Données de géolocalisation, on vous suit !

Êtes-vous riche ? Souffrant ? En quête de l’âme sœur ? Adepte de cannabis ? Un nombre insoupçonné d’entreprises québécoises et ontariennes épient vos déplacements pour le savoir. Sans être surveillées en retour et, parfois, sans protéger suffisamment ces informations délicates. Le commissaire fédéral à la vie privée et des experts de tous horizons dénoncent ce « Far West ».

« On ne sait pas qui se ramasse avec quoi »

Avant la pandémie, La Presse a dévoilé que l’application MétéoMédia filait des millions de Canadiens. Aujourd’hui, avons-nous constaté, c’est le cas d’un nombre insoupçonné d’entreprises canadiennes spécialisées dans l’exploitation de données. D’après leurs pages web, elles créent des « audiences » d’élèves d’écoles secondaires, d’acheteurs impulsifs, de patients, de consommateurs de cannabis, de joueurs de casino…

Leurs sources ? Des centaines de milliers d’applications de rencontres, de navigation automobile ou autres, qui leur communiquent en temps réel la position GPS de votre téléphone.

Leur but : vous connaître pour mieux vous cibler et influencer vos gestes.

Cette surveillance leur permet de brosser votre portrait sans jamais interagir avec vous. Ni devoir rendre des comptes aux autorités avant qu’il ne soit trop tard.

L’expert en marketing connaît le milieu, puisqu’il a créé et vendu deux agences de publicité numérique.

Les agences québécoises doivent être prudentes, confirme une autre source en leur sein, non autorisée à parler publiquement : « On écarte chaque mois des partenaires [de données] potentiels parce qu’ils sont incapables de répondre à nos questions et que ça semble un peu louche. »

Le Commissariat à la protection de la vie privée du Canada est inquiet. Au point d’avoir lancé en février une enquête sur la manière dont l’Agence de santé publique du Canada a analysé les déplacements de millions de citoyens (lire la suite après-demain).

La géolocalisation est devenue « très répandue » dans les secteurs public et privé, a-t-il déclaré. En ajoutant qu’elle suscite « des préoccupations légitimes », car les gens pistés risquent d’être réidentifiés, même si leurs renseignements sont dépersonnalisés et agrégés.

Entre autres parce que savoir où « dort » un téléphone permet de deviner l’adresse de son propriétaire.

La collecte de données se fait de manière « opaque », condamne le porte-parole du Commissariat dans un courriel envoyé à La Presse. Comme l’ont fait en entrevue 10 professeurs ou experts en marketing, sécurité informatique, intelligence artificielle, communication sociale et droit.

M. Desjardins a fait un doctorat sur « la complexité et la duplicité à l’ère numérique » à l’Université du Québec en Outaouais (UQO).

Les géants Google et Facebook – qui engrangent des milliards en fichant l’humanité depuis bientôt 20 ans – dominent toujours le marché. Mais les autres entreprises peuvent s’alimenter auprès de centaines de milliers d’applications, souvent gratuites, qui gagnent maintenant l’essentiel de leurs revenus en revendant des renseignements intimes.

Une seule appli renvoie souvent aux règles de plusieurs partenaires. Dans un rapport dévastateur sur l’industrie, le Conseil des consommateurs norvégien révèle que l’appli de maquillage virtuel Perfect365 transmettait les données de ses utilisateurs à… 70 autres entreprises, qui les communiquaient à leur tour à des tiers.

Apple et Google ont commencé à modifier le système d’exploitation de leurs appareils pour limiter la cueillette de leurs concurrents. Mais de nombreuses applications ont trouvé le moyen de continuer.

Petites entreprises, millions de données

Pour comprendre ce qui est collecté au pays, La Presse a contacté neuf firmes canadiennes qui achètent, transforment, analysent, vendent ou « louent » leurs accès à un geyser de données de déplacements. Souvent combinées à une mer d’autres renseignements.

