Datastream, l’autre courtier qui possède des données de géolocalisation très invasives
Suivis de près

Le Monde et huit autres médias ont collaboré pour éplucher un échantillon de données du courtier en données Datastream. Celui-ci, comme Gravy Analytics, est spécialisé dans les données de géolocalisation. Des millions de personnes sont suivies à la trace grâce aux données des publicités contenues par des applications couramment utilisées comme Le Bon Coin, Candy Crush, Vinted ou encore Grindr.
Le 15 janvier à 17h28
5 min
Logiciel
Logiciel
La semaine dernière, le courtier en données de géolocalisation Gravy Analytics a subi une fuite par un pirate. Une liste de plus de 12 000 applications utilisées par le databroker pour sa collecte était ensuite révélée, dont Vinted, Tinder ou encore celle du média people français Gala, celle du Bon Coin ou encore du programme TV Télé-Loisirs. La maison mère de Gravy Analytics, Unacast, a d'ailleurs confirmé à la Datatilsynet, l'autorité de protection des données norvégienne, la fuite [PDF], expliquait en fin de semaine le média public norvégien NRK.
Mais Gravy Analytics n'est pas le seul courtier en données à s'intéresser à la géolocalisation. Nos confrères du Monde, de netzpolitik.org et Bayerischer Rundfunk (Allemagne), de Wired (États-Unis), de SRF et RTS (Suisse), de NRK Beta (Norvège), de BNR Nieuwsradio (Pays-Bas) ainsi que de Dagens Nyheter (Suède) ont pu analyser un échantillon envoyé à des fins de présentation commerciale de Datastream.
Suivie sans s'en rendre compte
Par exemple, la NRK explique avoir rencontré Line, une habitante de la ville de Moss, dans le sud de la Norvège. L'application Kik Messaging & Chat qu'elle avait installée sur son smartphone partageait sept fois par jour sa localisation sans que Line ne s'en aperçoive. « Je pense que c'est terrible et tragique », a réagi la Norvégienne quand le média lui a expliqué l'avoir retrouvée grâce aux données partagées par cette application. L'entreprise responsable de l'application n'a pas répondu aux questions de la NRK.
Le média a montré à Line comment, après avoir récupéré un simple échantillon commercial, il avait pu avoir accès non pas à son numéro de téléphone ou à son adresse email, mais aux données de localisation GPS et à l'IP de son smartphone. Line s'est étranglée : « Quoi ? C'est si simple ? Que quelqu'un puisse s'asseoir là et en savoir autant ? »
47 millions d’identifiants publicitaires dans l'échantillon
NRK explique que le smartphone de Line fait partie des 17 000 téléphones norvégiens suivis pendant une journée de l'été dernier et qui ont envoyé leurs mouvements 160 000 fois.
En effet, la base de données récupérée par nos collègues correspond au seul 2 juillet 2024. En tout, elle contient plus de 47 millions d’identifiants publicitaires distincts dans 137 pays, dont plus d’un million pour la France, explique le Monde. Ces identifiants sont générés par leur smartphone (Android ou iOS) et liés au nom de l'application utilisée par Datastream.
NRK a cartographié toutes les données du fichier représentées en rouge vif ci-dessous :

Le Monde a lui aussi pu suivre les déplacements d'une personne utilisant l'application Wordbit. Elle s'est trouvée « à proximité du village de Fussey (Côte-d’Or), en plein vignoble bourguignon, en début d’après-midi ». « Peu avant 15 heures, elle chemine le long de la départementale qui serpente dans les vignes, traverse Nuits-Saint-Georges et bifurque vers le nord, longeant certaines des parcelles viticoles les plus prestigieuses au monde avant d’entrer dans l’agglomération dijonnaise sur les coups de 15 h 30 », détaillent nos confrères.
Le Bon Coin et Vinted en bonnes places
Dans les données à leur disposition, nos collègues ont pu constater que les applications du Bon Coin et de Vinted étaient de « gros pourvoyeurs de données personnelles ». En effet, la première a partagé 177 630 données de géolocalisation fine et la deuxième 71 609 données de localisation approximative. Mais comme pour Gravy Analytics, ils ont retrouvé d'autres applications populaires comme Grindr ou Candy Crush.
