Lorsqu’il est question de scandales liés à la confidentialité des données, Facebook et Google sont immédiatement pointés du doigt comme les principaux responsables. Ces entreprises sont les boucs émissaires dont les pratiques douteuses en matière de confidentialité des données font la une des journaux et font l’objet d’enquêtes. Cependant, d’autres entreprises opèrent loin des projecteurs, échappant à la vigilance de la plupart des utilisateurs d’internet.
Aux États-Unis, où la législation sur la protection des données personnelles n’est pas très contraignante, des sociétés connues sous le nom de « courtiers en données » détiennent jusqu’à 1 500 informations sur une seule personne. Dans l’Union européenne, les courtiers en données opèrent en marge de la loi, contournant rapidement les restrictions du RGPD, par exemple en déformant l’interprétation de « l’intérêt légitime » ou en exploitant l’inattention des internautes qui ne lisent pas attentivement ce à quoi ils consentent.
Affirmer que ces entreprises détiennent plus d’informations sur les citoyens que les autorités publiques n’est pas loin de la réalité.
Bienvenue dans le royaume obscur des Data Brokers.
Data Brokers : qui sont-ils ?
Les Data Brokers, ou courtiers en données en français, sont des entreprises spécialisées dans la collecte, l’achat et la vente d’informations sur des individus à des fins lucratives. Leur processus de collecte d’informations peut inclure l’acquisition auprès d’autres entreprises, comme les sociétés de cartes de crédit, ainsi que la recherche sur Internet à la quête de sources d’information publiques, telles que les médias sociaux, notamment LinkedIn, Instagram et Facebook. Cette démarche s’apparente à l’OSINT (Open Source INTelligence), une pratique de renseignement de sources ouvertes visant à recueillir des données et des informations en ligne.
Ces entreprises opèrent dans un secteur en plein essor, générant plus de 200 milliards d’euros de revenus par an, une croissance qui ne montre aucun signe de ralentissement. Cette expansion ne surprend guère compte tenu de la quantité considérable d’informations créées chaque année, avec une estimation de 1,7 Mo de données produites par personne chaque seconde en 2020. L’essor d’Internet, l’intégration généralisée d’applications telles que le GPS, la numérisation des empreintes digitales et la reconnaissance faciale dans la vie quotidienne contribuent à créer un produit particulièrement précieux.
En dépit de leur impact significatif sur la vie privée et la sécurité des données, ces Data Brokers évoluent souvent dans l’ombre, échappant à une grande partie de l’attention du grand public. Ils influent de manière substantielle sur la manière dont les informations personnelles sont collectées, traitées et monétisées à l’échelle mondiale, soulignant ainsi leur rôle clé dans l’économie des données.
Quels types de données collectent et exploitent les Data Brokers ?
Les Data Brokers recueillent des informations provenant d’une variété de sources, qu’elles soient en ligne ou hors ligne. Voici quelques exemples de ces sources :
- Médias sociaux
- Historique des sites web
- Historique des achats en ligne et hors ligne, ainsi que des informations sur les garanties
- Informations sur les cartes de crédit
- Dossiers gouvernementaux (permis de conduire, dossiers des véhicules à moteur, données de recensement, certificats de naissance, licences de mariage, informations sur l’inscription des électeurs, etc.)
Les types de données collectées et vendues par les courtiers comprennent, entre autres, les éléments suivants :
- Nom complet
- Adresse de résidence (y compris les adresses précédentes)
- Numéros de téléphone
- Adresses électroniques
- Âge et sexe
- Numéro de sécurité sociale
- Informations sur les biens immobiliers possédés
- Revenus
- Niveau d’éducation
- Profession
Les Data Brokers regroupent ces informations pour créer des segments d’audience, également appelés segments d’utilisateurs ou simplement audiences, qu’ils revendent ensuite aux entreprises. Lorsqu’elles sont exploitées à des fins de publicité en ligne, telles que le ciblage publicitaire, la plupart des plateformes AdTech, incluant les plateformes de gestion de la demande et des données, ne portent pas d’intérêt aux données sensibles comme les noms et les adresses. Elles se concentrent plutôt sur l’historique des achats et du site web d’une personne, tout en utilisant des informations telles que l’âge, le sexe et le revenu pour améliorer la précision du ciblage.
Comment les Data Brokers génèrent-ils des revenus ?
Les Data Brokers peuvent adopter divers modèles commerciaux, mais de manière fondamentale, le courtage en données consiste à collecter et à agréger des données, puis à revendre les catégories d’utilisateurs les plus précieuses à des tiers. À titre d’exemple, l’un des plus grands scandales à ce jour implique un courtier en données qui a vendu les coordonnées de victimes de viol, d’alcooliques et de personnes souffrant de troubles de l’érection à des annonceurs. Ces listes étaient commercialisées à 79 dollars pour 1 000 contacts.
Lorsque des segments d’audience sont cédés à des sociétés AdTech, cela se fait souvent sur la base d’un coût pour mille (CPM) ou d’un pourcentage des médias.
