[ad_1]
Dans ce qui semble être une première, une personnalité publique a été évincée après que des données de localisation de téléphone portable ont été rendues publiques, révélant des détails sensibles et auparavant privés sur sa vie.
Monseigneur Jeffrey Burrill était secrétaire général de la Conférence des évêques catholiques des États-Unis (UCCB), en fait le prêtre le plus haut placé aux États-Unis qui n’est pas évêque, avant que les enregistrements de l’utilisation de Grindr obtenus auprès des courtiers en données ne soient corrélés avec son appartement, son lieu de travail , maison de vacances, adresses des membres de la famille, et plus encore. Grindr est une application de connexion gay, et bien qu’apparemment aucune des actions de Burrill n’ait été illégale, toute sorte de relation sexuelle est interdite pour le clergé dans l’Église catholique.
Le cas de Burrill est « extrêmement important », a déclaré à Ars Alan Butler, directeur exécutif de l’Electronic Information Privacy Center. « C’est un exemple clair et frappant du problème exact que les gens dans mon monde, les défenseurs de la vie privée et les experts, crient sur les toits depuis des années, à savoir que les données identifiables de manière unique ne sont pas anonymes. »
Obtenu légalement
Les données qui ont abouti à l’éviction de Burrill auraient été obtenues par des moyens légaux. Les opérateurs mobiles ont vendu – et vendent toujours – des données de localisation à des courtiers qui les regroupent et les vendent à un éventail d’acheteurs, notamment des annonceurs, des forces de l’ordre, des services routiers et même des chasseurs de primes. Les transporteurs ont été surpris en 2018 à vendre des données de localisation en temps réel à des courtiers, attirant la colère du Congrès. Mais après que les opérateurs aient publié des mea culpas publics et promis de réformer la pratique, des enquêtes ont révélé que les données de localisation des téléphones apparaissent toujours dans des endroits où elles ne devraient pas. Cette année, T-Mobile a même élargi ses offres, vendant les données d’utilisation du Web et des applications des clients à des tiers, sauf si les gens se désengagent.
La publication qui a révélé l’utilisation de l’application privée de Burrill, The Pillar, un bulletin d’information couvrant l’Église catholique, n’a pas dit exactement où ni comment elle a obtenu les données de Burrill. Mais il a dit comment il a désanonymisé les données agrégées pour corréler l’utilisation de l’application Grindr avec un appareil qui semble être le téléphone de Burrill.
The Pillar affirme avoir obtenu 24 mois d’« enregistrements disponibles dans le commerce de données de signal d’application » couvrant des parties de 2018, 2019 et 2020, qui comprenaient des enregistrements d’utilisation de Grindr et des emplacements où l’application a été utilisée. La publication s’est concentrée sur les adresses où Burrill était connu pour fréquenter et a sélectionné un identifiant d’appareil qui est apparu à ces endroits. Les emplacements clés comprenaient le bureau de Burrill à l’USCCB, sa résidence appartenant à l’USCCB et les réunions et événements de l’USCCB dans d’autres villes où il était présent. L’analyse a également examiné d’autres endroits plus éloignés, notamment sa maison familiale au bord du lac, les résidences des membres de sa famille et un appartement dans sa ville natale du Wisconsin où il aurait vécu.
Les données anonymisées ont révélé qu’un appareil mobile apparu à ces endroits – probablement le téléphone de Burrill, selon The Pillar – utilisait Grindr presque quotidiennement. Il indique également que les données « corrélées » avec le téléphone du prêtre suggèrent qu’il a visité des bars gays, y compris lors d’un voyage pour le travail. Le pilier a présenté ces informations à l’USCCB avant leur publication, et hier, la conférence annoncé La démission de Burrill.
Pas anonyme
Bien que cela puisse être le premier cas d’activités en ligne d’une personnalité publique révélées par des données agrégées, « cela arrive malheureusement très souvent » au grand public, a déclaré à Ars Andrés Arrieta, directeur de l’ingénierie de la confidentialité des consommateurs à l’Electronic Frontier Foundation. « Il y a des entreprises qui capitalisent sur la recherche de la vraie personne derrière les identifiants publicitaires. » De plus, la désanonymisation des données à la manière de The Pillar est trivialement facile. Tout ce que vous devez faire pour acheter les données, a déclaré Arrieta, est de prétendre être une entreprise. Aucune compétence technique particulière n’est requise pour passer au crible les données, a-t-il ajouté.
Le Pillar a pu désanonymiser les données car elles n’étaient pas vraiment anonymes au départ. Les données qui ne sont pas liées au nom d’une personne mais qui conservent toujours un identifiant unique sont ce qu’on appelle des « données pseudonymes », a déclaré Butler. Pour véritablement anonymiser les données, il existe plusieurs approches. Une tactique courante est connue sous le nom de « vie privée différentielle », où du bruit est injecté dans les données, ce qui les rend utiles à des fins statistiques mais contrecarre les efforts visant à connecter des points de données discrets à des individus. Les données pseudonymes, en revanche, permettent d’associer des enregistrements individuels à un individu relativement facilement, en fonction de ce qui se trouve dans l’ensemble.
« Lorsque vous parlez de données de localisation, il est fondamentalement impossible d’avoir un pseudonyme utilisable, car les empreintes digitales des données de localisation sont si révélatrices », a déclaré Butler. « Une fois que les données de localisation sont liées à un enregistrement, il sera alors facile de les relier à une personne », a-t-il déclaré. « La plupart des gens ont essentiellement une empreinte digitale de localisation dans leur vie. Ils vivent à la maison, ils vont travailler, ils vont dans certains endroits limités. Il y a eu des études qui montrent que nous sommes uniquement identifiables sur la base de quelques points de localisation clés où nous nous rendons au cours d’une semaine donnée.
Le récent décret du président Biden, qui a attiré l’attention sur la surveillance des données des utilisateurs et sa nomination de Lena Khan à la Federal Trade Commission, suggère que des mesures pourraient être prises bientôt. « Il doit y avoir des protections pratiques, techniques et juridiques pour ce type de données, et des protections pour les individus, pour empêcher ce type d’abus », a déclaré Butler.
[ad_2]