Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone

Des entreprises dont vous n'avez probablement jamais entendu parler vendent l'accès à l'historique de localisation sur votre téléphone mobile. D'un marché estimé à 12 milliards de dollars l'industrie des données de localisation compte de nombreux acteurs : collectionneurs, agrégateurs, marchés et sociétés de renseignement de localisation, qui se vantent tous de l'ampleur et de la précision des données qu'ils ont accumulées.[19659002]La société de localisation Near se décrit comme « le plus grand ensemble de données au monde sur le comportement des personnes dans le monde réel », avec des données représentant « 1,6 milliard de personnes dans 44 pays ». Mobilewalla revendique "plus de 40 pays, plus de 1,9 milliard d'appareils, 50 milliards de signaux mobiles par jour, plus de 5 ans de données". Le site Web de X-Mode affirme que ses données couvrent "plus de 25 % de la population adulte des États-Unis par mois". données de localisation de téléphone portable. Bien que peu exhaustive, la liste commence à brosser un tableau des acteurs interconnectés qui font tout, de la fourniture de code aux développeurs d'applications pour monétiser les données des utilisateurs à l'offre d'analyses à partir de « 1,9 milliard d'appareils » et l'accès aux ensembles de données sur des centaines de millions de personnes. Six entreprises ont revendiqué plus d'un milliard d'appareils dans leurs données, et au moins quatre ont affirmé que leurs données étaient les « plus précises » de l'industrie.

« Il n'y a pas beaucoup de transparence et il y a une ombre vraiment, vraiment complexe. réseau d'interactions entre ces entreprises qui est difficile à démêler », a déclaré Justin Sherman, chercheur en cyberpolitique au Duke Tech Policy Lab. "Ils fonctionnent sur le fait que le grand public et les habitants de Washington et d'autres centres de réglementation ne font pas attention à ce qu'ils font."

Parfois, des histoires mettent en lumière à quel point cette industrie peut être envahissante. En 2020, Motherboard a signalé que X-Mode, une entreprise qui collecte des données de localisation via des applications, collectait des données à partir d'applications de prière musulmanes et les vendait à des entrepreneurs militaires . Le Wall Street Journal a également rapporté en 2020 que Venntel, un fournisseur de données de localisation, vendait des données de localisation aux agences fédérales pour l'application de l'immigration. vendeur à un prêtre qui avait fréquenté des bars gays, bien qu'on ne sache toujours pas quelle entreprise a vendu ces informations.

De nombreuses entreprises promettent que la confidentialité est au centre de leurs activités et qu'elles font attention à ne jamais vendre des informations qui peut être attribué à une personne. Mais les chercheurs qui étudient les données de localisation anonymisées ont montré à quel point cette affirmation peut être trompeuse.

La vérité est qu'il est difficile de connaître toutes les façons dont vos mouvements sont suivis et échangés. Les entreprises révèlent souvent peu de choses sur les applications qui servent de sources de données qu'elles collectent, en quoi consistent exactement ces données et jusqu'où elles se déplacent. Pour reconstituer une image de l'écosystème, The Markup a examiné les sites Web et le langage marketing de chacune des 47 entreprises que nous avons identifiées comme opérant dans le secteur des données de localisation, ainsi que toutes les informations qu'elles ont révélées sur la manière dont les données leur sont parvenues. (Voir notre méthodologie ici.)

Comment les données quittent votre téléphone

La plupart du temps, le pipeline de données de localisation démarre entre vos mains, lorsqu'une application envoie une notification demandant l'autorisation d'accéder à votre données de localisation.

Les applications ont toutes sortes de raisons d'utiliser votre position. Les applications cartographiques doivent savoir où vous vous trouvez afin de vous indiquer où vous allez. Une application météo, vagues ou vent vérifie votre position pour vous fournir des informations météorologiques pertinentes. Une application de streaming vidéo vérifie où vous vous trouvez pour vous assurer que vous êtes dans un pays où elle est autorisée à diffuser certaines émissions.

Mais à l'insu de la plupart des utilisateurs, certaines de ces applications vendent ou partagent des données de localisation sur leurs utilisateurs avec des sociétés qui analysent le données et vendre leurs connaissances, comme Advan Research. D'autres entreprises, comme Adsquare, achètent ou obtiennent des données de localisation à partir d'applications dans le but de les agréger avec d'autres sources de données. Des entreprises telles que des sociétés immobilières, des fonds spéculatifs et des commerces de détail pourraient ensuite utiliser les données à leurs propres fins de publicité, d'analyse, de stratégie d'investissement ou de marketing.

