Localisation :
ce que vos applications
savent vraiment de vous.
D'un porte-avions français localisé par erreur à une app météo qui revend votre position à des courtiers militaires : ce que vos applications savent vraiment de vous, et comment elles s'en servent.
1. Un jogging qui a trahi un porte-avions
Le 13 mars 2026, un marin du Charles de Gaulle termine son footing quotidien sur le pont du porte-avions français, déployé en Méditerranée orientale. Il enregistre sa sortie sur Strava, 7 kilomètres, une boucle autour du pont. Son compte est public.
Résultat : l'application diffuse les coordonnées GPS exactes du navire, à une centaine de kilomètres des côtes turques. Le journal Le Monde a vérifié l'information en croisant les données avec une image satellite prise un peu plus d'une heure après, montrant sans ambiguïté la silhouette du porte-avions à l'endroit indiqué [1][2]. L'état-major des armées a promis des "mesures appropriées" et rappelé l'importance de "l'hygiène numérique" pour les militaires.
Une app de sport, un simple bouton "publier", et la position d'un navire de guerre se retrouve sur une carte accessible à n'importe qui. Ce n'est pas un cas isolé : c'est un symptôme.
2. Ce n'est pas la première fois, et ça ne devrait surprendre personne
En janvier 2018, un étudiant australien nommé Nathan Ruser parcourt la Global Heatmap de Strava, une carte qui agrège l'activité de millions d'utilisateurs dans le monde entier. Il remarque des tracés lumineux en plein désert syrien, à des endroits qui n'ont rien de touristique. En zoomant, les tracés dessinent les contours exacts de bases militaires américaines et alliées en Syrie, en Afghanistan et en Irak : périmètres, patrouilles, allées et venues quotidiennes des soldats [3].
Le département de la Défense américain a dû ouvrir une revue de ses pratiques de sécurité numérique, et Strava a restreint l'accès à certains détails de sa heatmap [4]. Le problème de fond, lui, n'a jamais vraiment disparu : il a juste changé de visage huit ans plus tard, avec le même mécanisme, des gens qui font du sport, une app qui enregistre leur position, et personne pour mesurer ce que ça révèle une fois agrégé.
Le risque ne vient jamais d'une seule sortie. Il vient de l'accumulation : suffisamment de trajets partagés dessinent un site sensible, ou relient un lieu de travail à une adresse personnelle.
3. Les zones de confidentialité protègent moins qu'on ne le pense
Beaucoup d'apps de sport proposent de masquer le point de départ et d'arrivée d'un trajet, une "zone de confidentialité" censée cacher votre domicile. En 2023, deux chercheurs de la KU Leuven, Karel Dhondt et Victor Le Pochat, ont montré que cette protection rassure plus qu'elle ne protège : en croisant le contour de la zone masquée avec le plan des rues et la distance parcourue sur plusieurs sorties, leur méthode retrouve l'adresse réelle avec 85 % de précision, sans compétence technique particulière [5][6]. Leur étude, au titre à moitié sérieux, s'intitule "A Run a Day Won't Keep the Hacker Away". Des chercheurs de la NC State University sont arrivés au même constat sur d'autres apps de fitness la même année [7].
Cocher une case "masquer mon domicile" ne règle donc rien tant que l'app continue de collecter la donnée brute derrière.
4. Le sport n'est qu'un exemple parmi beaucoup d'autres
Voilà ce qu'on oublie trop souvent : le problème ne concerne pas que les apps de sport, il touche à peu près toutes les catégories d'applications, même les plus anodines.
Prenez une app météo. Vous lui accordez la localisation pour connaître la pluie de votre quartier, ça semble raisonnable. Sauf que beaucoup embarquent des kits de développement tiers (des SDK) dont le seul rôle est de transmettre vos coordonnées, votre altitude et l'identifiant de votre appareil à des courtiers en données, parfois plusieurs dizaines de fois par heure. Des sociétés comme SafeGraph, Foursquare ou X-Mode Social, rebaptisée depuis Outlogic, ont bâti tout un modèle économique là-dessus. X-Mode a collecté des données issues de milliers d'apps, dont Muslim Pro, l'une des apps de prière musulmane les plus populaires aux Etats-Unis, avant de les revendre à des prestataires du Pentagone [8]. Apple et Google ont fini par bannir les deux entreprises de leurs stores.
Le mécanisme reste identique partout : une app gratuite propose un service simple, un SDK tiers finance le tout en aspirant votre position en arrière-plan, et vous n'avez jamais eu affaire à l'entreprise qui finit par posséder cette information.
5. Le mythe des données anonymisées
L'argument qu'on entend souvent pour justifier ce commerce, c'est que les données sont "anonymisées". En pratique, une trajectoire GPS suffit rarement à rester anonyme.
En 2019, le New York Times a obtenu un fichier de plus de 50 milliards de points de géolocalisation issus des téléphones de 12 millions d'Américains, collectés via des SDK embarqués dans des applications grand public. Les journalistes n'avaient accès à aucun nom, seulement des identifiants numériques. Ça ne les a pas empêchés d'identifier un haut responsable du département de la Défense et son épouse, simplement en observant où leurs téléphones passaient la nuit et la journée [9].
Où vous dormez et où vous travaillez suffisent, à eux seuls, à vous désigner presque aussi précisément qu'un nom et un prénom.