Nos confrères expliquent que les données de géolocalisation fine sont collectées après que les applications ont demandé aux utilisateurs l'autorisation de les géolocaliser pour affiner les recommandations publicitaires ou leur fonctionnement. Si l'accès à celles-ci peut être refusé, l’adresse IP de l’appareil est toujours disponible pour enregistrer des données de localisation approximative.
Le Monde montre dans son article qu'un trajet d'un utilisateur peut être facilement surveillé. On peut aisément déduire son domicile ou surveiller ses déplacements dans une zone précise, comme sur le campus de l'École polytechnique à Paris-Saclay.
Netzpolitik.org précise que plus de 40 000 applications sont listées dans cet échantillon commercial de Datastream, aussi bien sur des smartphones Android que des iPhone.
Une « énorme perte de contrôle »
Interrogé par Netzpolitik.org, Martin Baumann, de l'association noyb, parle d'une « énorme perte de contrôle ». Et il constate qu'il est « pratiquement impossible pour les individus de savoir où leurs données aboutissent. [...] Les utilisateurs sont en fait privés du contrôle de leurs données ».
La plupart des entreprises responsables des applications en question n'ont pas répondu au Monde. « Le Bon Coin se borne à rappeler son attachement à "la protection des données et la sécurité des informations de ses utilisateurs", ainsi qu’au respect des réglementations en la matière », expliquent nos confrères. Du côté de Vinted, l'entreprise assure examiner le sujet « déterminer comment [ses] utilisateurs ont pu être affectés, y compris de manière indirecte via des services tiers ».
Datastream, l’autre courtier qui possède des données de géolocalisation très invasives
-
Suivie sans s'en rendre compte
-
47 millions d’identifiants publicitaires dans l'échantillon
-
Le Bon Coin et Vinted en bonnes places
-
Une « énorme perte de contrôle »
Commentaires (32)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 15/01/2025 à 17h44
Oui Tinder utilise la géolocalisation, c'est d'ailleurs le cœur de son business model car faire un Like à une personne qui vit en Australie, pas sûr d'arriver à conclure rapidement et de l'utilité...
Mais ensuite ? Donc les data sont revendues par Tinder par exemple ? Légale cette pratique ? Écrite dans les conditions d'utilisation de l'appli ?
Pas sûr...
Le 15/01/2025 à 17h56
Le 15/01/2025 à 18h34
Différents acteurs s'empilent donc tout en se lavant individuellement les mains du problème. Schéma classique de déresponsabilisation.
Le 15/01/2025 à 17h50
Le 15/01/2025 à 17h53
Le 15/01/2025 à 18h09
Le 15/01/2025 à 18h07
J'aimerais bien que l'on m'explique comment une adresse IP sur mobile permet de suivre un utilisateur même de façon approximative. L'adresse IP attribuée est Nattée en IP V4 (et plusieurs utilisateurs présentent la même) et qu'elle soit en V4 ou V6, elle ne change pas quand on se déplace.
Que sur un abonnement Internet fixe, ça soit le cas, pourquoi pas mais actuellement les différents sites que je viens d'interroger me situent à Bordeaux alors que je suis dans le département au-dessus, donc assez loin, un me localise près de l'Allemagne, un autre (en IP V6) à Toulouse...
Et quand je fais un essai sur mobile (en ayant supprimé la connexion Wi-Fi), je tombe à Boulogne-Billancourt sur 3 sites qui s'appuient sur l'IP V6 !
Donc, c'est bien plus qu'approximatif, C'est franchement faux.
Heureusement que pour ceux qui exploitent les localisations, les utilisateurs ne refusent pas que l'on utilise leur localisation !
Le 15/01/2025 à 19h36
Le 15/01/2025 à 19h58
Un opérateur peut probablement le faire (sur demande des autorités) mais ça se fait en 2 temps : identifier l'abonné ayant telle adresse IP à un moment donné puis ensuite récupérer sa localisation à ce même moment (en utilisant effectivement l'information de l'antenne sur laquelle il était connecté à ce moment).
Quelqu'un d'extérieur au réseau de l'opérateur ne peut a priori pas le faire sans avoir piraté l'opérateur.
Le 15/01/2025 à 20h02
Modifié le 16/01/2025 à 03h21
Un peu comme mes parents qui habitant près de Nantes mais leur IP Freebox pointe en plein centre de Paris.
MAIS...