Serge Egelman, chercheur à l'Institut international d'informatique de l'UC Berkeley et Le directeur technique d'AppCensus, qui a étudié les autorisations de données sensibles sur les applications mobiles a déclaré qu'il était difficile de dire quelles applications sur votre téléphone utilisent simplement les données à leurs propres fins fonctionnelles et lesquelles libèrent vos données dans l'éther économique.

« Lorsque l'application demande l'emplacement, sur le moment, parce que vous cliquez peut-être sur le bouton pour trouver des éléments près de chez vous et que vous obtenez une boîte de dialogue d'autorisation, vous pouvez raisonnablement en déduire que« Oh, c'est pour répondre à cette demande de fournir cette fonctionnalité ', mais il n'y a aucune garantie à ce sujet », a déclaré Egelman. "Et il n'y a certainement généralement jamais de divulgation qui dit que les données vont être limitées à cette fin."

Les entreprises qui échangent ces données sont réticentes à partager les applications à partir desquelles elles obtiennent des données.

Le balisage a demandé aux porte-parole. de toutes les entreprises de notre liste où elles obtiennent les données de localisation qu'elles obtiennent. avantage concurrentiel, mais a maintenu que leur processus d'obtention des données de localisation était transparent et avec le consentement clair des utilisateurs de l'application.

"Tout est extrêmement transparent", a déclaré Bill Daddi, porte-parole de Cuebiq.

Il a ajouté que les consommateurs doivent savoir ce que les applications font avec leurs données parce que si peu consentent à les partager. "Les taux d'adhésion confirment clairement que les utilisateurs sont pleinement conscients de ce qui se passe, car les taux d'adhésion peuvent être aussi bas que 20 %, selon l'application", a déclaré Daddi dans un e-mail.

Yiannis Tsiounis, PDG de la société d'analyse de localisation Advan Research, a déclaré que son entreprise achète auprès d'agrégateurs de données de localisation, qui collectent les données de milliers d'applications, mais ne dirait pas lesquelles. Tsiounis a déclaré que les applications avec lesquelles il travaille indiquent explicitement qu'elles partagent des données de localisation avec des tiers quelque part dans les politiques de confidentialité, bien qu'il reconnaisse que la plupart des gens ne lisent pas les politiques de confidentialité. message de notification. Vous obtenez une ligne, n'est-ce pas ? Vous ne pouvez donc pas dire tout cela dans le message de notification », a déclaré Tsiounis. « Vous n'avez qu'à expliquer à l'utilisateur : " J'ai besoin de vos données de localisation pour X, Y et Z. " Ce que vous devez faire, c'est qu'il doit y avoir un lien vers la politique de confidentialité. Le porte-parole de Foursquare, Ashley Dawkins, a en fait nommé toutes les applications spécifiques – les propres produits de Foursquare, comme Swarm, CityGuide et Rewards – comme sources de son trésor de données de localisation.

Mais Foursquare produit également un kit de développement de logiciel gratuit (SDK) – un ensemble d'outils prédéfinis que les développeurs peuvent utiliser dans leurs propres applications, qui peuvent potentiellement suivre l'emplacement via n'importe quelle application qui l'utilise. Le SDK Pilgrim de Foursquare est utilisé dans des applications telles que GasBuddyun service qui compare les prix dans les stations-service à proximité, Flippune application d'achat de coupons, et Checkout 51une autre application de remise basée sur la localisation.

GasBuddy, Flipp et Checkout 51 n'ont pas répondu aux demandes de commentaires.

Une recherche sur Mighty Signalun site qui analyse et suit les SDK dans les applications, a trouvé le SDK Pilgrim de Foursquare dans 26 applications Android.

Bien que toutes les applications avec SDK de Foursquare ne renvoient pas les données de localisation à l'entreprise, les politiques de confidentialité de Flipp, Checkout 51 et GasBuddy divulguent toutes qu'elles partagent données de localisation avec l'entreprise.

La méthode de Foursquare pour obtenir des données de localisation via un SDK intégré est une pratique courante. Sur les 47 entreprises identifiées par The Markup, 12 d'entre elles ont annoncé des SDK aux développeurs d'applications qui pourraient leur envoyer des données de localisation en échange d'argent ou de services.

Placer.ai dit dans son marketing qu'il fait pied analyse du trafic et que son SDK est installé dans plus de 500 applications et fournit des informations sur plus de 20 millions d'appareils.

