L'autorité précise : « Le téléphone envoie à Apple une courte liste des quelques points d'accès WiFi qu'il a détectés à proximité. Ces points d'accès sont identifiés uniquement par leur adresse MAC, sans aucune autre information complémentaire (telle que la localisation, la force du signal ou le SSID). Le serveur d'Apple répond avec une longue liste répertoriant la localisation de plusieurs centaines de points d'accès WiFi situés autour du téléphone, dans un rayon de 150 mètres environ. Chaque point d'accès est identifié par son adresse MAC associée à sa position géographique. Ces informations sont complétées par quelques données techniques ».
Pour rappel, en avril dernier, deux chercheurs affirmaient avoir découvert que l'iPhone et l'iPad 3G conservaient une trace de tous leurs déplacements. Ces informations étaient stockées en clair, sans chiffrement, dans la mémoire du téléphone, et transférées sur ordinateur à chaque sauvegarde.
Un mois après le début de cette polémique, Apple avait proposé aux utilisateurs d'installer la mise à jour 4.3.3 d'iOS. Grâce à ce patch, la firme expliquait alors qu'elle avait pris soin de limiter la taille du cache. Cela signifie que les coordonnées des réseaux mobiles et WiFi rencontrés sont bien conservées, mais avec un historique limité dans le temps.
Dans son étude, la Cnil précise que pendant la nuit, « l'iPhone contacte les serveurs de géolocalisation d'Apple ponctuellement sans aucune intervention de l'utilisateur, dès lors qu'il est allumé et connecté à un point d'accès WiFi ». Le terminal communique à Apple les points d'accès WiFi (adresse MAC, force du signal, position GPS) rencontrés par l'utilisateur dans les heures ou les jours précédents.
En conclusion, la commission constate l'originalité de la méthode de localisation d'Apple. « Lorsqu'un utilisateur demande à être géolocalisé, c'est le téléphone lui-même qui calcule sa propre position à l'aide des informations fournies par Apple » précise la Cnil.
Par contre, aucun identifiant unique ou donnée personnelle ne sont communiqués. Il est donc, en principe, impossible de lier ces informations à un utilisateur en particulier. Néanmoins, la Cnil invite Apple à mieux communiquer sur cette fonction et précise qu'elle mène actuellement le même type d'enquête sur des terminaux sous Android.