Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone.

Une industrie énorme mais peu connue s’est développée autour de la monétisation des sentiments des gens.

Par Jon Keegan et Alfred Ng

Illustration of several abstract characters standing in a maze of stairs. Location pins and coins are scattered throughout the piece.

 

Des entreprises dont vous n’avez probablement jamais entendu parler proposent d’accéder à l’historique de la localisation de votre téléphone portable. Le marché des données de localisation, estimé à 12 milliards de dollars, compte de nombreux acteurs : collecteurs, agrégateurs, places de marché et sociétés de renseignement géographique, qui se vantent tous de l’ampleur et de la précision des données qu’ils ont accumulées.

La société de géolocalisation Near se décrit comme “le plus grand ensemble de données au monde sur le comportement des gens dans le monde réel”, avec des données représentant “1,6 milliard de personnes dans 44 pays”. Mobilewalla se vante d’avoir “plus de 40 pays, plus de 1,9 milliard d’appareils, 50 milliards de signaux mobiles par jour, plus de 5 ans de données”. Le site Web de X-Mode affirme que ses données couvrent “plus de 25 % de la population adulte des États-Unis chaque mois”.

Dans un effort pour faire la lumière sur cette industrie peu surveillée, The Markup a identifié 47 entreprises qui récoltent, vendent ou échangent des données de localisation de téléphones portables. Bien qu’elle soit loin d’être exhaustive, la liste commence à brosser un tableau des acteurs interconnectés qui font tout, depuis la fourniture de code aux développeurs d’applications pour monétiser les données des utilisateurs jusqu’à l’offre d’analyses à partir de “1,9 milliard d’appareils” et l’accès à des ensembles de données sur des centaines de millions de personnes. Six entreprises ont revendiqué plus d’un milliard d’appareils dans leurs données, et au moins quatre ont affirmé que leurs données étaient les “plus précises” du secteur.

 

“Il n’y a pas beaucoup de transparence et il y a une toile d’ombre vraiment, vraiment complexe d’interactions entre ces entreprises qu’il est difficile de démêler”, a déclaré Justin Sherman, chargé de la cyberpolitique au Duke Tech Policy Lab. “Elles fonctionnent sur le fait que le grand public et les personnes à Washington et dans d’autres centres de réglementation ne prêtent pas attention à ce qu’elles font.”

De temps en temps, des histoires éclairent à quel point cette industrie peut être envahissante. En 2020, Motherboard a rapporté que X-Mode, une entreprise qui recueille des données de localisation par le biais d’applications, collectait des données provenant d’applications de prière musulmanes et les vendait à des entrepreneurs militaires. Le Wall Street Journal a également rapporté en 2020 que Venntel, un fournisseur de données de localisation, vendait des données de localisation à des agences fédérales pour l’application des lois sur l’immigration.

 

Un média catholique a également utilisé les données de localisation d’un fournisseur de données pour démasquer un prêtre qui avait fréquenté des bars gays, mais on ignore encore quelle entreprise a vendu ces informations.

De nombreuses entreprises promettent que la protection de la vie privée est au cœur de leurs activités et qu’elles veillent à ne jamais vendre d’informations permettant de remonter jusqu’à une personne. Mais des chercheurs qui étudient les données de localisation anonymes ont montré à quel point cette affirmation peut être trompeuse.

En réalité, il est difficile de connaître toutes les façons dont vos mouvements sont suivis et échangés. Les entreprises révèlent souvent peu de choses sur les applications qui servent de sources aux données qu’elles collectent, sur la nature exacte de ces données et sur la distance qu’elles parcourent. Pour dresser un tableau de l’écosystème, The Markup a examiné les sites web et le langage marketing de chacune des 47 entreprises que nous avons identifiées comme opérant dans le secteur des données de localisation, ainsi que toutes les informations qu’elles ont révélées sur la manière dont les données leur sont parvenues. (Voir notre méthodologie ici).
Comment les données quittent votre téléphone

La plupart du temps, le pipeline des données de localisation commence entre vos mains, lorsqu’une application envoie une notification demandant la permission d’accéder à vos données de localisation.

