Roofstreet lance une révolution en faveur de la protection des données personnelles

Roofstreet lance une révolution en faveur de la protection des données personnelles

Partagez cet article :

Le département de R&D de Roofstreet, spécialiste dans le traitement des données de géolocalisations de personnes, annonce une avancée majeure dans la protection des données personelles.

L’équipe présente une technologie  qui permettra de créer toutes les statistiques de mobilité (comptages de visites, mesures de flux, matrices origine-destination, …) et ce, sans collecte des géolocalisations des personnes.

A propos de Roofstreet

Roofstreet est une startup Française, créée en 2015, qui aide les Retailers et gestionnaires de biens à piloter leurs acquisitions, leurs ouvertures et leurs fermetures de points de vente en leur proposant une plateforme d’analyse des habitudes de déplacements des personnes.

Révélant les flux de piétons et voitures et montrant des détails jamais atteints dans les zones de chalandises, bien avant les décision d’investissements immobiliers, l’outil Roofstreet for Retail est la solution qu’attendaient les Retailers pour mieux estimer le potentiel de leur point de vente lors des phases d’étude de marché.

Roofstreet utilise les géolocalisations collectées à travers des applications mobile partenaires, et les agrège pour créer une base de données de statistiques de mobilité anonymisées.

    Les questions posées par la CNIL au sujet des géolocalisations des personnes

    Consentement éclairé des utilisateurs

    Courant 2018, la CNIL a audité le marché des traitements des géolocalisation de personnes et particulièrement les startups françaises, avant-gardistes dans ce domaine. Plusieurs startups ont d’abord été mises en demeure et ont dû se mettre en conformité avec le règlement Européen sur la protection de la vie privée (GDPR). La CNIL a rapidement levé les mises en demeure quand ces startups se sont adaptées à ses recommandations en matière de recueil du consentement.

    Les recommandations incluent le format de l’écran que l’utilisateur doit voir pour donner son accord, les tons de couleurs, les tailles de caractères et la clarté du texte présenté. Le « marché des géolocalisations », principalement composé d’acteurs qui diffusent des publicités ciblées a d’ailleurs commencé à standardiser ses systèmes autours de CMP (plateformes de collecte des consentements) compatibles entre elles et permettant aux acteurs de simplifier l’intégration des écrans de recueil de consentements dans les applications.

    Sécurité des données

    Une fois le consentement reçu, les acteurs qui utilisent des géolocalisations de personnes ont la responsabilité de limiter l’accès aux données pour les seuls usages acceptés par chaque utilisateur. Un utilisateur peut donc avoir accepté d’aider les villes à dimensionner les réseaux de transports, sans avoir pour autant accepté de recevoir des publicités ciblées.

    Et au-delà, il doit être impossible à toute personne n’intervenant pas dans le processus de l’usage accepté, d’accéder aux données.

    La CNIL énumère toute une série de mesures qui doivent être prises pour s’en assurer:  complexité des mots de passes, audits des flux de données, contrôle des accès au matériel informatique n’en sont que quelques exemples.

    Les données sont-elles vraiment nécessaires ?

    La question que pose la CNIL ici est centrale dans la réglementation GDPR.

    S’il existe un moyen scientifique d’obtenir le résultat recherché, sans accéder aux données personnelles, ou si les données peuvent être supprimées beaucoup plus fréquemment tout en obtenant un résultat similaire, les acteurs perdent le droit de stocker des données personnelles, et ce même si l’utilisateur avait donné son consentement.

    Existe-t-il une technologie Privacy-by-design ?

    La règle est là aussi claire : à partir du moment où il est possible techniquement d’obtenir un résultat particulier en minimisant l’accès aux données personnelles, les acteurs sont dans l’obligation de le faire.

    Par exemple, le jour où un téléphone sera capable de reconnaître vos instructions vocales sans envoyer votre voix sur le Cloud, il deviendra illégal de continuer à transmettre votre voix dans le Cloud (en 2019, les téléphones ne sont pas encore assez puissants, mais c’est une question de temps).

    En d’autres termes, même après avoir obtenu des consentements, transférer des données personnelles dans les réseaux, même sécurisés, sous quelque forme que ce soit, n’est pas autorisée s’il est possible d’obtenir le même résultat sans cette transmission.  