« Nous travaillons en partenariat avec des applications mobiles fournissant des services de localisation et recevons des données agrégées anonymisées. De manière très critique, toutes les données sont anonymisées et dépourvues d'identifiants personnels avant qu'elles ne nous parviennent », a déclaré Ethan Chernofsky, vice-président du marketing de Placer.ai, dans un e-mail.

Sur le marché des données de localisation 

Une fois les données de localisation d'une personne a été collecté à partir d'une application et qu'il est entré sur le marché des données de localisation, il peut être vendu maintes et maintes fois, des fournisseurs de données à un agrégateur qui revend les données de plusieurs sources. Il pourrait se retrouver entre les mains d'une entreprise de « localisation intelligente » qui utilise les données brutes pour analyser le trafic piétonnier des zones commerciales et les données démographiques associées à ses visiteurs. Ou avec un fonds spéculatif qui veut des informations sur le nombre de personnes qui se rendent dans un certain magasin.

« Il existe des agrégateurs de données qui collectent les données à partir de plusieurs applications et vendent en gros. Et puis il y a des sociétés d'analyse qui achètent des données soit auprès d'agrégateurs, soit à partir d'applications et effectuent les analyses », a déclaré Tsiounis d'Advan Research. « Et tout le monde vend à tout le monde. »

Certaines places de marché de données font partie de sociétés bien connues, comme AWS Data Exchange d'Amazonou Oracle's Data Marketplacequi vendent tous les types de données, pas seulement des données de localisation. Oracle se targue d'être le « plus grand marché de données tiers au monde » pour la publicité ciblée, tandis qu'Amazon prétend « faciliter la recherche, l'abonnement et l'utilisation de données tierces dans le cloud ». Les deux marchés proposent des listes pour plusieurs des sociétés de données de localisation que nous avons examinées.

Le porte-parole d'Amazon, Claude Shy, a déclaré que les fournisseurs de données doivent expliquer comment ils obtiennent le consentement pour les données et comment ils surveillent les personnes utilisant les données qu'ils achètent.

“ Seuls les fournisseurs de données qualifiés auront accès à AWS Data Exchange. Les fournisseurs de données potentiels sont soumis à un processus de candidature rigoureux », a déclaré Shy.

Oracle a refusé de commenter.

D'autres entreprises, comme Narrative, affirment qu'elles connectent simplement les acheteurs et les vendeurs de données en fournissant une plate-forme. Le site Web de Narrative, par exemple, répertorie les fournisseurs de données de localisation comme SafeGraph et Complementics parmi ses 17 fournisseurs avec plus de deux milliards d'identifiants publicitaires mobiles à acheter.

Mais le PDG de Narrative, Nick Jordan, a déclaré que la société ne le faisait pas. même regarder les données elles-mêmes.

« Un certain nombre d'entreprises utilisent notre plate-forme pour acquérir et/ou monétiser des données de géolocalisation, mais nous n'avons en fait aucun droit sur les données », a-t-il déclaré. « Nous ne l'achetons pas, nous ne le vendons pas. . Bien que la société ne collecte ni ne vend directement aucune des données, les fonds spéculatifs les paieront pour les guider à travers la myriade de sociétés de données de localisation, a-t-il déclaré.

« La partie la plus inefficace de l'ensemble du processus est en fait de ne pas livrer les données », a déclaré Hauer. « Il s'agit en fait de trouver ce que vous recherchez et de vous assurer qu'il est conforme, de s'assurer qu'il a de la valeur et que c'est exactement ce que le fournisseur dit qu'il est. »

Oh, les endroits où vos données iront

Il existe toute une série d'acheteurs potentiels pour les données de localisation : les investisseurs à la recherche d'informations sur les tendances du marché ou ce que font leurs concurrents, les campagnes politiques, les magasins surveillant les clients et les organismes chargés de l'application de la loi, entre autres.

Données de localisation. La société de renseignement Thasos Group a été utilisée pour mesurer le nombre de travailleurs effectuant des quarts de travail supplémentaires dans les usines Tesla. Les campagnes politiques des deux côtés de l'allée ont également utilisé les données de localisation des personnes qui participaient à des rassemblements à des fins publicitaires ciblées.

Les restaurants de restauration rapide et d'autres entreprises sont connus pour acheter des données de localisation à des fins publicitaires jusqu'à les pas d'une personne. Par exemple, en 2018, Burger King a organisé une promotion dans laquelle, si le téléphone d'un client se trouvait à moins de 600 pieds d'un McDonalds l'application Burger King permettait à l'utilisateur d'acheter un Whopper pour un cent.

Le Wall Street Journal et Motherboard ont également beaucoup écrit sur la façon dont les agences fédérales, y compris Internal Revenue ServiceCustoms and Border Protection et l'armée américaine ont acheté des données de localisation. des entreprises qui suivent les téléphones.

