Smartphones, géolocalisation et sécurité : pourquoi vos cadres sont des capteurs de renseignement involontaires

Le smartphone n’est plus un simple outil de communication. Depuis le tournant des années 2020, il est devenu un capteur de données de mobilité permanent, précis et exploitable. Cette réalité est désormais documentée par des enquêtes journalistiques, des rapports de régulateurs et des travaux de chercheurs. Pour les PME et ETI françaises, le risque est clair : quelques cadres suffisent à exposer des informations stratégiques sans qu’aucune attaque informatique ne soit nécessaire.

Une donnée clé : la géolocalisation fine et continue

Un smartphone produit des données de localisation à chaque interaction avec une application utilisant le GPS, le Wi-Fi ou les antennes cellulaires. Selon la Federal Trade Commission américaine, plusieurs milliers d’applications collectent ou transmettent des données de localisation à des intermédiaires commerciaux, parfois en continu, parfois par lots, mais presque toujours de manière répétée (Federal Trade Commission, Data Brokers: A Call for Transparency, septembre 2024).

Ces données ne sont pas anecdotiques. Elles sont horodatées, géographiquement précises et associées à des identifiants persistants comme l’identifiant publicitaire du téléphone. Leur valeur ne tient pas à un point isolé, mais à l’accumulation sur plusieurs jours ou semaines.

États-Unis : des usages gouvernementaux établis

Entre 2021 et 2023, plusieurs enquêtes du New York Times ont révélé que l’Immigration and Customs Enforcement (ICE) et d’autres composantes du Department of Homeland Security avaient acheté des données de localisation à des courtiers privés afin de suivre des individus sur le territoire américain, sans recourir à des mandats judiciaires traditionnels (New York Times, 12 janvier 2021 ; 10 août 2022).

Ces révélations ont été confirmées par un rapport du Government Accountability Office, organe de contrôle du Congrès, qui précise que ces données provenaient d’applications mobiles grand public et étaient acquises via des contrats commerciaux (GAO, Federal Agencies’ Use of Commercially Available Data, septembre 2022).

Le point central est établi : la surveillance ne reposait pas sur du piratage, mais sur l’achat légal de données issues de l’écosystème numérique.

Europe : la pseudonymisation ne protège pas réellement

En Europe, le cadre juridique est plus strict, mais les faits montrent des limites opérationnelles.

En 2023, des chercheurs ont démontré qu’il suffisait de quatre points de localisation distincts pour réidentifier plus de 90 % des individus dans un jeu de données dit “anonymisé” (travaux cités par le Comité européen de la protection des données, avis 05/2023).

Début 2025, une enquête du Monde a analysé un jeu de données de localisation issu d’un courtier international. Les journalistes ont montré qu’il était possible d’identifier des habitudes quotidiennes, des lieux de travail et parfois des domiciles à partir de simples identifiants techniques (Le Monde, 16 janvier 2025).

Autrement dit, la pseudonymisation n’empêche pas la reconstitution de profils lorsqu’elle est confrontée à des routines professionnelles stables.

Pourquoi les cadres dirigeants sont des cibles privilégiées

Dans une PME ou une ETI, l’information stratégique est concentrée. Les décisions commerciales, industrielles ou financières reposent sur un nombre réduit de personnes. Or, le smartphone d’un dirigeant ou d’un directeur commercial permet d’observer indirectement :
• les zones géographiques prioritaires,
• les partenaires rencontrés,
• la fréquence et la durée des rendez-vous,
• les périodes d’intensification des échanges.

Ces éléments sont exploitables via des méthodes d’OSINT (Open Source INTelligence) passif et de SOCMINT (Social Media INTelligence), c’est-à-dire l’analyse des comportements sociaux et relationnels à partir de traces numériques ouvertes.

Déplacements professionnels et salons : des pics d’exposition

Les déplacements internationaux et les salons professionnels amplifient cette exposition. En 2023 et 2024, plusieurs études de cybersécurité ont montré qu’il était possible d’identifier les visiteurs les plus actifs de grands salons industriels en croisant données de présence, déplacements intra-site et horaires de fréquentation (rapports sectoriels ENISA, 2024).

Un cadre utilisant son smartphone pour se déplacer, organiser ses rendez-vous, publier sur un réseau social ou installer des applications locales génère un volume de données suffisant pour reconstituer :
• son agenda réel,
• ses interlocuteurs probables,
• son intérêt pour certaines technologies ou fournisseurs.

Dans certains pays, la législation permet un accès élargi aux données de télécommunication, ce qui renforce encore le risque lors de missions à l’étranger.

Un angle mort persistant dans les PME et ETI françaises

Contrairement aux grands groupes et à certaines administrations, la majorité des PME et ETI françaises n’intègrent pas le smartphone dans leurs audits de sûreté. Les dispositifs portent sur les systèmes d’information, les sites physiques ou les procédures internes, mais rarement sur les usages numériques individuels en mobilité.

Dans les faits, peu d’entreprises disposent de règles formalisées concernant :
• l’usage du téléphone personnel lors de déplacements sensibles,
• l’installation d’applications locales ou temporaires,
• la publication en temps réel pendant des événements professionnels,
• la gestion des paramètres de géolocalisation.

Cette absence de cadre ne supprime pas le risque. Elle le rend structurel.

Analyse IE : une perte d’asymétrie informationnelle

Du point de vue de l’intelligence économique, le smartphone est devenu un capteur humain permanent. Il fournit des informations exploitables sans alerte, sans bruit et souvent sans illégalité. Le risque principal n’est pas l’espionnage spectaculaire, mais l’érosion progressive de l’avantage informationnel.

Pour une PME ou une ETI, la compromission informationnelle d’un seul décideur peut suffire à fragiliser une négociation, une implantation ou une stratégie d’approvisionnement.

Les enquêtes, rapports et décisions récentes convergent : la géolocalisation issue des smartphones circule à grande échelle, via des intermédiaires commerciaux et peut être exploitée par des acteurs publics ou privés. Pour les entreprises, la question n’est plus technique mais organisationnelle.

La sécurité ne commence plus uniquement dans les serveurs ou les pare-feu. Elle commence dans la poche des décideurs.