Comme annoncé dans son plan stratégique 2022-2024, la CNIL « souhaite rendre visibles les flux de données des applications mobiles », et lance donc une étude basée sur « un jeu de données de géolocalisation obtenu auprès d’un data broker (courtier de données) ».
Elle lui a demandé, « dans les mêmes conditions que n’importe quel potentiel client », à pouvoir accéder à « un échantillon de données correspondant à la France […] présentées comme anonymisées par le revendeur de données ».
Ce fichier est constitué de données de géolocalisation horodatées associées à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021.
La CNIL « vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci. »
L’autorité précise que ce travail de réidentification ne concernera que les seuls identifiants publicitaires « pour lesquels au moins dix points de localisation sont présents », soit « environ 850 000 identifiants publicitaires différents ».
Un projet qui devrait durer 15 mois, « à l’issue desquels les données seront supprimées », l’étude devant déboucher sur plusieurs publications sur le site du Laboratoire d’innovation numérique de la CNIL (LINC).