Bien que l’on entende fréquemment parler de Data Brokers vendant des informations sensibles à des annonceurs, la majorité des courtiers, surtout ceux qui fournissent des données à des sociétés de publicité grand public, ne vendent pas de données aussi sensibles. Ils se concentrent plutôt sur des catégories plus courantes telles que les « amateurs de sport », les « mélomanes », les « acheteurs impulsifs », etc.
Quels sont les types de Data Brokers ?
Il existe plusieurs milliers d’entreprises dans le monde qui collectent des informations sur les consommateurs à partir de sources publiques et non publiques afin de les vendre à d’autres entreprises. En fonction de l’étendue et du type de données qu’ils stockent, les courtiers en données sont divisés en trois catégories :
Type 1 : Les Data Brokers pour le marketing et la publicité
Certains Data Brokers se concentrent spécifiquement sur le marketing, à l’instar d’Acxiom et de Datalogix (récemment acquis par Oracle). Des entreprises telles qu’Experian et Equifax possèdent également des divisions dédiées aux courtiers en données. Le rôle de ces entreprises consiste à constituer des bases de données individuelles qu’elles utilisent ensuite à des fins de publicité et de marketing ciblés. Les courtiers en données créent des audiences en regroupant des données telles que l’âge, la localisation, le niveau d’éducation, le revenu, l’historique Internet, l’historique des achats et les centres d’intérêt d’une personne. Les sociétés de publicité peuvent acquérir ces audiences pour présenter des publicités ciblées à des groupes spécifiques.
Type 2 : Les Data Brokers pour la détection des fraudes
Certains courtiers en données offrent des services de détection des fraudes, fréquemment sollicités par les banques et les opérateurs de téléphonie mobile. À titre d’exemple, une banque pourrait faire appel à un Data Broker avant d’accorder un prêt afin de vérifier la précision et la légitimité des informations fournies. Ceci permet de réduire le risque d’octroi d’un prêt à une personne mal intentionnée.
Type 3 : Les Data Brokers pour l’atténuation des risques
Certains courtiers se spécialisent dans l’atténuation des risques en utilisant l’historique des recherches d’une personne pour lui proposer des prêts à taux d’intérêt élevé (à haut risque) plutôt que des prêts à faible taux d’intérêt (plus sûrs). Par exemple, un historique d’achats réguliers de produits de luxe par carte de crédit en ligne peut indiquer qu’une personne est fortement endettée, surtout si ses revenus sont modestes.
De la même manière, un abonnement actif à une salle de sport peut classer l’utilisateur dans un groupe à plus faible risque d’infarctus, ce qui entraîne des primes d’assurance-vie moins élevées. Par exemple, les utilisateurs de l’application mobile Yanosik (une application polonaise de caméra de surveillance informant le conducteur de la présence de radars et fournissant d’autres informations routières utiles) peuvent bénéficier d’offres d’assurance automobile moins chères, à condition qu’ils acceptent que leur style de conduite soit suivi. Naturellement, les conducteurs imprudents paient une prime, tandis que les conducteurs prudents sont récompensés.
Le problème réside dans le fait que ces classifications d’atténuation des risques peuvent être basées sur des informations totalement inexactes, et étant donné que les individus sont rarement conscients de la collecte de telles informations, il n’existe pas de processus simple pour accéder à ces données, les modifier, les corriger ou les supprimer.
Type 4 : Les Data brokers des sites de recherche de personnes
Ces Data Brokers rassemblent et fournissent des informations personnelles à des sites web spécialisés dans la recherche de personnes.
Les sites de recherche de personnes permettent aux particuliers et aux entreprises de trouver des informations sur une personne en recherchant son nom, son ou ses numéros de téléphone, son adresse, son adresse électronique et son numéro de sécurité sociale. Les informations accessibles via ces sites peuvent inclure :
- Alias
- Adresses (actuelles et passées)
- Dates de naissance
- Centres d’intérêt
- Affiliations
- Informations sur l’éducation
- Informations sur l’emploi
- Situation de famille
- Informations financières (par exemple, faillite)
- Informations sur les médias sociaux (par exemple, profils)
En raison de la nature sensible de ces informations et de leur facilité d’accès, les individus sont souvent vulnérables au doxxing.
Le courtage de données est-il légal ?
Les Data Brokers opèrent souvent à la limite de la légalité ou en totale conformité avec la loi, surtout dans les pays où les politiques en matière de données ne sont pas très strictes ou appliquées rigoureusement.
Le consentement au partage de vos données avec des courtiers tiers peut être insidieusement inclus dans l’une des cases à cocher que vous sélectionnez lors de votre inscription sur un site, ou vous être présenté en petits caractères, par exemple, lorsque vous remplissez un formulaire avec vos données détaillées pour obtenir une carte de fidélité (et une réduction de 10 % sur vos futurs achats dans le magasin).