Certaines entreprises sont directement alimentées par des applications et d’autres, par des intermédiaires appelés courtiers en données. Le tout se retrouve sur leurs propres plateformes de ciblage publicitaire ou sur celles de leurs clients.

Elles le font pour répondre aux besoins des annonceurs et vont moins loin que Google, Apple, Facebook et Amazon, précise le professeur Sylvain Amoros. « J’aime autant qu’elles investissent le marché, et placent les annonces dans des médias locaux, que de tout laisser aux géants du web qui assoient ainsi leur position dominante. »

Pour de modestes entreprises, les firmes canadiennes réalisent toutefois une collecte colossale¹.

À Montréal et à Toronto, l’agence de publicité numérique Native Touch – qui compte 25 employés, d’après LinkedIn – reçoit la position de 9 millions de Canadiens depuis des années.

Ce « flux continu » de données « précises » lui arrive « en format brut ». « Toutes les 5 à 10 minutes », précise le site web de l’agence de publicité numérique Native Touch.

Celui de la plateforme montréalaise Campsite, partenaire de Native Touch, indique qu’elle reçoit en outre l’âge et le sexe des gens suivis ainsi que les pages qu’ils ont consultées dans les applications.

Chez Environics Analytics – une firme torontoise rachetée par Bell –, 100 000 applis alimentent une banque nommée « MobileScape » qui permet de remonter le temps jusqu’en 2018. Des millions de « données brutes » révèlent « presque en temps réel » où les consommateurs vivent, travaillent, dépensent et se divertissent ; à quelle heure et pour combien de temps.

La plateforme de géomarketing Propulso, une entreprise de Magog, peut quant à elle localiser plus de 1 milliard d’appareils « à trois mètres près ».

Spotzi, établie à Toronto, compte finalement sur les données de 200 000 applications mobiles, qu’elle peut associer aux réponses obtenues à des questions de sondage parfois très indiscrètes.

Certaines catégories s’intitulent : « A personnellement des troubles érectiles », « Incontinence », « Traitement contre la ménopause ».

D’autres concernent les pertes d’emploi, les divorces ou les adeptes de « divertissements pour adultes »… Ou sont étiquetées : « Avec une carte de crédit, je peux acheter le genre de choses que je ne pourrais pas me payer normalement ».

Élèves dans les écoles et patients dans les hôpitaux

Quatre des neuf entreprises contactées par La Presse ont ignoré nos questions ou refusé d’y répondre, en bloc ou en partie.

Celles qui nous ont parlé, dont Propulso et Environics, s’intéressent uniquement aux 8 à 10 millions de Canadiens ayant accepté d’être localisés par des applications dignes de confiance, disent-elles.

Un code propre à chaque téléphone (ou un dérivé) remplace les noms et adresses. Les renseignements de tous sont par ailleurs combinés, puis analysés afin de créer des centaines de sous-groupes dotés des caractéristiques recherchées par les annonceurs.

Ces gens – ou « segments » – se voient ciblés directement sur leurs appareils, ou encore, sur les panneaux publicitaires des lieux qu’ils ont l’habitude de fréquenter.

Certains filtres de la plateforme Campsite sortent du lot. « Acheteurs impulsifs », « joueurs de casino », « nouveaux immigrants », « stade de vie – pharmaceutique »…

Native Touch offre par ailleurs accès – sur une page web solitaire, n’ayant aucun lien avec son site – à 121 autres « audiences » de personnes récemment « vues » à divers endroits par l’intermédiaire de leur téléphone. Dont des élèves d’écoles secondaires – forcément mineurs. Des patients dans des hôpitaux, cliniques et pharmacies. Des parents dans des garderies. Et des consommateurs de cannabis.

Interrogé à ce sujet, son président a refusé d’en dire plus. Native Touch « interdit spécifiquement le ciblage individuel » et effectue plutôt des « analyses à grande échelle », nous a simplement écrit Saad Uddin.