Ne pas oublier aussi que par défaut même si le Wi-Fi est OFF, Google s'autorise à continuer à scanner en permanence tous les points d'accès Wi-Fi aux alentours (sauf si on a désactivé le Wi-Fi scanning)
Si Google repère un Hot spot public, il doit pertinemment avoir une database avec les coordonnées GPS associées.
De même pourquoi est-ce que Google n'aurait pas accès à un identifiant de l'antenne réseau à laquelle mon smartphone est connecté ?
Et en zone urbaine, le hand-over (le sauté de cellule en cellule qui est fait automatiquement par le téléphone pour maintenir la connexion) a lieu très souvent avec un maillage assez fin.
Et enfin, on entend régulièrement concernant des enquêtes de police que le téléphone du suspect a borné sur telle ou telle antenne réseau... Donc les policiers savent assez précisément où était & à quelle heure le téléphone de la personne... sans GPS activé ni localisation.
Éteindre son smartphone ou retirer la SIM ET désactiver le WI-FI scanning (et pas uniquement seulement le Wi-Fi) ou bien encore le jeter par la fenêtre de la voiture tout en roulant... pour se la péter grave en face de sa copine mais là ça devient du:
Restricted to Hollywood Style Only
Le 16/01/2025 à 10h00
Pour le reste : Ce n'est pas Google qui s'autorise mais l'utilisateur qui l'autorise. On est par contre d'accord que le nom de la fonction est très ambigu afin que les utilisateurs donnent cette autorisation. Qui dépose une plainte auprès de la CNIL après avoir demandé à Google de mettre quelque chose de plus explicite ?
Mais ça ne change rien pour les application auxquelles on n'a pas donné accès à la localisation. On est dans ce cas dans la phrase que j'ai mise en gras dans mon commentaire précédent.
Cela ne change toujours rien pour l'accès à la localisation des applications.
Oui, la police sait localiser précisément surtout en ville un mobile par les antennes. Cela ne date pas d'hier. Il y a même un épisode de Columbo de 1994 qui s'appuie là-dessus pour confondre l'assassin.
Mais ça ne change toujours rien pour les applications auxquelles on a interdit l'accès à la géolocalisation.
Le 16/01/2025 à 12h04
Le 16/01/2025 à 12h27
Bon, pour une télé fixée au mur, ce n'est pas bien grave, mais pour un smartphone qui bouge, ça l'est.
Oui, ils indiquent en exemple ce qui va te pousser à activer la fonction. Ne décrivant pas tous les traitements, ton consentement n'est pas éclairé, donc pas valide.
Sur mon smartphone, il faut aller en bas de la page localisation pour lire que cela permet aussi à Google et des tiers d'améliorer, fournir et gérer des services de Google en fonction de leurs intérêts légitimes, afin de répondre aux besoins des utilisateurs.
Et il y a un lien non cliquable pour plus d'informations. Je n'ai même pas réussi à le copier (en le tapant à la main, je n'ai pas plus d'information. Je doute fortement que l'intérêt légitime soit ici un motif valable (les CNILs le rejettent pratiquement toujours ; seul l'amélioration de service peut être légitime). L'absence d'information rend le consentement non valable.
Le 16/01/2025 à 12h34
Par contre "ce qui va te pousser à activer", je ne suis pas d'accord, leur exemple est précisément ce qui me pousse à désactiver
Par contre de ce côté pour le RGPD, je suppose que Google ne traque pas l'utilisateur (ie ne collecte pas sa position)... Juste "la position anonyme + liste des réseaux wi-fi et objets Bluetooth à proximité". Derrière ton tél, si pas de GPS activé, envoie cette liste, récupère une position, qui se trouve partagée par les applis évoquées dans cet article.
Le 16/01/2025 à 12h11
A contrario, depuis longtemps, les rayons antennes/téléphones s'étant largement amélioré (d'où le fait qu'on ne perde plus les communications en déplacement), on est très souvent couverts par plusieurs antennes, ça ouvert la voie aux recoupements. Ceci dit, quand on sait qu'on reçoit un signal à "telle puissance" sur une antenne, on ne sait pas si le signal s'est propagé en ligne droite.
Finalement, avec les antennes 5G qui font du beamforming pour "ne cibler que le téléphone de l'utilisateur", et dont il paraît qu'il faut plein d'antennes parce qu'on ne peut recevoir que si l'antenne est visible (en gros les rebonds ça marche plus trop), si on additionne tout ça, "en vue direct de l'antenne" + "puissance réception" + "angle du téléphone par rapport à l'antenne", ça doit plus laisser trop de marge d'erreur pour la géoloc...