Parmi les entreprises de données de localisation examinées par The Markup, les offres sont diverses.

Advan Research, par exemple, utilise des données de localisation historiques pour dire à ses clients, principalement des entreprises de vente au détail ou leurs propriétaires de sociétés de capital-investissement, d'où viennent leurs visiteurs et fait des suppositions sur leurs revenus, leur race et leurs intérêts en fonction de l'endroit où ils sont allés.

« Par exemple, nous savons que le revenu moyen dans ce quartier selon les données du recensement est de 50 000 $. Mais ensuite, il y a deux appareils – l'un est allé à Dollar General, McDonald's et Walmart, et l'autre est allé à un concessionnaire BMW et à Tiffany's … donc ils gagnent probablement plus d'argent », a déclaré Tsiounis d'Advan Research. ils obtiennent avec d'autres données recueillies à partir de vos activités en ligne. Complementics, qui revendique des données sur "plus d'un milliard d'identifiants d'appareils mobiles", propose des données de localisation en tandem avec des données multi-appareils pour le ciblage publicitaire mobile.

Les prix peuvent être élevés.

Outlogic (anciennement connu sous le nom de X-Mode) propose une licence pour un ensemble de données de localisation intitulé « Données de localisation de cybersécurité » sur Datarade pour 240 000 $ par an. La liste indique que « les données de localisation précises et granulaires d'Outlogic sont collectées directement à partir du GPS d'un appareil mobile. »

Pour le moment, il y a peu ou pas de règles limitant qui peut acheter vos données. Lab, a publié un rapport en août constatant que les courtiers en données publiaient des informations de localisation sur des personnes en fonction de leurs convictions politiques, ainsi que des données sur les employés du gouvernement américain et le personnel militaire.

« Il n'y a pratiquement rien dans La loi américaine empêche une entreprise américaine de vendre des données sur deux millions de membres du service, disons, à une entreprise russe qui n'est qu'une façade pour le gouvernement russe », a déclaré Sherman.

Les lois sur la confidentialité existantes aux États-Unis, comme la loi californienne sur la protection des consommateurs. , ne limitez pas les personnes autorisées à acheter des données, bien que les résidents californiens puissent demander que leurs données ne soient pas « vendues », ce qui peut être une définition délicate. Au lieu de cela, la loi se concentre sur le fait de permettre aux personnes de refuser de partager leur emplacement en premier lieu. ou transférés.

Mais Ashkan Soltani, un expert en confidentialité et ancien technologue en chef de la Federal Trade Commission, a déclaré qu'il était irréaliste de s'attendre à ce que les clients traquent les entreprises et insistent pour qu'ils suppriment leurs données personnelles.

« Nous savons dans la pratique que les consommateurs n'agissent pas », a-t-il déclaré. « C'est incroyablement éprouvant de se retirer de centaines de courtiers en données dont vous n'avez même jamais entendu parler. »

Des entreprises comme Apple et Google, qui contrôlent l'accès aux magasins d'applications, sont les mieux placées pour contrôler le marché des données de localisation, Egelman d'AppCensus a déclaré.

"Le vrai danger est que l'application est démarrée à partir du Google Play Store ou de l'App Store iOS", a-t-il déclaré. En conséquence, votre entreprise perd de l'argent. "

Google et Apple ont tous deux récemment interdit aux développeurs d'applications d'utiliser les SDK de signalement de localisation de plusieurs sociétés de données.

Les chercheurs ont trouvécependant. , que les SDK des entreprises faisaient toujours leur chemin dans la boutique d'applications de Google.

Apple n'a pas répondu à une demande de commentaire. améliorations. Lorsque nous trouvons des applications ou des fournisseurs de SDK qui violent nos politiques, nous prenons des mesures », a déclaré le porte-parole de Google, Scott Westover, dans un e-mail.

La confidentialité numérique a été un problème politique clé pour le sénateur américain Ron Wyden, un démocrate de l'Oregon, qui a déclaré Le balisage dont les grands magasins d'applications avaient besoin pour en faire plus.

« C'est la bonne décision de Google, mais Apple et eux doivent faire plus que jouer avec les applications qui vendent les informations de localisation des Américains. Ces entreprises ont besoin d'un véritable plan pour protéger la confidentialité et la sécurité des utilisateurs contre ces applications malveillantes », a déclaré Wyden dans un e-mail. ] et a été republié sous la licence Creative Commons Attribution-NonCommercial-NoDerivatives .