Protection des données dès la conception : le cas de la géolocalisation des appareils

Rédigé par Franck Baudot

 - 

06 septembre 2016


La prise en compte de la protection des données dès la conception d’un produit ou d’un service est consacrée par l'article 25 du Règlement général pour la protection des données, qui évoque également le principe de protection par défaut. Indépendamment de cette dimension légale, une série de billets se propose de présenter quelques cas afin de montrer qu'une telle approche est une stratégie gagnante-gagnante pour les responsables de traitement et les personnes. Ce premier billet porte sur le cas de la géolocalisation des appareils.

Lorsque nos smartphones se géolocalisent à partir des points d'accès Wifi ou des antennes GSM situés à proximité de l'appareil, le principe sous-jacent est le suivant : certains acteurs disposent d'une base de données (parfois gigantesque) répertoriant les points d'accès wifi (vos "boxes" notamment, ou encore les hotspots des opérateurs, les points d’accès wifi des entreprises…) ainsi que leur position géographique, avec une précision de quelques mètres. Il est possible de se géolocaliser précisément en collectant quelques points d'accès autour de nous, et en réalisant un calcul mathématique appelé triangulation, qui consiste à estimer une position à partir de la position relative et connue d’au moins trois sources émettant un signal.

Comment réaliser cette fonction (ce service) et quelles approches sont plus protectrices de la vie privée des personnes ?

Approche 1

Approche 2

Approche 3

Approche 1 : le serveur localise le smartphone

Une première approche consiste à laisser le téléphone interroger le serveur hébergeant la base de données, lequel pourra déterminer la position par triangulation et la retransmettre au téléphone. Mission accomplie, certes, mais ce faisant le serveur connait la position du téléphone à chacune des demandes de géolocalisation. Il vous suit à la trace...

 

approche_1.jpg
 

Approche 2 : le smartphone se localise avec l'appui du serveur

Lors d'une première demande de géolocalisation à partir de quelques points d'accès wifi, le serveur ne renvoie pas la position mais une collection (disons quelques centaines) de points d'accès wifi extraite de sa mégabase, ainsi que leur position géographique respective. Ce nuage de points est centré sur la position approximative du téléphone. C'est le téléphone qui réalise l'opération de triangulation pour trouver la position géographique la plus précise et rendre le service. Cette méthode évite qu'un serveur ne suive les positions géographiques des personnes dans le temps : le serveur connait la position globale du smartphone, mais ne récupère pas les traces de ses déplacements dans la zone. Cela réduit de surcroit le nombre de requêtes faites au serveur, réduisant d'autant la charge sur celui-ci.

 

approche223.jpg
 
 

Ces deux approches ne sont pas des cas théoriques : il s'agit du fonctionnement des smartphones les plus répandus.

 

Approche 3 : le smartphone se localise de manière autonome

Une troisième approche serait encore plus "privacy-friendly" : les téléphones disposeraient d'une base en local, éventuellement de manière partielle en fonction de l’espace de stockage dont dispose le téléphone (une base de 70 millions de points équivaut à un fichier compressé de l’ordre de 700 Mo), quitte à la mettre à jour de manière régulière afin de garantir sa fiabilité. L'enjeu est notamment la constitution d'une base libre d'accès en lieu et place des bases des fabricants de systèmes d'exploitation des téléphones. C'est l'objet de l'initiative Wigle, une base à laquelle chacun peut contribuer en utilisant l'application dédiée (disponible sous Android seulement). La fondation Mozilla met également à disposition une base de données de points d'accès GSM géolocalisés issue du projet opencellid.org. La fondation considère que la mise à disposition des points d’accès wifi soulève des questions de vie privée (voir encadré).

 

approche3.1.jpg

 

Toutefois, la constitution de bases libres seulement ne suffira pas à garder sa géolocalisation privée. L'enjeu se situe tout autant dans les systèmes d'exploitation de nos téléphones : les fabricants ne permettent pas à l'heure actuelle de choisir un service de géolocalisation plutôt qu'un autre, les systèmes sont "fermés". Et compte-tenu des enjeux, que nous avons soulevés dans notre expérimentation Mobilitics, la géolocalisation, la reine des données, les éditeurs ne semblent pas prêts à faire cette concession...

 

 

 

En plus

Vous participez (sans doute à votre insu) à alimenter ces services, de deux manières:

  •   lorsque vous envoyez la liste des points wifi autour de vous : si un des points wifi n’était pas répertorié à cet endroit, par exemple dans le cas du déménagement de la box, la base de l’opérateur est mise à jour ;
  •   si vous disposez d’une box internet dont le wifi est actif. En effet, le SSID de votre box (acronyme de Service Set Identifier, le SSID est le nom d'un réseau sans fil) a vraisemblablement été collecté et inscrit dans les bases évoquées ci-dessus.

Si vous ne souhaitez pas que votre box serve à la géolocalisation des personnes dans votre quartier, il existe une possibilité (qui n’est toutefois pas appliquée par tous les acteurs qui collectent ces données) : ajouter _nomap à la fin du SSID de votre Wifi. Lorsque vous installerez une nouvelle box, vous disposerez d’une autre possibilité : activer la fonction de masquage de l’envoi du SSID.

(image : Flickr - cc-by - Alan Levine)



Article rédigé par Franck Baudot , Ingénieur expert en technologie de l'information