Une autre entreprise torontoise, Stack Adapt, vante sur son site son expertise en matière de campagnes politiques, pharmaceutiques ou relatives aux jeux d’argent. Deux fournisseurs de données de localisation aident également les clients de cette plateforme à joindre « toute personne ayant visité des lieux liés au cannabis au Canada ».

Stack Adapt écrit sur son site que « les réglementations peuvent être surmontées de manière créative avec des publicités et un ciblage ingénieux », sans préciser comment ni vouloir répondre à nos questions.

En 2019, le New York Times a obtenu un ensemble de données révélant les déplacements de 12 millions d’Américains sur une période de quelques mois. Même sans connaître leurs noms, les journalistes ont pu identifier des gens, parfois en quelques minutes, en devinant leur adresse. Ils ont découvert le trajet quotidien de militaires, de notables, de policiers. Et appris qui s’était rendu au manoir Playboy, chez Donald Trump ou chez différentes stars. Comme s’ils avaient eu une puce électronique sous la peau.

Un employé malveillant pourrait vendre des renseignements à des puissances étrangères ou s’en servir pour se venger d’un ex-conjoint, ont-ils écrit.

Au Canada, le Commissariat à la protection de la vie privée expose d’autres risques dans ses lignes directrices : humiliation, dommage à la réputation, perte financière, vol d’identité…

« Une catastrophe de sécurité »

Après vérification, Patrick Mathieu, cofondateur du regroupement de spécialistes en sécurité HackFest, a repéré chez trois firmes canadiennes des failles précises. Comme l’utilisation d’un serveur désuet, qui aurait dû être mis à jour il y a quatre ans.

« Pour des pirates, ce serait une porte d’entrée énorme ! C’est incroyable que de toutes petites entreprises – sans responsable de la sécurité – gèrent des millions de points de données partout ! »

La négligence de plusieurs firmes américaines de marketing a déjà causé des fuites majeures. Elles avaient laissé des informations personnelles non chiffrées ou accessibles sans mot de passe.

Toute l’industrie doit se soumettre à des inspections et à des tests faits par une tierce partie indépendante qui s’engage juridiquement à la véracité de ce qu’elle écrit, plaide le président de Crypto.Québec, Luc Lefebvre.

« Ce serait la fin pour plusieurs, prédit-il, ce milieu est une catastrophe de sécurité ! »

Environics détient pour sa part plusieurs certifications de sécurité et met son système à l’épreuve une fois par an, au moins, précisent son site et sa présidente.

Propulso se plie aussi à des audits externes et est en processus de certification, indique son directeur général.

Ni Native Touch ni Stack Adapt ne nous ont répondu à ce sujet. Sur leurs sites, ils se disent incapables de « garantir » la sécurité des données, même en prenant des mesures « raisonnables », car aucune ne s’avère infaillible.

« Avec les ordinateurs quantiques, on peut craquer des mots de passe qui ne pouvaient pas l’être il y a quelques mois. Il y a toujours des avancées très rapides dans ce domaine », explique le professeur de marketing Sylvain Amoros.

Meilleur pour l’économie canadienne

D’après une étude internationale de 2019, plus de 1300 applications Android ont collecté des renseignements de localisation même quand les paramètres de confidentialité des téléphones l’interdisaient.

Mais les choses ont évolué, affirme Jan Kestle, présidente d’Environics Analytics, qui sert plus de 3000 entreprises, dont une centaine d’agences et de plateformes publicitaires.

Les fournisseurs d’Environics et de Propulso s’assurent d’obtenir des consentements clairs, disent leurs dirigeants.

Propulso souligne de son côté que la majorité des sommes investies sur sa plateforme demeurent « dans notre PIB national et se voient donc taxées plutôt que de partir dans les GAFAM américains ».

L’entreprise n’effectue pas de microciblage et ne suit personne plus de 30 jours, rapporte son directeur général, Mathieu Le Reste.

