Ce scandale n’est pas le fruit d’un piratage sophistiqué, mais le résultat direct du fonctionnement ordinaire de l’industrie publicitaire numérique. Selon les informations de Netzpolitik.org, des millions de points de géolocalisation appartenant à des utilisateurs belges ont été collectés par des applications grand public avant d’être revendus par des courtiers en données.
Parmi ces informations figuraient des milliers de signaux provenant d’appareils situés régulièrement dans des zones sensibles : le bâtiment Berlaymont, siège de la Commission européenne, le Parlement européen et même les environs du quartier général de l’OTAN à Bruxelles. Officiellement, ces données sont « anonymisées », mais dans les faits, la répétition des trajets et des lieux permet d’identifier aisément les individus concernés.

L’anonymat, une illusion fragile

Les sociétés de courtage affirment ne vendre que des données dépourvues d’éléments personnels comme les noms ou les numéros de téléphone. Pourtant, les résultats de l’enquête démontrent combien cette anonymité est illusoire. Un téléphone repéré chaque matin au Berlaymont et chaque soir dans le même quartier résidentiel bruxellois trahit inévitablement l’identité de son propriétaire.

Les journalistes à l’origine de l’enquête y voient un problème systémique : l’écosystème publicitaire mondial agrège et échange des milliards de signaux de localisation, souvent à l’insu des utilisateurs. Des données conçues pour le marketing ciblé peuvent, entre de mauvaises mains, devenir un outil de profilage ou même d’espionnage.

Un risque pour la vie privée et la sécurité européenne

Les implications de cette affaire dépassent le simple cadre de la vie privée. Que les déplacements d’agents de la Commission, du Parlement ou de l’OTAN puissent être suivis et vendus au plus offrant représente également une menace potentielle pour la sécurité européenne. Ces informations permettraient à des puissances étrangères ou à des acteurs malveillants d’étudier les habitudes de déplacement de responsables politiques ou militaires.

Des experts en cybersécurité alertent sur le flou croissant entre collecte commerciale de données et espionnage numérique. Et ce phénomène n’est pas propre à l’Europe : des enquêtes similaires ont déjà révélé des pratiques comparables aux États-Unis et en Asie.

Des règles européennes en décalage avec la réalité

Ironie du sort, cette affaire éclate au cœur même de l’Union européenne, championne autoproclamée de la protection des données personnelles. Malgré l’entrée en vigueur du Règlement général sur la protection des données (RGPD), son application se heurte à la complexité du marché numérique.

Les courtiers en données opèrent pour la plupart à l’abri des regards, achetant et revendant des informations collectées par une multitude d’applications qui sollicitent distraitement l’accord des utilisateurs. En Belgique, l’Autorité de protection des données, tout comme ses homologues européennes, examine les suites possibles de cette révélation, mais reconnaît la difficulté de contrôler un secteur aussi tentaculaire.

Bruxelles, centre névralgique et cible privilégiée

Parce qu’elle abrite la Commission, le Parlement, le Conseil européen et de nombreuses missions diplomatiques, Bruxelles occupe une place unique sur la carte géopolitique mondiale. Cette concentration institutionnelle fait de la capitale européenne une cible idéale pour la collecte de données numériques.

Le fait que des agents européens, manipulant quotidiennement des dossiers sensibles, puissent se retrouver dans des bases de données commerciales illustre à quel point cette industrie a infiltré la vie quotidienne, jusque dans les sphères les plus stratégiques du pouvoir.

Des applications banales, un risque global

À l’origine de cette fuite se trouvent des outils tout à fait ordinaires : applications météo, jeux mobiles, services de navigation. En échange de fonctionnalités gratuites, ces applications exigent souvent un accès permanent à la localisation de l’utilisateur. Les données récoltées transitent ensuite par des réseaux publicitaires avant d’atterrir, par une chaîne d’intermédiaires, chez des courtiers qui les revendent.

Certes, chacun peut réduire sa propre exposition : limiter l’accès à la géolocalisation, réinitialiser son identifiant publicitaire, ou refuser le suivi des applications. Mais ces gestes individuels ne peuvent compenser les failles structurelles d’un modèle économique fondé sur la monétisation des données personnelles.