    Les ingénieurs ont donc la responsabilité de penser les systèmes pour minimiser la diffusion et l’enregistrement des données personnelles, et ils ont aussi l’obligation de faire de la veille technologique pour améliorer la protection des données personnelles.

    Le législateur Européen s’est donc assuré qu’à terme, plus aucunes données personnelles ne soit collectée, puisque la technologie va constamment s’améliorer. Pour certains usages, nous pouvons prévoir des décennies de recherches nécessaires, par exemple pour que les smartphones aient la puissance nécessaire à faire eux même la reconnaissance vocale (puissance qui est aujourd’hui dans les centres de données du Cloud).

    Mais pour d’autres usages, la Recherche avance, et Roofstreet vient de passer un palier. 

    Mesurer la mobilité humaine sans transmettre de géolocalisations de personnes

    Depuis deux ans, les équipes Roofstreet se sont demandé s’il était possible de faire leur métier, sans qu’il n’y ait aucune transmission de géolocalisations de personnes vers le réseau et les bases de données de Roofstreet.

    Ils ont évidemment mis en place les mesures demandées aujourd’hui par la CNIL

    • Les consentements sont receuillis et tracés dans la CMP de Roofstreet (http://doc.veery.io/ios-service-activatewithoptin/)
    • les données personnelles (les géolocalisations de personnes) sont supprimées en moins d’un mois (Roofstreet les a alors transformées en statistiques qu’il livrera plus tard à ses clients sous forme de rapports)
    • les données personnelles ne sont accessibles que par un nombre très limité (et surveillé) de processus informatiques et de personnes
    •  les codes informatiques sont audités avant toute interaction avec des données personnelles

    Et le résultat est là : les données de géolocalisation nous sont envoyées, transformées en statistiques utiles au Retailers et supprimées sans qu’aucun humain n’intervienne.

     

    Obtenez vos flux en quelques clics ›


    Mais fin 2017, Angel GOMEZ, le CEO de Roofstreet est allé voir ses équipes et leur a dit

    « Il faut qu’il soit absolument impossible, que ce soit pour les ingénieurs Roofstreet, les managers, ou moi-même, de voir où vous allez en vacances ».

    Le cahier des charges de la R&D de Roofstreet était clair : « plus aucune donnée personnelle ne doit sortir des smartphones des utilisateurs » .

    Mais le challenge était de taille : comment compter des passages de piétons, des taux d’origine et de destinations d’usagers et donc analyser des zones de chalandises, sans jamais recevoir d’informations sur les individus.

    « C’est un peu comme si un sondeur devait poser des questions aux sondés sans jamais leur parler ou leur écrire » se rappelle Malek HASSANI chercheur chez Roofstreet.

    « La solution est que les sondés se concertent autours de la question qui leur est posée collectivement, et décident ensemble d’une réponse commune, après avoir, pour chacun, vérifié que la réponse n’est pas une information qu’ils n’ont pas envie de partager » évoque Anh-Dung NGUYEN, Directeur de la recherche Roofstreet.

    « Il faut aussi que la source des questions et des réponses puisse être vérifiée à la fois par nous mais surtout par les smartphones, le tout en rendant les transmissions illisibles aux entités non autorisées » ajoute Toussaint TIGORI, chercheur et expert en technologies embarquées chez Roofstreet.

    Une technologie brevetée mais ouverte et transparente

    La solution Roofstreet consiste donc à laisser les smartphones se « compter » entre eux, après qu’ils se soient assurés qu’ils font partie de la même « famille » (en échangeant une partie de leurs « signatures » sans partager toutefois leurs identités), et ensuite de laisser aux smartphones le choix de la zone pour laquelle ils acceptent de transmettre des statistiques.

    Un exemple :

    Imaginons 100 smartphones, dont un se trouve à Bordeaux, 5 sont à Lyon, 20 à Marseille et 74 à Paris.