« On rejette les publicités sur la politique, les casinos, le cannabis, les armes ou le tabac. Et on barre le ciblage d’hôpitaux, d’écoles primaires, de cliniques d’avortement, de maisons de soins palliatifs ou de bases militaires. »

Ramasser les débris

Protéger les données massives ne doit plus reposer sur les épaules des individus, car l’enjeu de sécurité les dépasse, plaide le professeur Pierre Trudel, du Centre de droit public de l’Université de Montréal. « On a besoin d’inspecteurs pour s’assurer qu’elles sont gérées de façon loyale et sûre, puisqu’elles peuvent engendrer de la richesse, mais aussi des injustices.

« Réagir après des incidents, ça revient à s’occuper de la sécurité aérienne au moment où on ramasse les débris ! »

1. Tel que l’explique le texte « Pourquoi l’authentification ? » publié l’an dernier, La Presse collecte des renseignements uniquement auprès de ses propres lecteurs et ne les vend pas.

Des indiscrétions à faire frémir

Inspirés – parfois même assistés – par les experts en marketing, des policiers, des groupes religieux ou politiques, des assureurs et des prêteurs scrutent aussi nos déplacements en localisant nos téléphones intelligents. Les États-Unis ont connu plusieurs dérives. « Mais puisque les données n’ont pas de frontières, les scandales sont nord-américains plutôt que canadiens ou américains », affirme Sylvain Amoros, professeur de marketing à HEC Montréal.

Les coups durs

Près de 1 million de jeunes Américaines ont été localisées dans des cliniques d’avortement grâce à des applications. Cela a permis à une firme du Massachusetts, Copley Advertising LLC, de leur envoyer des messages trompeurs disant « C’est votre choix », alors qu’ils les redirigeaient vers les sites d’organisations antichoix. Le cerveau de cette opération a dit pouvoir cibler les cliniques canadiennes.

La vie sexuelle

Un groupe religieux américain a acheté les profils d’utilisateurs de Grindr, application destinée aux personnes LGBT, pour provoquer la démission d’un prêtre, l’an dernier. Ses données de localisation ont révélé qu’il vivait dans un presbytère et avait fréquenté un bar gai.

L’état de santé

Après s’être rendus aux urgences ou dans des cliniques de la douleur, des patients de la région de Philadelphie ont reçu les annonces d’avocats spécialisés en poursuites pour dommages corporels. Le GPS de leur téléphone avait informé la firme de marketing Tell All Digital de leur présence en milieu médical.

Les finances

Un dirigeant d’Uber a indiqué à Bloomberg en 2017 qu’Uber affiche des prix plus élevés quand des clients se déplacent d’un quartier riche à l’autre, présumant qu’ils seront prêts à payer plus.

La religion

Des applications de prière comme MuslimPro ont révélé la présence de leurs utilisateurs dans des mosquées et ailleurs. Ces informations sont passées de main en main avant d’aboutir chez deux courtiers, qui vendent – sans mandat – des données à des entreprises militaires, au FBI et à des agents frontaliers.

[Muslim Pro indique avoir rompu ses liens avec ses partenaires avec qui elle partageait les données de ses utilisateurs dès que l’allégation de partage de données avec des autorités militaires américaines a été portée à sa connaissance, même si le partenaire en cause a affirmé à Muslim Pro que les données de ses utilisateurs n’avaient pas été partagées avec les autorités américaines.]

Le crime

Au moins 10 000 fois en trois ans, les policiers américains ont analysé le parcours de tous les téléphones localisés près d’une zone de crime dans l’espoir de trouver son responsable. Une méthode qui entraîne la surveillance inconstitutionnelle d’une foule de citoyens innocents, a tranché en mars un tribunal fédéral situé en Virginie.