6. Quand ces données finissent entre de mauvaises mains
Une fois revendues, ces données circulent, et pas toujours vers des usages inoffensifs. En 2022, un journaliste a acheté pour 160 dollars un jeu de données SafeGraph montrant les déplacements d'appareils s'étant rendus dans des centres Planned Parenthood aux Etats-Unis, domicile et trajets ultérieurs inclus [10]. Fin 2024, la FTC a sanctionné Gravy Analytics et sa filiale Venntel pour avoir vendu, sans consentement valable, des données permettant de suivre des personnes jusque dans des lieux sensibles, cliniques de santé et bases militaires comprises [11].
Quelques semaines plus tard, Gravy Analytics se faisait pirater : un hacker publiait des échantillons de 17 téraoctets de données issues d'applications parmi les plus installées au monde, jeux mobiles, apps de rencontre, apps de santé et de fitness dont MyFitnessPal [12]. Ce que l'entreprise avait collecté pour le vendre au plus offrant s'est retrouvé, par un simple piratage, directement dans la nature.
7. Quelques réflexes concrets
On ne va pas se mentir, il est difficile de contrôler entièrement ce que les applications font de votre position une fois l'autorisation donnée. Quelques habitudes limitent quand même les dégâts :
- Vérifier régulièrement, dans les réglages du téléphone, quelles apps ont accès à la localisation "tout le temps" plutôt qu'uniquement "pendant l'utilisation".
- Se méfier des applications dont le rapport entre le service rendu et la permission demandée paraît disproportionné : une lampe torche n'a aucune raison de connaître votre position en continu.
- Ne pas se reposer uniquement sur les "zones de confidentialité" ou options similaires, en gardant à l'esprit qu'elles peuvent être contournées.
- Passer ses comptes sport en privé si vous ne tenez pas particulièrement à ce que vos trajets soient publics, surtout pour les sorties au départ ou à l'arrivée de votre domicile.
Ce sont des rustines, pas des solutions parfaites. La vraie protection reste en amont : choisir des applications qui ne collectent tout simplement pas ce qu'elles n'ont pas besoin de savoir pour fonctionner.
8. Le choix qu'on a fait avec No Fuss Gym
Chez No Fuss Gym, aucune fonctionnalité de l'app ne demande l'accès à votre position : il n'y a donc rien à collecter de ce côté-là. On est aussi allé un cran plus loin sur un détail auquel on pense rarement : quand vous ajoutez une photo de progression prise avec votre smartphone, elle contient souvent des métadonnées EXIF, des informations invisibles à l'oeil nu qui peuvent inclure les coordonnées GPS exactes du lieu de la prise de vue. On les supprime automatiquement à l'import dans la galerie de l'app, votre photo de progression ne raconte pas, en plus, où vous vivez.
Les applications de sport collectent-elles vraiment mes données de localisation ?
Oui, la grande majorité des applications de sport collectent des données GPS précises, souvent en continu pendant l'activité. Certaines les partagent également avec des SDK tiers intégrés dans leur code, qui transmettent ces coordonnées à des courtiers en données sans que vous en ayez conscience.
Les zones de confidentialité Strava protègent-elles mon adresse ?
Pas fiablement. Une étude de chercheurs de la KU Leuven (2023) a montré qu'en croisant le contour des zones masquées avec le plan des rues et la distance parcourue sur plusieurs sorties, il est possible de retrouver l'adresse réelle avec 85 % de précision. La zone masque la donnée dans l'interface, elle ne l'efface pas.
Comment savoir quelles applications accèdent à ma localisation ?
Sur iPhone : Réglages > Confidentialité et sécurité > Service de localisation. Sur Android : Paramètres > Confidentialité > Gestionnaire d'autorisations > Localisation. Repérez les applications configurées sur "Toujours" plutôt que "Pendant l'utilisation" : ce sont celles qui trackent votre position en arrière-plan.
Mes données GPS peuvent-elles vraiment être utilisées contre moi ?
Les exemples documentés montrent que oui. En 2022, un journaliste a acheté pour 160 dollars un jeu de données montrant les trajets de personnes s'étant rendues dans des cliniques médicales, domicile inclus. En 2024, la FTC a sanctionné Gravy Analytics pour avoir vendu des données permettant de suivre des personnes dans des lieux sensibles. Ce ne sont pas des scénarios hypothétiques.
Sources
- [1] Euronews, Strava fitness app reportedly reveals location of France aircraft carrier at sea
- [2] Security Affairs, French aircraft carrier Charles de Gaulle tracked via Strava activity in OPSEC failure
- [3] CNN, US military reviewing security practices after fitness app reveals sensitive info
- [4] Engadget, After exposing secret military bases, Strava restricts data visibility
- [5] BleepingComputer, Strava heatmap feature can be abused to find home addresses
- [6] DarkReading, Popular Fitness Apps Leak Location Data Even When Users Set Privacy Zones
- [7] NC State News, Fitness App Loophole Allows Access to Home Addresses
- [8] EFF, App Stores Have Kicked Out Some Location Data Brokers
- [9] GIJN, How The New York Times is Visualizing the Smartphone Tracking Industry
- [10] Vice, Data Broker Is Selling Location Data of People Who Visit Abortion Clinics
- [11] FTC, FTC Takes Action Against Gravy Analytics, Venntel for Unlawfully Selling Location Data
- [12] TechCrunch, Gravy Analytics confirms a data breach after a hacker leaked millions of location records