Les applications ont toutes sortes de raisons d’utiliser votre localisation. Les applications de cartographie ont besoin de savoir où vous êtes pour vous indiquer le chemin à suivre. Une application de météo, de vagues ou de vent vérifie votre position pour vous donner des informations météorologiques pertinentes. Une application de streaming vidéo vérifie où vous êtes pour s’assurer que vous vous trouvez dans un pays où elle est autorisée à diffuser certaines émissions.

Mais à l’insu de la plupart des utilisateurs, certaines de ces applications vendent ou partagent les données de localisation de leurs utilisateurs avec des entreprises qui analysent ces données et vendent leurs informations, comme Advan Research. D’autres entreprises, comme Adsquare, achètent ou obtiennent les données de localisation des applications dans le but de les agréger à d’autres sources de données. Des entreprises telles que des sociétés immobilières, des fonds spéculatifs et des commerces de détail peuvent ensuite transformer et utiliser ces données à des fins publicitaires, analytiques, de stratégie d’investissement ou de marketing.

Serge Egelman, chercheur à l’International Computer Science Institute de l’UC Berkeley et directeur technique d’AppCensus, qui a mené des recherches sur les autorisations de données sensibles sur les applications mobiles, a déclaré qu’il est difficile de dire quelles applications sur votre téléphone utilisent simplement les données à des fins fonctionnelles et quelles sont celles qui libèrent vos données dans l’éther économique.

Lorsque l’application demande la localisation, sur le moment, parce que vous avez peut-être cliqué sur le bouton pour trouver des choses près de chez vous et que vous obtenez une boîte de dialogue d’autorisation, vous pouvez raisonnablement en déduire que “Oh, c’est pour répondre à cette demande et fournir cette fonctionnalité”, mais il n’y a aucune garantie de cela”, a déclaré Egelman. “Et il n’y a certainement jamais de divulgation indiquant que les données vont être limitées à cette fin.”

Les entreprises qui font le commerce de ces données sont réticentes à partager les applications qui leur fournissent des données.

The Markup a demandé aux porte-parole de toutes les entreprises de notre liste d’où proviennent les données de localisation qu’elles obtiennent.

 

Des entreprises comme Adsquare et Cuebiq ont déclaré à The Markup qu’elles ne divulguent pas publiquement les applications dont elles obtiennent les données de localisation afin de conserver un avantage concurrentiel, mais ont maintenu que leur processus d’obtention de données de localisation était transparent et avec le consentement clair des utilisateurs d’applications.

“Tout est extrêmement transparent”, a déclaré Bill Daddi, porte-parole de Cuebiq.

Il a ajouté que les consommateurs doivent savoir ce que les apps font de leurs données car si peu d’entre eux consentent à les partager. “Les taux d’acceptation confirment clairement que les utilisateurs sont pleinement conscients de ce qui se passe, car les taux d’acceptation peuvent être aussi bas que moins de 20 %, selon l’application”, a déclaré Bill Daddi dans un courriel.

Yiannis Tsiounis, PDG de la société d’analyse de localisation Advan Research, a déclaré que sa société achetait des agrégateurs de données de localisation, qui collectent les données de milliers d’applications, mais n’a pas voulu dire lesquelles. M. Tsiounis a déclaré que les applications avec lesquelles il travaille indiquent explicitement qu’elles partagent les données de localisation avec des tiers quelque part dans les politiques de confidentialité, bien qu’il reconnaisse que la plupart des gens ne lisent pas les politiques de confidentialité.

“On ne peut pas tout faire tenir dans un message de notification. Vous avez droit à une ligne, n’est-ce pas ? Vous ne pouvez donc pas tout dire dans le message de notification”, a déclaré M. Tsiounis. Vous pouvez seulement expliquer à l’utilisateur : “J’ai besoin de vos données de localisation pour X, Y et Z.” Ce que vous devez faire, c’est qu’il doit y avoir un lien vers la politique de confidentialité.”

Seul un porte-parole de l’entreprise, Ashley Dawkins, de Foursquare, a cité des applications spécifiques – les propres produits de Foursquare, comme Swarm, CityGuide et Rewards – comme sources de ses données de localisation.

