La CNIL regarde de près l’anonymisation de nos données
Parmi les priorités répertoriées dans son plan stratégique 2022-2024, la CNIL avait annoncé son souhait de regarder de plus près les flux de données des applications mobiles. Ce n’est donc pas une surprise si ce 13 juin, l’autorité française a lancé officiellement un travail d’investigation pour vérifier justement si les données, vendues comme anonymisées, ne permettent pas de réidentification. Explications.
Une étude avec quel objectif ?
La CNIL, dans le cadre de sa veille technologique, a observé « qu’il était aisé de se procurer des données de géolocalisation de personnes ». En effet, elle a pu identifier une plateforme mettant en relation vendeurs et acheteurs de données et permettant d’obtenir des échantillons gratuits auprès de « data brokers », des courtiers de données.
Les personnes peuvent-elles être réidentifiées ?
Ainsi, elle explique dans un communiqué avoir demandé « dans les mêmes conditions que n’importe quel potentiel client, à avoir communication d’un échantillon de données correspondant à la France ». Un point attire plus particulièrement sa curiosité ; si « les données transmises sont présentées comme anonymisées par le revendeur de données », leur multiplication dans un secteur donné peut-il permettre de remonter à la personne qui a été préalablement géolocalisée. Pour le savoir, elle vérifiera dans les prochains mois si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci.
Quelles données sont concernées ?
Le jeu de données concerné est un fichier comportant « des données de géolocalisation horodatées avec des points de localisation associés à près de 5 000 000 d’identifiants publicitaires de smartphones », le tout « sur une période d’environ une semaine en 2021 ».
La multiplication des points localisation, limite de l’anonymisation ?
La CNIL précise que durant cette étude qui durera environ 18 mois, « le travail de réidentification sera effectué sur les identifiants publicitaires pour lesquels au moins dix points de localisation sont présents ». Cela représente environ 850 000 identifiants publicitaires différents. Par ailleurs, l’identifiant publicitaire « ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone ».
Les croiser avec des données publiques
Autre aspect important, le fichier envoyé par le revendeur de données sera croisé avec des données publiquement accessibles telles que : « les agendas ouverts de personnalités publiques » ; « les données de participation aux séances parlementaires » ; « des cartes de densité de la France » ; « des données provenant de l’annuaire universel » ou encore « des sites de manifestations sportives publiques ».
Sensibiliser grand public et professionnel
Par cette démarche, la CNIL souhaite surtout « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ». En effet, les données de géolocalisation issues de nos mobiles font aujourd’hui l’objet d’une intense exploitation, notamment à des fins de mesure des flux de population.
Pour en savoir davantage, cliquez ici.