    • Lors de l’installation de l’application « MonJournal » (par exemple) les smartphones vont recevoir une « signature » vérifiable par tous les autres smartphones qui ont la même application. Une autre application ne pourrait pas se faire passer pour l’application « MonJournal ».
    • Les applications MonJournal localisent leur propres smartphones et commencent par transmettre qu’ils sont en Europe.
    • Un serveur informatique chez Roofstreet va additionner les messages similaires, sans toutefois pouvoir comprendre ce qu’il additionne. Seul les applications peuvent décoder le résultat de l’addition. Le serveur lui ne le peut pas.
    • Le serveur Roofstreet va donc transmettre le résultat de l’addition aux smartphones. Le serveur lui-même ne sait pas ce qu’il transmet, mais les applications MonJournal peuvent décrypter « il y a 100 applications MonJournal en Europe ». Le serveur aura joint à cette réponse au moins 10 signatures (choisies au hasard) d’applications MonJournal, ce qui permet à tous les smartphones de savoir que le résultat transmis (100) a bien été transmis par des applications MonJournal.
    • A ce moment les applications MonJournal de chaque smartphone sont assurées qu’ils sont au moins 100 au même endroit « Europe ». Ils ne savent pas « qui » sont les autres smartphones, et ils sont encore les seuls à le savoir.
    • Les applications MonJournal vont alors recommencer en indiquant « France » à la place de « Europe », et là aussi constater qu’ils sont 100 au même endroit.
    • Ils vont ensuite recommencer avec pour chacun le nom de leur ville (un se trouve à Bordeaux, 5 sont à Lyon, 20 à Marseille et 74 à Paris)
    • Celui qui se trouve à Bordeaux et les 5 qui sont à Lyon vont constater qu’ils ne sont pas assez nombreux au même endroit et vont donc transmettre qu’ils sont en « France ». Ils vont faire cette transmission aux serveurs Roofstreet sans indiquer d’identifiant de smartphone et à travers un réseau qui ne permet pas de tracer son adresse IP.
    • Les 94 autres téléphones vont continuer à réduire la zone en « testant » leur arrondissement, ensuite leur rue jusqu’à des zones de 50m, mais dès qu’ils détectent qu’ils sont moins de 10 à avoir la même information à transmettre ils ne transmettent vers Roofstreet que l’endroit où ils étaient au moins 10

    Le résultat est le suivant, Roofstreet va recevoir des messages intégralement anonymes qui vont permettre de comprendre, qu’il y a 100 MonJournal en France, 20 sont à Marseille, 74 sont à Paris, 14 sont dans un centre commercial particulier.

    Et à aucun moment Roofstreet n’a pu lire les autres données que les smartphones se sont transmises, et en particulier, aucune géolocalisation précise.

    Présentation à APVP 2019

    La solution proposée par Roofstreet, est une création unique tant dans son approche technologique, que dans la volonté de réconcilier les besoins réels du secteur du Retail et la volonté de protection de la vie privée. Et une des trois demandes de brevets posées par Roofstreet auprès de l’INPI décrit précisément cette solution.

    Prochaine étape : Roofstreet va maintenant présenter la technologie aux meilleurs spécialistes de la protection de la vie privée.

    Lors de l’APVP 2019, les spécialistes de l’Inria et du CNRS auront l’occasion de nous interroger sur les détails techniques, mais aussi sur la façon dont Roofstreet va déployer la solution.

    L’article soumis à APVP

    apvp2019

    Quelle est la prochaine étape ?

    Roofstreet a annoncé sa volonté de publier très prochainement une version OpenSource de la solution.

    « Nous allons l’utiliser pour faire les statistiques de mobilités nécessaires à notre marché – la gestion Immobilière du Retail, mais nous pressentons que d’autres cas d’usages pourraient émerger, et d’autres sociétés, et même des particuliers intéressés au Privacy pourraient faire évoluer la technologie avec nous. » conclu Angel GOMEZ.

    Tout savoir sur les fondamentaux de l'expansion réseau


    D’autres articles qui vont vous intéresser

    Qu’est-ce qu’un état local de marché ?

    Qu’est-ce qu’un état local de marché ?

    L’état local de marché est un rapport indispensable devant être remis à tous les candidats à la franchise. En effet, de la même manière que l’état général de marché, l’état local de marché fait partie des éléments obligatoires du DIP (Document d’Information...

    lire plus
    Partagez cet article :

    Ne manquez aucune actualité

    Ne manquez aucune actualité