Comment des données "anonymes" ont été utilisées contre un évêque américain utilisant Grindr

Sur le Web, les données sont rarement anonymes. Dans un article publié le 20 juillet, un site dédié à l'actualité de la religion catholique aux États-Unis a révélé que Mgr Jeffrey D. Burrill, secrétaire général de la Conférence des évêques avait fréquenté des établissements gays, le poussant à la démission.

Pour collecter ces informations, le média conservateur, qui va jusqu'à qualifier ces habitudes de "comportements inappropriés", a mis la main sur des données provenant de l'application Grindr. Une plateforme dédiée aux rencontres au sein de la communauté homosexuelle. Cette intrusion dans la vie privée montre de quelle façon des données censées être anonymes peuvent se retourner contre l'utilisateur d'une simple application.

Géolocalisation sur Grindr

Les utilisateurs de Grindr, qui se présente comme "le plus grand réseau mondial de rencontres pour les personnes gays, bi, trans et queer", créent un profil avec leurs préférences amoureuses. Ils reçoivent une notification quand un autre utilisateur est à proximité, impliquant l'utilisation de fonctions de géolocalisation par GPS.

The Pillar affirme avoir mis la main sur les données liées à l'appareil de Jeffrey Burrill, sur deux périodes de 26 semaines en 2018, puis sur 2019 et 2020. Le média indique avoir obtenu ces informations via un vendeur de données en ligne, avant de les faire authentifier par "une société spécialisée du domaine".

Pour opérer, le site américain a détourné des données parfois présentées comme "anonymes". Il s'agit d'un agrégat de positions géographiques liées à des appareils, répertoriés grâce à un identifiant unique, mais sans lien direct avec l'identité de l'utilisateur.

Des données "désanonymisées"

De telles bases de données, qui sont ainsi pseudonymisées, sont régulièrement échangées par des acteurs de la publicité en ligne pour étudier le comportement de catégories d'internautes, par exemple utilisant une application précise.

Dans le cas de Jeffrey Burrill, The Pillar a mis en place une stratégie pour retrouver le numéro d'identification correspondant à l'évêque, en isolant les mobiles ayant été recensés aux endroits qu'il fréquentait, comme son bureau, son domicile, mais aussi la localisation de réunions publiques auxquelles il avait participé.

En utilisant de tels critères à partir d'une base de données, The Pillar a pu établir les correspondances avec le numéro d'identification de son mobile, pour ensuite étudier l'ensemble des autres signaux GPS recensés. Une pratique de "désanonymisation", sur laquelle alertent de longue date par les spécialistes de la vie privée.

Sur son site, la CNIL rappelle ainsi la différence entre des données anonymisées (qui ne permettent jamais d'identifier un individu) et des données pseudonymisées. "La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. En pratique, il est toutefois bien souvent possible de retrouver l’identité de ceux-ci grâce à des données tierces" rappelle ainsi la Commission.