L’opinion publique

Avec l’ancienne firme Cambridge Analytica, le parti de Donald Trump a classé des millions d’électeurs noirs dans une catégorie intitulée « dissuasion », pour les bombarder de messages affirmant qu’Hilary Clinton était raciste, lors de l’élection de 2016. Dans les swing states – où ils avaient été localisés –, le taux de participation des Noirs a dégringolé. Ce qui a été déterminant.

Une kleptocratie numérique ?

Nous vivons dans une « kleptocratie numérique », dénonce le documentaire The Great Hack, sur Netflix. « Nous bombardions [les électeurs] sur toutes les plateformes imaginables ! Jusqu’à ce qu’ils voient le monde comme nous le voulions et votent pour notre candidat », y expose une ex-stratège de l’ancienne firme Cambridge Analytica, proche de Donald Trump.

Nos données nous pollueront de plus en plus la vie, prévient l’expert en sécurité Marc Goodman, dans son livre How Our Radical Dependence on Technology Threatens Us All. « Comme les gens qui, au XX^e siècle, n’hésitaient pas à déverser des rejets industriels dans une rivière ou à jeter des ordures dans la rue, dit-il, nous ne mesurons pas les conséquences à long terme de nos actions numériques. »

Comment protéger notre intimité

Après maints scandales, les géants du web et Québec commencent à mettre en place des outils pour réduire le profilage. Est-il encore possible de le faire et les citoyens peuvent-ils être protégés ? Des experts répondent à nos questions.

Peut-on échapper aux suivis futurs ?

Au Québec, un propriétaire de téléphone sur deux – les utilisateurs d’iPhone – a maintenant cette chance. Depuis l’été dernier, une fenêtre jaillissante (pop-up) les avise dès qu’une application veut les tracer à des fins publicitaires. S’ils refusent, le système d’exploitation de l’appareil empêche l’application d’accéder au code unique qui y est associé.

Les propriétaires de modèles Android ont d’autres options, plus complexes.

« Ceux qui vont en sortir gagnants, ce sont Apple, Google et Facebook, car eux sont capables de faire des suivis d’une autre manière », prévient Mathieu Le Reste, directeur général de la plateforme de géomarketing Propulso.

Découvrez comment fait Apple Découvrez comment faire avec Google (en anglais)

Les mesures en place sont-elles infaillibles ?

Pas d’après une étude de l’Université d’Oxford qui sera présentée à l’été lors d’une conférence de l’Association for Computing Machinery. De nombreuses applications continuent leur suivi illégalement ou contournent l’interdit d’Apple en employant d’autres technologies, encore moins transparentes. Comme prendre les « empreintes digitales » des appareils afin de les reconnaître sans avoir besoin de leur identifiant publicitaire.

Le quart des sites web les plus fréquentés emploient aussi cette méthode, dévoile une étude de l’Institute of Electrical and Electronics Engineers, une association mondiale. Sans qu’on le sache, ils stockent sur leurs serveurs une série de variables (nom et version du navigateur, polices, modules d’extension, adresse IP, etc.).

Certains navigateurs s’efforcent de bloquer cette pratique.

Les chercheurs d’Oxford ont par ailleurs découvert des « divergences notables » entre ce que des applications déclarent faire comme traitement de données et ce qu’elles font dans les faits.

Peut-on effacer notre profil passé ?

Il est trop tard, répond Guillaume Desjardins, professeur à l’Université du Québec en Outaouais. « Même si vous désinstallez un petit jeu après cinq secondes, le mal est déjà fait. Vos informations pourront être relayées à l’infini. »

Les sites web de certains courtiers de données expliquent comment disparaître de leurs banques. En Californie et au Vermont, ils doivent figurer dans des registres. Mais au Canada, la population ignore leur existence.

« Et certains font tout pour que ce soit compliqué. Parfois, le lien pour se désabonner est faux, ou ils exigent une demande par fax ou de payer », constate Guillaume Desjardins, qui étudie ce genre de stratégies, dites de « confusopolie ».

