Ces dernières années, le commerce mondial des données a pris une dimension qui soulève non seulement des questions en matière de protection des données, mais qui comporte également des risques considérables pour la vie privée et la sécurité. Un nouveau jeu de données donne un aperçu profond des mécanismes du marché des données et de la vulnérabilité des données personnelles. L'ensemble de données, qui est parvenu à la plateforme médiatique netzpolitik.org par l'intermédiaire d'un marchand de données américain, comprend 380 millions de données de localisation provenant de 137 pays et liées à environ 40.000 apps.
Un courtier en données américain propose des données de localisation dans le monde entier
L'ensemble de données provient du vendeur de données américain Datastream Group, qui opère désormais sous le nom de Datasys. Il montre à quel point les données de localisation collectées sont étendues et précises. Les utilisateurs d'applications populaires comme Wetter Online, Focus Online et Kleinanzeigen ont été localisés avec une précision étonnante. Les données sont souvent collectées sous prétexte de "publicité", mais finissent souvent entre les mains de marchands de données qui les revendent ou même les donnent.
Ce qui est particulièrement explosif, c'est que l'ensemble des données ne contient pas seulement des données de localisation, mais aussi des identifiants publicitaires mobiles (MAID), qui fonctionnent comme des empreintes digitales numériques. Associées à des informations sur les modèles d'appareils et les opérateurs de réseau, elles permettent d'établir des profils de déplacement détaillés et d'identifier des personnes.
Données sensibles collectées systématiquement
Dans ce contexte, le règlement général sur la protection des données (RGPD) de l'UE accorde une importance particulière à la protection des données sensibles, notamment celles qui révèlent des profils de déplacement ou des préférences personnelles. L'article 9 du RGPD protège les données relatives à l'orientation sexuelle, à la santé et à la religion comme étant "particulièrement sensibles".
Le présent ensemble de données montre toutefois que ces données sensibles sont systématiquement collectées et commercialisées. Des applications telles que Grindr, Hornet et les applications de santé, qui contiennent explicitement de telles informations, sont également concernées. Cela met en évidence les lacunes dans la mise en œuvre du RGPD.
Un autre problème est le manque de transparence. Les utilisateurs ne peuvent guère savoir qui a accès à leurs données et à quelles fins celles-ci sont utilisées. Les consentements que de nombreuses apps demandent sont souvent insuffisants ou peu transparents et ne répondent pas aux exigences du RGPD.
Conseil de lecture : Minimisation et minimisation des données - La CJCE annule l'obligation de s'adresser à quelqu'un lors de l'achat d'un billet en ligne
Le Real Time Bidding (RTB) comme échappatoire aux données
Une grande partie des données semble provenir de ce que l'on appelle le Real Time Bidding (RTB), un mécanisme d'attribution automatisée d'espaces publicitaires. Les données du flux d'offres, dont les MAID et les adresses IP, sont transmises à des centaines d'entreprises.
Cette pratique est souvent contraire au RGPD, car les données sont souvent traitées sans consentement valable et la finalité - la publicité - est modifiée lors du traitement ultérieur.
Le contrôle de ces flux de données est difficile même pour les exploitants d'apps. Comme le montre l'ensemble des données, de nombreux fournisseurs ne savent même pas comment les données collectées par leurs propres apps atterrissent chez les marchands de données. Ce manque de transparence dans la transmission des données entraîne une perte de contrôle considérable pour les consommateurs et les exploitants.
Profilage complet possible grâce aux données publicitaires
L'analyse des "Databroker Files" montre clairement que le commerce des données de localisation a des conséquences importantes. Les individus sont exposés à des risques potentiels tels que le harcèlement, le chantage ou la discrimination. Les personnes qui utilisent des applications sensibles comme les applications de rencontre ou de santé sont particulièrement exposées. La publication de profils de déplacement comporte également des risques considérables pour les groupes professionnels liés à la sécurité, comme le personnel militaire.
De plus, l'anonymat des utilisateurs est levé par l'association des MAIDs à d'autres données. Il en résulte un profilage complet qui peut être utilisé non seulement à des fins publicitaires, mais aussi à des fins de surveillance.
Les services secrets et d'autres organisations peuvent utiliser ces données pour le "Advertising-based Intelligence" (ADINT), comme l'ont montré des recherches antérieures de Netzpolitik.org.
Conséquences réglementaires et politiques des "Databroker Files
Les résultats des Databroker Files mettent en évidence la nécessité d'un cadre juridique plus strict. Le ministère fédéral allemand de la protection des consommateurs demande donc une réforme complète de la protection des données, y compris une interdiction de la publicité personnalisée dans toute l'UE. Des normes techniques empêchant la collecte de données d'identification sont également considérées comme nécessaires.
En revanche, les autorités de protection des données sont tenues d'utiliser plus systématiquement leurs pouvoirs d'enquête et de sanction. Le responsable bavarois de la protection des données a déjà annoncé qu'il se servirait des conclusions de la recherche pour mener ses propres enquêtes.
Les Databroker Files révèlent des déficits massifs dans la protection globale des données. La perte de contrôle sur les données personnelles et les dangers d'une surveillance généralisée sont alarmants. Une protection efficace de la vie privée exige non seulement l'application conséquente des lois existantes comme le RGPD, mais aussi de nouvelles réglementations plus strictes au niveau européen.
Le projet de loi sur l'équité numérique (Digital Fairness Act) offre la possibilité de réguler les pratiques excessives des marchands de données et de mieux protéger les consommateurs. Il reste à voir si cette opportunité sera saisie. Mais il est clair que sans action déterminée, le commerce mondial des données risque de rester un risque incontrôlable pour la vie privée de millions de personnes.
Source : Un nouveau jeu de données révèle 40.000 apps derrière le traçage de localisation - netzpolitik.org
Vous avez besoin d'aide pour optimiser vos processus de protection des données ? Nous sommes à votre disposition. N'hésitez pas à nous contacter, nous élaborons pour vous des solutions sur mesure dans le domaine de la protection des données et de la conformité.
N'hésitez pas à prendre contact avec nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com