d'analyse gratuits ; le courtier obtient les données de localisation de la base d'utilisateurs de l'application.

L'ampleur du déploiement des SDK est stupéfiante. SafeGraph, l'un des plus grands courtiers en données de localisation américains avant sa fusion avec Placekey et son changement de marque en 2022, collectait des données à partir de SDK intégrés dans plus de 45 millions d'applications. Veraset, Foursquare, X-Mode (désormais Outlogic), Unacast et des dizaines d'acteurs plus petits exploitent des réseaux SDK similaires. Le déploiement chevauchant de multiples réseaux SDK signifie que la localisation d'un seul utilisateur de smartphone peut être simultanément collectée par cinq courtiers en données distincts ou plus à travers différentes applications qu'il a installées.

Les données de localisation collectées sont généralement des coordonnées GPS horodatées — latitude, longitude et horodatage — capturées à des intervalles allant de quelques secondes à quelques minutes lorsque l'application est utilisée ou fonctionne en arrière-plan. Au fil des mois et des années, cela produit un historique de déplacement plus révélateur que la présence de la plupart des gens sur les réseaux sociaux : il montre non pas ce que quelqu'un dit faire, mais ce qu'il fait réellement, de manière cohérente, dans le temps.

À quoi les données sont vendues

Les utilisations des données de localisation commerciales sont plus variées que la plupart des gens ne le réalisent. L'utilisation la plus connue est la publicité ciblée : savoir qu'un utilisateur visite régulièrement un type particulier de magasin de détail permet aux annonceurs de diffuser des publicités pertinentes pour la localisation. C'est le cas d'utilisation que les magasins d'applications mettent en avant dans les divulgations d'autorisations et que la plupart des utilisateurs comprennent vaguement.

Moins visibles sont les applications financières des données de localisation. Les hedge funds achètent des ensembles de données de mobilité pour suivre la fréquentation des magasins avant les annonces de résultats — si la fréquentation des magasins d'un concurrent diminue, c'est un signal de trading. Les REIT et les investisseurs immobiliers commerciaux utilisent les données de mobilité pour évaluer la viabilité de propriétés potentielles. Les compagnies d'assurance ont exploré l'utilisation des données de mobilité pour la souscription comportementale (comment une personne conduit, où elle se gare, si son adresse personnelle déclarée correspond à son lieu de sommeil réel).

L'utilisation gouvernementale est étendue et juridiquement trouble. Le Wall Street Journal, Vice/Motherboard et le New York Times ont tous documenté des agences gouvernementales américaines — y compris le Département de la Défense, l'IRS, l'ICE et le CBP — achetant des données de localisation commerciales pour suivre des individus sans obtenir de mandats. La théorie juridique est que l'achat de données disponibles dans le commerce ne constitue pas une perquisition au sens du Quatrième Amendement, car les utilisateurs les ont "volontairement" partagées avec des applications. La décision de la Cour suprême dans l'affaire Carpenter c. États-Unis en 2018 a établi que l'obtention de données historiques de localisation cellulaire sans mandat est inconstitutionnelle, mais l'arrêt n'a pas explicitement couvert les ensembles de données de localisation achetés dans le commerce, créant une zone grise juridique que les agences ont exploitée.

Le problème du consentement

Les courtiers en données de localisation soutiennent que la collecte est consensuelle — les utilisateurs acceptent la collecte de données lorsqu'ils acceptent les autorisations de l'application. Cet argument ne résiste pas à l'examen pour plusieurs raisons. Les boîtes de dialogue d'autorisation des applications ne divulguent pas que les données de localisation seront vendues à des tiers, qui les agrégeront avec des données provenant d'autres applications, les conserveront indéfiniment et les vendront à des acheteurs, y compris des agences gouvernementales. La boîte de dialogue d'autorisation indique "Autoriser l'accès à la localisation" — elle ne dit pas "Votre localisation sera combinée avec les données de localisation de vos autres applications et vendue à 200 entreprises, y compris des hedge funds, des compagnies d'assurance et des forces de l'ordre fédérales."

Le "consentement" est également structurellement contraint : de nombreuses applications ne fonctionnent pas sans l'autorisation de localisation, même lorsque la localisation n'est pas nécessaire à leur fonction principale. Un jeu qui demande l'accès à la localisation pour "personnaliser votre expérience" exploite le désir des utilisateurs d'utiliser le jeu pour extraire des données précieuses qui n'ont rien à voir avec le jeu. La Federal Trade Commission a documenté de nombreux cas d'applications demandant des autorisations inutiles spécifiquement pour la monétisation des données.

Ce qui change

La pression réglementaire s'est accrue. La FTC a engagé des actions coercitives contre plusieurs courtiers en données, y compris un accord de 2024 avec X-Mode/Outlogic qui lui interdit de vendre des données de localisation sensibles (données révélant des visites dans des établissements médicaux, des organisations religieuses ou des événements politiques) sans consentement explicite. La FTC a également conclu un accord avec InMarket en 2024, lui interdisant de vendre des données de localisation dérivées d'identifiants publicitaires sans consentement.

La transparence du suivi des applications d'Apple (ATT), lancée dans iOS 14.5 en 2021, a obligé les applications à demander l'autorisation avant de suivre les utilisateurs à travers d'autres applications et sites Web. L'impact a été significatif : on estime que 75 à 80 % des utilisateurs d'iOS refusent le suivi lorsqu'on le leur demande explicitement. Cela a réduit considérablement le signal disponible pour les SDK axés sur la publicité, et plusieurs sociétés de données de localisation qui dépendaient des données iOS ont signalé des impacts significatifs sur leurs revenus.

Le GDPR de l'UE a été plus agressif en exigeant un consentement affirmatif pour la collecte de données de localisation. Plusieurs grandes entreprises de technologie publicitaire ont fait face à des amendes substantielles au titre du GDPR pour le traitement de données de localisation sans base juridique adéquate. Cependant, l'application a été inégale entre les États membres de l'UE, et l'infrastructure de consentement que de nombreuses entreprises ont mise en œuvre (bannières de consentement, Cadre de transparence et de consentement de l'IAB) a été jugée à plusieurs reprises inadéquate par les autorités de protection des données.

Ce que vous pouvez réellement faire

La protection la plus efficace consiste à limiter les autorisations de localisation au niveau du système d'exploitation. iOS et Android permettent désormais de restreindre la "localisation précise" à une "localisation approximative" pour les applications qui n'ont pas réellement besoin de précision, et tous deux permettent de limiter l'accès à la localisation à "uniquement lors de l'utilisation de l'application" plutôt qu'à un accès en arrière-plan. L'examen et la révocation des autorisations de localisation pour les applications qui n'en ont pas besoin réduisent matériellement la surface de collecte des SDK.

La réinitialisation périodique de votre identifiant publicitaire réduit la possibilité de lier vos données de localisation à une identité persistante. Sur iOS, cela se trouve sous Réglages > Confidentialité > Suivi ; sur Android sous Google > Annonces. Cela n'empêche pas la collecte mais brise la continuité à long terme de l'ensemble de données associé à votre appareil.

Le problème structurel — que la collecte de données de localisation est intégrée dans une infrastructure commerciale à laquelle les développeurs d'applications participent passivement par l'adoption de SDK — ne peut pas être résolu par les paramètres individuels de l'utilisateur. Les changements qui y remédieraient nécessitent des exigences réglementaires pour la divulgation affirmative des ventes de données, des exigences de mandat pour l'accès gouvernemental et des sanctions significatives pour les courtiers qui les violent. Les États-Unis commencent à se diriger dans cette direction, mais la distance entre l'application actuelle et une protection adéquate reste grande.