« Les conditions d’utilisation de plusieurs applications sont elles aussi 15 fois trop longues et incompréhensibles », souligne pour sa part Sandrine Prom Tep, professeure de marketing numérique à l’Université du Québec à Montréal (UQAM).

« Arrêtons de dire que le consommateur ne fait pas ce qu’il faut, que c’est à lui de refuser. Il est piégé ! lance-t-elle. Se priver de l’internet n’est pas gérable ; la moitié de notre vie se passe en ligne. »

Que contiennent nos profils ?

Quantité de rapports révèlent comment nos profils sont engraissés d’informations ahurissantes, pas seulement de localisation¹. Des algorithmes nous cotent ainsi en matière de « profitabilité », de « risque de santé », de « sécurité d’emploi »… Une jeune pousse tenait compte du niveau de batterie des téléphones des demandeurs de prêt.

« Ça pourrait empoisonner notre vie quotidienne », craint la professeure Sandrine Promp Tep.

Facebook a déjà analysé les comptes d’adolescents pour détecter en temps réel ceux qui se sentaient « accablés » et « sans valeur », et nécessitaient « un regain de confiance ».

Des sites populaires ont même communiqué les réponses d’internautes à des tests sur la dépression.

Est-ce que la loi nous protège ?

À partir de septembre 2023, une nouvelle loi avant-gardiste protégera mieux les Québécois. Elle exigera que les conditions d’utilisation des applications soient très claires.

L’emploi de technologies pour identifier, localiser un individu ou effectuer son profilage deviendra par ailleurs interdit, à moins que ce dernier choisisse d’activer cette fonction.

Il faudra aussi consentir expressément au partage d’informations considérées comme « sensibles », même lorsqu’elles ne permettent pas de nous identifier de façon directe. Elles concernent notre santé, nos finances, notre vie sexuelle, nos convictions religieuses, notre origine ethnique et – dans la plupart des cas – nos déplacements.

Des amendes importantes sont prévues pour les délinquants. Mais il reste à se donner les moyens de faire appliquer les règles, prévient Pierre Trudel, professeur de droit à l’Université de Montréal.

L’Europe, qui a changé sa loi il y a quelques années, peine à le faire.

Chez nous, on attend depuis bientôt deux ans que le Commissariat à la protection de la vie privée du Canada et la Commission d’accès à l’information du Québec terminent leur enquête sur le suivi nébuleux des utilisateurs de l’application Tim Hortons.

Des informations « en ce qui a trait à l’adresse »

Le Canada fourmille de firmes qui emploient la géolocalisation à des fins de profilage ou de ciblage. Trop pour pouvoir toutes les présenter, mais une plateforme établie à Toronto depuis quatre ans, Spotzi, a attiré notre attention avec son outil servant à obtenir des adresses pour « créer les campagnes les plus ciblées possibles », selon son site.

Les utilisateurs de cette plateforme peuvent apparemment sélectionner l’auditoire répondant aux critères de leur choix puis télécharger les adresses des ménages qui le composent. Spotzi leur révélera en prime quel type de bâtiment se situe à chaque emplacement, sa valeur, la superficie du terrain, etc.

Ses clients peuvent utiliser ces informations pour faire du publipostage, suggère l’entreprise.

Identifier des individus grâce à ces informations ne serait toutefois pas conforme à la loi, prévient le professeur Pierre Trudel, du Centre de recherche en droit public de l’Université de Montréal.

Interrogé à ce sujet, le président de Spotzi, Remco Dolman, nous a assuré que ses clients ne peuvent y parvenir, puisqu’ils obtiennent seulement les codes postaux des gens composant les auditoires ciblés. Toutes les adresses en faisant partie sont donc exportées en même temps, nous a-t-il dit au téléphone.

Le site de l’entreprise ne l’expose pas clairement pour des « raisons de marketing », ajoute-t-il.

« C’est important d’être transparent, affirme M. Dolman. Mais Google en sait beaucoup plus sur nous et c’est bien plus effrayant et c’est vraiment caché. »