Il est intéressant de noter que bien que la plupart des gens ne soient pas tout à fait à l’aise avec l’idée que quelqu’un vende leurs données, certains participent volontairement à des programmes spéciaux de courtage de données, comme Luth Research, où vous pouvez être rémunéré pour partager librement des détails très précis sur vous-même et vos intérêts, et consentir à ce que les données soient revendues à des tiers. Ceci permet aux annonceurs de vous cibler plus efficacement dans le cadre de leurs campagnes. En théorie, c’est une situation gagnant-gagnant.
Les Data Brokers face aux normes de confidentialité renforcées
L’évolution des lois mondiales sur la protection des données et de la vie privée a engendré de nouveaux défis pour le modèle de courtage de données.
Par exemple, le règlement général sur la protection des données (RGPD) de l’Union européenne impose des exigences strictes pour le traitement des données personnelles. Selon ce règlement, l’utilisation des données d’une personne doit reposer sur l’une des six bases juridiques de traitement des données. Parmi celles-ci figure l' »intérêt légitime », une notion relativement vague et probablement la base juridique la plus couramment employée, tout en étant sujette à des interprétations diverses.
Cependant, cette approche suscite des controverses, car elle peut être source de malentendus et de potentielles violations de la vie privée. Certains estiment que l’intérêt légitime est interprété de manière trop souple, laissant place à des pratiques de courtage de données qui peuvent être perçues comme intrusives et préjudiciables à la confidentialité des individus.
Ainsi, la controverse autour de l’utilisation de l’intérêt légitime met en lumière les tensions entre les pratiques de courtage de données et les attentes croissantes en matière de protection de la vie privée, soulevant des questions fondamentales sur la manière dont les entreprises opèrent dans un paysage réglementaire en constante évolution.
L’intérêt légitime dans le courtage de données
Les Data Brokers et de nombreuses sociétés AdTech utilisent l’intérêt légitime comme base juridique pour le traitement des données des utilisateurs. Bien que les spécificités de ce principe soient quelque peu obscures, il est clair que l’intérêt légitime ne s’applique pas de manière automatique à des fins publicitaires. Les courtiers en données et les sociétés AdTech doivent plutôt obtenir un consentement clair, explicite et non ambigu (une autre base juridique pour le traitement des données) pour collecter et traiter les données des utilisateurs.
Cependant, l’interprétation de l’intérêt légitime soulève des préoccupations quant à sa manipulation potentielle. En particulier, son utilisation comme justification pour le traitement des données dans le domaine du courtage de données et de l’AdTech peut être sujette à des interprétations diverses, ce qui soulève des questions sur la légitimité réelle de son application dans ces contextes.
Cette complexité juridique expose les courtiers en données et les sociétés AdTech à des risques accrus en matière de conformité, mettant en évidence la nécessité pour ces acteurs de s’adapter rapidement aux évolutions des normes de confidentialité et de protection des données.
Les procédures d’exclusion dans le domaine du courtage de données
Si, dans la plupart des cas, l’option de retrait est généralement gratuite, la majorité des individus ne sont même pas conscients de l’existence d’une telle possibilité. De plus, les Data Brokers ne sont pas toujours enclins à divulguer toutes les données qu’ils ont collectées sur un utilisateur, bien que certains le fassent. « About the Data » est un site web géré et administré par Acxiom, permettant aux individus d’explorer les données que l’entreprise détient à leur sujet et de rectifier les informations incorrectes.
Deuxièmement, bien que les sociétés de courtage de données puissent offrir des options d’exclusion, elles ne prennent peut-être pas en compte les déductions découlant des données elles-mêmes. La mauvaise nouvelle réside dans le fait qu’il est extrêmement difficile d’effacer définitivement des données sur Internet, laissant ainsi une copie de vos informations stockée quelque part. Cette réalité souligne les limites des procédures d’exclusion actuelles, mettant en évidence le besoin de solutions plus efficaces pour permettre aux individus de contrôler véritablement l’utilisation de leurs données personnelles.
Conclusion
Le courtage de données est actuellement soumis à un examen minutieux, notamment depuis la mise en place du Règlement Général sur la Protection des Données (GDPR) en 2018. Les Data Brokers doivent exercer une vigilance accrue dans leurs pratiques afin d’éviter des amendes substantielles et des enquêtes pour violation de données. Un exemple récent est l’amende de 57 millions de dollars infligée à Google en France par la CNIL, le régulateur des données, en raison du non-respect des règles de protection des données de l’UE.
En outre, l’année précédente, l’organisation à but non lucratif britannique Privacy International a déposé des plaintes officielles auprès des régulateurs européens en vertu du GDPR, visant certaines grandes entreprises de technologie publicitaire telles que Criteo, Quantcast, Tapad, ainsi que les agences de crédit Equifax et Experian.
Cependant, malgré ces mesures réglementaires, cela ne garantit pas une sécurité totale pour les utilisateurs, étant donné que l’utilisation d’Internet comporte toujours des risques. La meilleure approche actuelle consiste à faire preuve de bon sens : éviter de partager des données avec des sites web douteux, lire attentivement les formulaires de consentement dans la mesure du possible, et être particulièrement prudent lors de l’utilisation de services gratuits. Après tout, comme le dicton le dit, il n’y a pas de repas gratuit.