Mais Foursquare produit également un kit de développement logiciel (SDK) gratuit – un ensemble d’outils préconstruits que les développeurs peuvent utiliser dans leurs propres applications – qui peut potentiellement suivre la localisation par le biais de toute application qui l’utilise. Le SDK Pilgrim de Foursquare est utilisé dans des applications comme GasBuddy, un service qui compare les prix des stations-service à proximité, Flipp, une application d’achat de coupons, et Checkout 51, une autre application de réduction basée sur la localisation.

GasBuddy, Flipp et Checkout 51 n’ont pas répondu aux demandes de commentaires.

Lorsque l’application demande une localisation… vous pouvez raisonnablement en déduire que “Oh, c’est pour répondre à cette demande et fournir cette fonctionnalité”, mais il n’y a aucune garantie.
Serge Egelman, AppCensus

Une recherche sur Mighty Signal, un site qui analyse et suit les SDK dans les applications, a trouvé le SDK Pilgrim de Foursquare dans 26 applications Android.

Si toutes les applications équipées du SDK de Foursquare ne renvoient pas les données de localisation à l’entreprise, les politiques de confidentialité de Flipp, Checkout 51 et GasBuddy indiquent toutes qu’elles partagent les données de localisation avec l’entreprise.

La méthode utilisée par Foursquare pour obtenir des données de localisation par le biais d’un SDK intégré est une pratique courante. Sur les 47 entreprises que The Markup a identifiées, 12 d’entre elles proposaient aux développeurs d’applications des kits SDK qui leur permettaient d’obtenir des données de localisation en échange d’argent ou de services.

Placer.ai indique dans son marketing qu’elle fait de l’analyse de la circulation piétonne et que son SDK est installé dans plus de 500 apps et dispose d’insights sur plus de 20 millions d’appareils.

“Nous nous associons à des apps mobiles fournissant des services de localisation et recevons des données agrégées anonymes. Il est très important que toutes les données soient rendues anonymes et débarrassées des identifiants personnels avant de nous parvenir”, a déclaré Ethan Chernofsky, vice-président du marketing de Placer.ai, dans un courriel.
Sur le marché des données de localisation

Une fois que les données de localisation d’une personne ont été collectées à partir d’une application et qu’elles sont entrées sur le marché des données de localisation, elles peuvent être vendues encore et encore, des fournisseurs de données à un agrégateur qui revend des données provenant de sources multiples. Elles peuvent se retrouver entre les mains d’une société de “géo-intelligence” qui utilise les données brutes pour analyser le trafic piétonnier dans les zones commerciales et les données démographiques associées à ses visiteurs. Ou encore à un fonds spéculatif qui souhaite savoir combien de personnes se rendent dans un certain magasin.

“Il y a les agrégateurs de données qui collectent les données de plusieurs applications et les vendent en gros. Et puis il y a les sociétés d’analyse qui achètent des données soit aux agrégateurs, soit aux applications, et qui effectuent l’analyse”, explique M. Tsiounis d’Advan Research. “Et tout le monde vend à tout le monde”.

Certaines places de marché de données font partie d’entreprises bien connues, comme AWS Data Exchange d’Amazon, ou Data Marketplace d’Oracle, qui vendent tous les types de données, et pas seulement des données de localisation. Oracle se targue d’être la “plus grande place de marché de données tierces au monde” pour la publicité ciblée, tandis qu’Amazon prétend “faciliter la recherche, la souscription et l’utilisation de données tierces dans le cloud”. Ces deux places de marché contiennent des listes pour plusieurs des entreprises de données de localisation que nous avons examinées.

 

Claude Shy, porte-parole d’Amazon, a déclaré que les fournisseurs de données doivent expliquer comment ils obtiennent le consentement pour les données et comment ils surveillent les personnes utilisant les données qu’ils achètent.

“Seuls les fournisseurs de données qualifiés auront accès à l’AWS Data Exchange. Les fournisseurs de données potentiels sont soumis à un processus de demande rigoureux”, a déclaré M. Shy.

