Une nouvelle enquête, menée par un consortium de médias dont Le Monde et Netzpolitik, révèle que des millions de données de géolocalisation circulent librement, y compris celles de hauts responsables politiques.
278 millions d'enregistrements
Le "Databroker files" repose sur l'analyse de jeux de données vendus par des courtiers en données (ou data brokers). Les journalistes ont ainsi retrouvé 278 millions d'enregistrements de géolocalisation en Belgique. Parmi eux, les déplacements de centaines d'agents de la Commission européenne, du Parlement et du Service européen pour l'action extérieure, le service diplomatique de l'Union européenne.
Ces informations sont issues d'applications mobiles, acquises par des courtiers en données et revendues. Concrètement, elles permettent d'identifier le domicile, le lieu de travail et les trajets quotidiens des fonctionnaires. Dans certains cas, la précision est telle qu'elle situe un bureau à quelques mètres près dans le bâtiment Berlaymont, siège de la Commission européenne.
Croiser le MAID avec les points GPS
Ces données dites "anonymisées" par les revendeurs sont en réalité aisément ré-identifiables grâce au Mobile Advertising ID, ou MAID), un identifiant unique attribué à chaque téléphone par Apple ou Google. En croisant les points GPS, il devient facile d'associer un profil à une personne, surtout lorsqu'elle habite une maison isolée ou figure dans l'annuaire public.
L'enquête révèle également que les bases de données contiennent des pings de téléphones situés au sein du siège de l'OTAN à Bruxelles, sur des sites militaires belges et à proximité d'infrastructures critiques. Une mine d'or pour des acteurs hostiles qui pourraient exploiter ces informations pour suivre les mouvements des diplomates, de militaires et de journalistes, voire planifier des opérations d'espionnage ou de sabotage.
De nouvelles consignes pour les fonctionnaires
Interrogée par les journalistes, la Commission européenne s'est dite "préoccupée par le commerce de données de géolocalisation de citoyens et de fonctionnaires de la Commission". En parallèle, elle a émis de nouvelles consignes internes à ses agents sur la désactivation du suivi publicitaire sur leurs appareils professionnels et personnels et a informé les Computer Security Incident Response Team (CISRTs) des Etats membres.
Au coeur de cette enquête se trouvent les courtiers en données. Ce ne sont pas eux qui collectent directement les données sur les appareils, ce sont les applications mobiles, mais ils achètent ces informations brutes à bas prix, les agrègent puis les revendent sous la forme de jeux de données structurées. Leurs clients utilisent ces données à des fins publicitaires, d'analytique de fréquentation, de renseignement commercial mais également à des fins de surveillance légale ou illégale.
Le RGPD, un texte inadapté
Le noeud du problème se situe sur le manque d'encadrement dédié à cette activité. Comme tout acteur, le Règlement général sur la protection des données (RGPD) s'applique bien aux courtiers en données. Ils invoquent souvent l'anonymisation des données pour justifier la vente des informations. Mais, dans la réalité, il ne s'agit presque jamais d'anonymisation au sens du texte européen, c'est-à-dire d'un traitement rendant impossible toute ré-identification. La preuve en est fournie par cette enquête.
La plupart du temps, ces données sont en fait simplement pseudonymisées : le nom de la personne est remplacé par un identifiant, ici le MAID. Or, étant unique et persistant dans le temps, il permet de suivre les déplacements d'une même personne. Il suffit alors de croiser ces points de géolocalisation pour déduire les habitudes de vie de la personne, surtout si elle se rend régulièrement sur un lieu public identifiable, tel que les institutions européennes.
Des stratégies opaques pour recueillir le consentement
En théorie, la revente de données de localisation devrait reposer sur le consentement de l'utilisateur, seule base légale valable pour ce type de traitement. Mais, en pratique, les courtiers s'appuient sur des données collectées par d'autres acteurs sans jamais vérifier si le consentement a bien été recueilli. Rappelons que, dans la majorité des cas, les applications mobiles utilisent des stratégies trompeuses pour obliger l'utilisateur à consentir (barrières trompeuses, cases précochées...). Ce fonctionnement crée une chaîne de responsabilités difficiles à démêler.
Cette affaire souligne l'échec du projet ePrivacy, un projet de règlement européen visant à compléter le RGPD en encadrant les traceurs, les cookies et les données issues de la publicité comportementale. Bloqué depuis plusieurs années, le texte a finalement été retiré par la Commission au printemps 2025. Le Digital Fairness Act, proposé par Ursula von der Leyen, est présenté comme une alternative. Mais cette proposition reste floue.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
