Vos données de localisation valent peu. C'est le vrai danger.

Votre téléphone ne cesse pas d'émettre simplement parce que vous ne le regardez plus. Avant midi, il a déjà communiqué avec des antennes-relais, des applications et des réseaux publicitaires que vous n'avez probablement jamais identifiés. Une partie de ces signaux a ensuite été revendue, selon les enquêtes récentes menées aux Etats-Unis. Certains jeux de données auraient même rejoint des bases commercialement accessibles à des acteurs liés à la Chine, à la Russie, à la Corée du Nord et à l'Iran.

C'est la conclusion d'un rapport du Joint Economic Committee du Congrès américain, publié après l'enquête de CalMatters et The Markup sur l'industrie des courtiers en données. Les parlementaires y estiment que les failles touchant Equifax, Exactis, National Public Data et TransUnion ont exposé plus de 651 millions d'Américains et provoqué environ 21 milliards de dollars de pertes liées à l'usurpation d'identité. La somme impressionne. Pourtant, elle ne mesure que la partie la plus visible du phénomène.

Le cœur du problème n'était pas l'incident, mais le modèle économique

Il ne s'agit pas ici d'une application grand public qui aurait été piratée par malchance. Ces entreprises ont été visées parce qu'elles entreposaient des masses de données. Leur activité consistait à acheter, recouper, enrichir puis revendre des profils construits à partir de la banque, de l'assurance, des cartes de fidélité et, bien sûr, du smartphone.

Le calcul du Congrès repose sur une logique presque comptable. Les équipes parlementaires ont retenu une perte médiane de 200 dollars par personne concernée, puis l'ont appliquée à la part des victimes déclarant ensuite une fraude. Equifax a touché 147 millions de personnes en 2017. Exactis, 230 millions en 2018. National Public Data, 270 millions en 2023. TransUnion, 4 millions supplémentaires en 2025. Au bout du compte, l'adulte américain moyen semble figurer dans plusieurs de ces fuites à la fois.

Trente-trois sociétés que le grand public ignore

Au même moment, le Electronic Privacy Information Center a examiné le registre californien des courtiers en données. Son constat est plus discret, mais peut-être plus grave encore. Trente-trois sociétés enregistrées en Californie ont déclaré dans des documents officiels avoir vendu ou partagé des données avec des acteurs non américains situés dans des pays que Washington considère comme des adversaires étrangers. Cinq de ces trente-trois entreprises ont également reconnu collecter des données de géolocalisation précise.

Or c'est précisément ce détail qui change la nature du débat. La géolocalisation précise ne dit pas seulement que vous étiez dans une ville donnée. Elle peut révéler l'entrée dans une clinique de fertilité, sur le parking d'un sous-traitant de défense, dans une synagogue ou dans un centre d'accueil pour victimes de violences. A partir de là, la promesse d'anonymat paraît singulièrement fragile.

Peut-on encore parler de données “anonymisées” ?

Les courtiers soutiennent volontiers que les données sont désidentifiées. En théorie, le nom a disparu. En pratique, les chercheurs montrent régulièrement qu'il suffit de très peu de points pour remonter à une personne. Si un appareil passe toutes ses nuits à une adresse et ses journées ouvrées à une autre, l'identification devient souvent triviale.

Les analystes de Lawfare ont décrit un scénario d'une redoutable simplicité: un service de renseignement étranger pourrait acheter des flux commerciaux, définir un périmètre autour d'un site nucléaire, puis suivre tous les appareils qui l'ont franchi jusqu'à leur domicile. On sort alors du registre du marketing intrusif pour entrer dans celui du risque stratégique.

Le prix donne la mesure de cette banalisation. L'Etat de l'Illinois a acheté deux ans de traces de localisation précise concernant plus de cinq millions de personnes pour environ 50.000 dollars. En euros, cela représente de l'ordre de 42.700 euros. Autrement dit, vingt-quatre mois de déplacements d'une population immense ont coûté moins cher que bien des prestations numériques ordinaires.

Le droit de sortir du système est lui aussi fragilisé

C'est ici qu'apparaît le problème du retrait volontaire. Les journalistes de The Markup ont constaté que certains courtiers enfouissaient leurs pages d'opt-out obligatoires à l'aide d'un code “no-index”, afin qu'elles n'apparaissent pas dans Google. La recommandation du comité fut dès lors limpide: a minima, les options de retrait devraient être faciles à trouver et à utiliser.

La FTC a déjà adressé des lettres de mise en conformité à 13 entreprises au titre du Protecting Americans' Data from Foreign Adversaries Act, la loi de 2024 interdisant la vente de données sensibles d'Américains à des entités contrôlées par des adversaires étrangers. Pourtant, le registre laisse penser que ces pratiques se sont poursuivies en 2025. Le tout s'inscrit dans un écosystème plus large, nourri à la fois par les brèches liées à des identifiants volés et par l'économie du fingerprinting du navigateur.

Ce que vous pouvez faire, concrètement, dès cette semaine

Il n'existe pas de remède absolu, mais quelques gestes réduisent l'exposition. Vous pouvez déposer une demande de suppression via le registre californien des courtiers en données, même sans vivre en Californie, car nombre d'acteurs préfèrent traiter ces demandes de manière large. Il est également utile de désactiver ou supprimer l'identifiant publicitaire de votre téléphone, qui sert précisément à recoller vos signaux entre plusieurs applications.

Autre réflexe simple: examiner une application par semaine et remplacer, quand c'est possible, l'autorisation de “localisation précise” par une localisation approximative. La même discipline aide aussi à limiter l'exposition aux fuites liées à des logiciels espions conçus par des Etats, dont l'entrée passe souvent par des applications trop permissives. Le Congrès américain a mis un prix sur le coût direct de l'usurpation d'identité. Ce qu'il n'a pas chiffré, c'est la valeur, pour une puissance étrangère, du simple fait de savoir où vous étiez mardi dernier.