Oracle a refusé de commenter.

 

D’autres sociétés, comme Narrative, affirment qu’elles mettent simplement en relation les acheteurs et les vendeurs de données en fournissant une plate-forme. Le site Web de Narrative, par exemple, cite des fournisseurs de données de localisation comme SafeGraph et Complementics parmi ses 17 fournisseurs, avec plus de deux milliards d’identifiants publicitaires mobiles à acheter.

Mais Nick Jordan, PDG de Narrative, a déclaré que l’entreprise ne s’intéresse même pas aux données elles-mêmes.

“Il y a un certain nombre de sociétés qui utilisent notre plateforme pour acquérir et/ou monétiser des données de géolocalisation, mais nous n’avons en fait aucun droit sur ces données”, a-t-il déclaré. “Nous ne les achetons pas, nous ne les vendons pas”.

Pour donner une idée de l’ampleur du secteur, Amass Insights compte 320 fournisseurs de données de géolocalisation dans son annuaire, a indiqué Jordan Hauer, le PDG de la société. Bien que la société ne collecte ni ne vende directement aucune des données, les fonds spéculatifs la paient pour les guider à travers la myriade de sociétés de données de localisation, a-t-il dit.

“La partie la plus inefficace de tout le processus n’est en fait pas la livraison des données”, a déclaré M. Hauer. “Il s’agit en fait de trouver ce que vous cherchez et de vous assurer qu’il est conforme, qu’il a de la valeur et qu’il est exactement ce que le fournisseur dit être.”
Oh, les endroits où iront vos données

Il existe toute une série d’acheteurs potentiels pour les données de localisation : les investisseurs à la recherche d’informations sur les tendances du marché ou sur ce que font leurs concurrents, les campagnes politiques, les magasins qui surveillent leurs clients et les services de police, entre autres.

Les données de la société Thasos Group, spécialisée dans le renseignement géographique, ont été utilisées pour mesurer le nombre de travailleurs qui font des heures supplémentaires dans les usines Tesla. Les campagnes politiques des deux côtés de l’allée ont également utilisé les données de localisation des personnes présentes aux rassemblements pour faire de la publicité ciblée.

Les restaurants fast-food et d’autres entreprises sont connus pour acheter des données de localisation à des fins publicitaires jusqu’aux pas d’une personne. Par exemple, en 2018, Burger King a organisé une promotion dans laquelle, si le téléphone d’un client se trouvait à moins de 600 pieds d’un McDonalds, l’application Burger King permettait à l’utilisateur d’acheter un Whopper pour un centime.

Le Wall Street Journal et Motherboard ont également beaucoup écrit sur la façon dont les agences fédérales, notamment l’Internal Revenue Service, les douanes et la protection des frontières, ainsi que l’armée américaine, ont acheté des données de localisation à des entreprises qui traquent les téléphones.

Parmi les entreprises de données de localisation examinées par The Markup, les offres sont diverses.

Advan Research, par exemple, utilise des données de localisation historiques pour indiquer à ses clients, principalement des commerces de détail ou leurs propriétaires de sociétés de capital-investissement, d’où viennent leurs visiteurs, et fait des suppositions sur leurs revenus, leur race et leurs intérêts en fonction des endroits où ils sont allés.

“Par exemple, nous savons que le revenu moyen dans ce quartier, d’après les données du recensement, est de 50 000 dollars. Mais il y a deux appareils : l’un est allé chez Dollar General, McDonald’s et Walmart, et l’autre chez un concessionnaire BMW et chez Tiffany’s… donc ils gagnent probablement plus d’argent”, a déclaré Tsiounis d’Advan Research.

D’autres combinent les données de localisation qu’ils obtiennent avec d’autres données recueillies à partir de vos activités en ligne. Complementics, qui se targue de disposer de données sur “plus d’un milliard d’identifiants d’appareils mobiles”, propose des données de localisation associées à des données inter-appareils pour le ciblage des publicités mobiles.

Les prix peuvent être élevés.