Modifié le 16/01/2025 à 16h24
Dans le processus d'attribution d'une IP (Internet fixe ou mobile), il n'y a rien d'explicitement lié à des paramètres géographiques.
Concernant le Wi-Fi scanning, on pourrait penser que le Wi-Fi est entièrement désactivé quand on sélectionne Wi-Fi OFF dans les options. (mais c'est vrai il est mentionné le contraire sous l'option dans mon LineageOS).
Je me demande tiens d'ailleurs en mode avion si la puce Wi-Fi est toujours active à scanner. Je pense que oui, car elle n'émet pas mais ne fait qu'écouter ce qui est la fonctionnalité même du mode avion de ne pas perturber l'environnement à bord.
Et pour Colombo, comme quoi apparemment on peut toujours rouler en 403 mais être quand même en avance sur son temps...
Le 17/01/2025 à 23h16
Je ne suis pas au fait du détail de fonctionnement de ces apps, mais, en principe, si certaines utilisent webRTC pour de la mise en relation d'utilisateurs alors il suffit d'analyser les profils et de se demander lesquels ont leurs services de localisation ouverts afin de créer la fuite nécessaire pour déterminer où est Alice par rapport à Bob.
"Approximatif" est un euphémisme avec le web débilo-pratique des temps modernes.
Le 19/01/2025 à 12h38
Le 15/01/2025 à 19h25
Le 15/01/2025 à 19h33
L'appli est impactée ?
Le 15/01/2025 à 20h03
Si les informations dont disposent les brokers permettent de déterminer beaucoup de chose au sujet des personnes, connaître des choses (notamment les localisations) devrait permettre de retrouver les personnes.
Si on prend (totalement au hasard), un personnage politique, dont on connait plus ou moins certains déplacement, il doit être possible de le retrouver et l'identifier dans la liste de toutes les personnes dont le broker a des données. Puis on lui envoi. On serait ainsi en mesure de retracer l'ensemble des déplacements qui ont été "suivi".
Avec un ministre ou un chef, d'état, cela serait très "rigolo".
Le 15/01/2025 à 22h50
Le 15/01/2025 à 23h08
Après, ça peut aussi être "rigolo" de faire ça avec les élus locaux, qui sont probablement beaucoup plus ignorants de ces choses et qui pourraient être bien embêtés que leur passage chez tel industriel en semaine soit rendue publique.
En tous cas, ça peut être une sacré source de scoops.
Next ne voudrait pas faire la Une nationale en étant "le média d'investigation qui a indiqué au Canard enchaîné la liaison extraconjugale de XXX via ses données de géo-localisation accessibles en ligne" ? 😁
Le 16/01/2025 à 09h29
C'est plutôt la visite chez l'industriel qui va les intéresser.
Modifié le 16/01/2025 à 16h43
Ensuite pour "affiner", il faut un paparazzi avec téléobjectif et volets & rideaux ouverts...
Et là enfin on peut finalement conclure (comme Jean-Claude D.)
Le 16/01/2025 à 12h00
Le 16/01/2025 à 16h31
En gros on pouvait savoir quand un sous marin nucléaire était en patrouille de telle date à telle date car... plus d'update sur le compte pendant 2 mois et demi - 3 mois...
Car la 4G/5G, elle passe pas très bien à 200m-300m de profondeur et toujours pas le Wi-Fi à bord... vu le prix du bestiau, c'est naze les services à bord
Le 16/01/2025 à 10h08
Le 16/01/2025 à 12h02
Le 16/01/2025 à 12h08
Il y a forcément un identifiant (qui est une donnée personnelle), sinon, partager les données ne servirait à rien. Donc, si, le RGPD s'applique.
Modifié le 16/01/2025 à 12h21
Effictivement si je lis correctement https://gdpr.eu/eu-gdpr-personal-data/ l'identifiant pub du tél devrait être considéré comme donnée personnelle.
Citation : "Looking back at the GDPR’s definition, we have a list of different types of identifiers: “a name, an identification number, location data, an online identifier.” ". Donc bonus, les information de position sont un indentifiant.
Donc je me trompe (et toi aussi) ? Les gens donnent leur accord ? Ou ces applis ne respectent pas le RGPD ?
Edit: ajouté la citation et la partie sur les données de position.