Les données de localisation des utilisateurs deviennent une marchandise comme une autre pour les opérateurs téléphoniques.

Normalement, les opérateurs de téléphonie mobile demandent la permission de leurs clients avant d’inscrire leurs numéros de téléphone dans des bases de données, ou de partager leurs adresses mail avec d’autres partenaires. Mais les mêmes règles ne s’appliquent pas quand on en vient aux informations des GPS.

Des informations sensibles comme la localisation d’un téléphone sont souvent utilisées par des sociétés tierces comme Securus Inc. et 3Cinteractive Corp., respectivement spécialisées dans les appels d’urgences et le marketing mobile. C’est le Wall Street Journal qui dévoile ces pratiques qui manquent de transparence.

Le journal explique que les opérateurs téléphoniques sont censés demander la permission pour partager ces données de localisation, mais que dans le cas des sociétés tierces, les opérateurs se contentent de « supposer » que celles-ci ont bien demandé la permission : c’est ce qu’on appelle le processus de « consentement en chaîne ». Ce laxisme a donc permis, via des sociétés comme Sécurus Inc. et les données qu’elle possède, de connaître la localisation de milliers de personnes en faisant une simple recherche sur leur site internet.

Suite au scandale Securus Inc., les quatre grands opérateurs nationaux américains ont promis d’arrêter de travailler avec des sociétés qui utilisent les données des clients sans leurs permissions et ont promis de nouvelles garanties quant à la gestion de ces données, sans toutefois détailler la manière de procéder.

« Ce n’est que la pointe de l’iceberg », explique Laura Moy, experte en droit de l’université Georgetown, lors d’une audition sur la protection de la vie privée sur internet. « Nous sommes probablement en train de voir ce qui pourrait être le début d’une enquête de grande ampleur sur de nombreuses violations de la vie privée », déclara-t-elle.

Ce laxisme vient directement du fait que la loi fédérale sur la protection de la vie privée passée sous l’administration Obama ait été abrogée par le Congrès. À partir de là, « ce fut un feu vert pour les opérateurs de télécommunication pour monétiser les données de localisation des clients », déclare Al Gidari, professeur de droit à l’université de Stanford.

Environ 75 entreprises ont eu accès à la localisation des clients de Verizon en juin dernier. L’opérateur a déclaré mettre fin à sa collaboration avec celles-ci, mais cherche un arrangement pour les remplacer.

Les sociétés qui se servent de ces données déclarent qu’elles aimeraient maintenir le partage de localisation puisque les clients peuvent les trouver utiles. Les entreprises d’assistance de sécurité routière utilisent par exemple ces informations pour amener une dépanneuse à des automobilistes bloqués.

« Les intermédiaires vendent la localisation des Américains au plus offrant, sans leur consentement, ou rendent la localisation disponible sur des portails web non sécurisés », estime le sénateur démocrate Ron Wyden. Pour l’heure, le porte-parole de la FCC (Federal Communications Commission) a déclaré que le bureau d’application de la règlementation des télécommunications étudiait la question.

Plus près de chez nous, c’est l’application de fitness Polar Flow qui a attiré l’attention des autorités quand on s’est rendu compte que la localisation de ses utilisateurs était accessible pour tout le monde. Des membres de la DGSE, du MI6 et du FBI étaient même concernés. Depuis, le doute est mis sur d’autres applications de fitness comme Strava et Endomondo, qui auraient également de gros problèmes de laxisme concernant les données partagées.