data broker données cnil

Données anonymisées : la CNIL ne fait plus confiance aux Data Brokers

La CNIL a décidé de vérifier si les données anonymisées vendues par les Data Brokers sont réellement anonymes. Le gendarme de la vie privée des Français va mener l’enquête sur un jeu de données de géolocalisation vendu sur le web pour 5000 dollars…

Avez-vous déjà entendu parler des Data Brokers ? Ces entreprises sont spécialisées dans la vente de données personnelles.

Elles collectent de vastes volumes d’informations à partir de différentes sources et les revendent. Les données personnelles sont très convoitées par les entreprises, qui peuvent les exploiter à des fins de ciblage marketing ou d’analyse de marché.

En théorie, ce business n’a rien d’illégal. Les Data Brokers affirment qu’ils anonymisent les données personnelles, et qu’il est impossible d’identifier les individus auxquels elles sont liées. Il n’y a donc a priori pas d’atteinte à la vie privée, et donc pas d’infraction au RGPD.

Toutefois, des études ont déjà prouvé dans le passé que la géolocalisation peut être utilisée pour réidentifier un jeu de données anonymisées. Il suffit théoriquement d’analyser les habitudes de déplacement d’une personne pour remonter jusqu’à son identité.

En 2019, le New York Times a mené une enquête sur un immense fichier regroupant plus de 50 milliards de données. Ce fichier provenait d’une société spécialisée dans la collecte d’informations à partir d’applications mobiles.

À partir de ces informations, les journalistes du Times avaient pu retrouver la localisation précise de plus de 12 millions de citoyens Américains dans les grandes villes des États-Unis.

La CNIL lance une étude sur un jeu de données vendu 5000 $ sur internet

https://twitter.com/CNIL/status/1536279129968062466?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1536279129968062466%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bfmtv.com%2Ftech%2Fla-cnil-veut-savoir-si-les-donnees-anonymes-des-marchands-de-donnees-sont-vraiment-anonymes_AD-202206140264.html

Après avoir longtemps accordé sa confiance aux Data Brokers, la CNIL a décidé de vérifier par elle-même si les données sont bel et bien anonymisées.

Dans le cadre de sa « mission d’intérêt public », sans lancer de procédure officielle de contrôle et de sanction, la CNIL a identifié un fichier de données de géolocalisation de personnes sur une plateforme en ligne.

Ce fichier regroupant des millions de données est vendu sur le web pour 5000 dollars par un Data Broker, en toute légalité. Les informations sont présentées comme anonymisées par le revendeur.

L’objectif de la CNIL est de s’assurer qu’il est réellement impossible d’identifier les internautes dont ces données proviennent. L’autorité de protection des données veut vérifier si un tel fichier risque d’exposer des détails sur la vie privée des Français.

Afin de vérifier l’anonymisation des données, la CNIL a choisi de jouer la carte de la discrétion. Un agent s’est fait passer pour un client, et a réussi à obtenir gratuitement un « échantillon » de données concernant des Français.

Identifiants publicitaires de smartphones et géolocalisation

Cet extrait regroupe plus de 5 millions d’identifiants publicitaires de smartphones iOS ou Android. Et pour 850 000 d’entre eux, au moins 10 points de localisation sont également inclus.

La CNIL va tenter de remonter l’identité des personnes concernées, comme le ferait un cybercriminel ou une entreprise peu scrupuleuse désirant tirer pleinement profit du jeu de données.

La méthode employée consiste à croiser les points de géolocalisation avec les agendas ouverts de personnalités publiques, ou avec les données de participation aux séances parlementaires.

Les enquêteurs vont aussi s’appuyer sur les sites de manifestations sportives et sur l’annuaire. En outre, ils vont utiliser des cartes de densité de la France pour repérer les personnes localisées dans des lieux isolés.

Si l’institution parvient à identifier des individus, ils seront avertis de l’existence de ces données et de leur mise en vente. À la fin de l’étude, dont la durée prévue est de 15 mois, les données traitées seront supprimées.

À travers ce projet, la CNIL veut démontrer qu’il est possible de désanonymiser un jeu de données facilement accessible sur le web. Il s’agit à la fois d’une façon d’ouvrir les yeux des Français sur cette menace pour la confidentialité, et de mettre les Data Brokers face à leurs responsabilités…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest