Le problème de l'utilisation des données de localisation des utilisateurs de terminaux s'est fait plus aigu il y a quelques mois quand il a été (re)découvert que les smartphones stockaient une grande quantité de données et en échangeaient avec les éditeurs des plates-formes mobiles.
Apple et Google ( et dans une moindre mesure Microsoft ) se sont ainsi trouvés dans le collimateur et ont dû s'expliquer, avec plus ou moins de réussite, conduisant à des mises à jour des OS mobiles. L' Europe a rappelé que les données de localisation entrent dans le champ des données personnelles, avec toutes les contraintes que cela impose pour les entreprises souhaitant les exploiter, tandis qu'aux Etats-Unis, on a réfléchi à un durcissement de la législation.
Officiellement, les données de localisation, lorsqu'elles sont exploitées, font d'abord l'objet d'une anonymisation. Elles sont utilisées pour trianguler rapidement une position ( souvent par les hotspots WiFi ) sans avoir forcément besoin du GPS, ce qui serait compliqué ( et gourmand en énergie ) pour répondre à l'ensemble des requêtes des applications demandant un positionnement.
La CNIL enquête
En France, la CNIL avait particulièrement suivi le cas d' Apple et avait pris acte des mesures annoncées, tout en indiquant qu'il restait certaines zones d'ombre. Elle s'est depuis intéressée aux échanges de données entre un iPhone et les serveurs d' Apple.
La CNIL (en rouge) et les hotspots WiFi repérés par un iPhone 3GS (en jaune)
pour ses besoins de localisation rapide
Elle a ainsi constaté la collecte des points d'accès WiFi autour des terminaux pour obtenir un positionnement approximatif, suffisant pour la plupart des applications, de façon anonyme et sécurisée, permettant à Apple de constituer des bases de données sur le principe du crowd sourcing.
Généralement, l'iPhone utilise un fichier des points d'accès WiFi à proximité stocké en local et reçoit quelques informations complémentaires d' Apple. Jusque là, rien d'anormal, mais la CNIL a aussi observé des échanges nocturnes entre un iPhone 3GS et les serveurs d' Apple, sans que l'utilisateur ait le contrôle du flux.
Ils se font lorsque le terminal est allumé et connecté à un point d'accès WiFi. L' iPhone envoie alors le fichier local des points d'accès repérés durant les heures ou jours précédents, avec leur adresse MAC, la force du signal et des points de positionnement ( mais pas l'identifiant SSID ).
Rester vigilant
Ces éléments servent à alimenter la base de données d' Apple mais la CNIL note que les échanges se font à l'insu de l'utilisateur :
" les utilisateur ignorent certainement que leur téléphone " travaille " ainsi pour Apple. La CNIL souhaite s'assurer que ce mécanisme ne se transforme pas en un outil permettant de tracer les personnes. De ce point de vue, les analyses réalisées par les experts de la CNIL indiquent que les communications entre l' iPhone et Apple ne contiennent pas d'identifiant unique ou autre information permettant d'identifier le téléphone. "
La CNIL observe donc bien le respect du principe de collecte anonyme mais elle estime que " Apple devrait informer clairement ses utilisateurs de ce type de traitement. " Elle compte continuer à en discuter avec le groupe de Cupertino et souligne que des études similaires sont en cours pour d'autres plates-formes, à commencer par Android.