Outlogic (anciennement connu sous le nom de X-Mode) propose une licence pour un ensemble de données de localisation intitulé “Cyber Security Location data” sur Datarade pour 240 000 dollars par an. L’annonce indique que “les données de localisation précises et granulaires d’Outlogic sont collectées directement à partir du GPS d’un appareil mobile”.

Pour l’instant, il n’existe que peu ou pas de règles limitant qui peut acheter vos données.

Sherman, du Duke Tech Policy Lab, a publié un rapport en août dans lequel il a constaté que les courtiers en données annonçaient des informations de localisation sur les personnes en fonction de leurs convictions politiques, ainsi que des données sur les employés du gouvernement américain et le personnel militaire.

“Il n’y a pratiquement rien dans la loi américaine qui empêche une entreprise américaine de vendre des données sur deux millions de militaires, disons, à une entreprise russe qui n’est qu’une façade pour le gouvernement russe”, a déclaré M. Sherman.

Les lois américaines existantes en matière de protection de la vie privée, comme la loi californienne sur la protection de la vie privée des consommateurs, ne limitent pas l’achat de données, bien que les résidents californiens puissent demander que leurs données ne soient pas “vendues”, ce qui peut être une définition délicate. La loi vise plutôt à permettre aux gens de refuser de partager leur emplacement en premier lieu.

 

Le règlement général sur la protection des données de l’Union européenne impose des exigences plus strictes en matière de notification aux utilisateurs lorsque leurs données sont traitées ou transférées.

Mais Ashkan Soltani, expert en protection de la vie privée et ancien technologue en chef de la Federal Trade Commission, estime qu’il n’est pas réaliste d’attendre des clients qu’ils traquent les entreprises et insistent pour qu’elles suppriment leurs données personnelles.

“Nous savons dans la pratique que les consommateurs ne prennent pas de mesures”, a-t-il déclaré. “Il est incroyablement taxant de se désengager de centaines de courtiers en données dont vous n’avez jamais entendu parler”.

Les entreprises comme Apple et Google, qui contrôlent l’accès aux magasins d’applications, sont les mieux placées pour contrôler le marché des données de localisation, a déclaré Egelman d’AppCensus.

“Le véritable danger est que l’application soit retirée de la boutique Google Play ou de la boutique d’applications iOS, a-t-il ajouté.” En conséquence, votre entreprise perd de l’argent.”

Google et Apple ont tous deux récemment interdit aux développeurs d’applications d’utiliser les SDK de rapports de localisation de plusieurs sociétés de données.

Les chercheurs ont toutefois constaté que les SDK de ces sociétés étaient toujours présents dans la boutique d’applications de Google.

Apple n’a pas répondu à une demande de commentaire.

“L’équipe de Google Play s’efforce toujours de renforcer les protections de la vie privée en améliorant à la fois les produits et les règles. Lorsque nous découvrons des applications ou des fournisseurs de SDK qui violent nos règles, nous prenons des mesures”, a déclaré Scott Westover, porte-parole de Google, dans un courriel.

La protection de la vie privée numérique est une question politique essentielle pour le sénateur américain Ron Wyden, un démocrate de l’Oregon, qui a déclaré à The Markup que les grands magasins d’applications devaient en faire plus.

“C’est une bonne initiative de la part de Google, mais eux et Apple doivent faire plus que jouer au whack-a-mole avec les applications qui vendent les informations de localisation des Américains. Ces entreprises ont besoin d’un véritable plan pour protéger la vie privée et la sécurité des utilisateurs contre ces applications malveillantes”, a déclaré M. Wyden dans un courriel.

 

Source : https://themarkup.org/privacy/2021/09/30/theres-a-multibillion-dollar-market-for-your-phones-location-data

2 réflexions sur “Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone.

  • Bonjour je pense qu’il faut un énorme tsunami et que la terre reprenne une vie avec que des humains qui vivent pas des humains qui notent leur propre race comme étant des dividendes

    Répondre
  • Il faut arrêter la vaccination obligatoire et reprendre de nouveaux dirigeants issus de notre confrérie, la science a démontre que on peut s’en sortir sans nos dirigeants

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.