Les débats autour de la confidentialité des données et de la sécurité portent souvent ce que font les géants technologiques, comme Google ou Facebook, des données de leurs utilisateurs. On entend moins parler des entreprises dont le modèle économique dans son intégralité repose sur la collecte des données personnelles et leur vente à des fins lucratives. On appelle ces entreprises les courtiers en données. Mais qui sont-ils ? Comment collectent-ils vos informations ? Qu’en font-ils ? Comment les bloquer ?
Que sont les courtiers en données ?
Les courtiers en données sont des entreprises qui vendent vos informations personnelles. Ils collectent les informations à partir de différentes sources pour constituer un profil détaillé de vous, puis le vendre. Le courtage de données représente un marché colossal. On estime que le secteur rapporte 200 milliards de dollars par an et compte 4 000 entreprises de courtage de données dans le monde. Parmi les principaux courtiers en données figurent Experian, Equifax, Acxiom et Epsilon.
Le secteur du courtage de données a été critiqué pour son opacité : les courtiers en données n’ont pas de réel avantage à interagir avec les personnes dont ils collectent, analysent, partagent les données et en profitent.
Définition du courtier en données
Les expressions « courtier en informations » et « courtier en données » sont interchangeables. Les courtiers en données n’entretiennent pas de relation directe avec les personnes dont ils collectent les données. Ainsi, la plupart des gens n’ont pas conscience que leurs données sont collectées. Pour les nombreuses personnes qui cliquent sur « J’accepte » pour accepter les politiques de confidentialité et les conditions d’utilisation en ligne, il n’est pas toujours évident de déterminer le niveau de consentement associé au contrôle des données et l’importance de l’effet cumulatif à travers un si grand nombre de sites Web.
Comment les courtiers en données collectent-ils les informations ?
Les sites de courtage de données obtiennent vos informations de multiples façons, en ligne et hors ligne, en connectant des dots pour constituer des profils clients complets :
- Votre historique de navigation sur Internet. À chaque fois que vous utilisez un moteur de recherche, une application de réseau social ou toute autre application, que vous remplissez un questionnaire en ligne ou participez à un concours, ou encore que vous visitez différents sites Web, vous laissez une trace électronique. Les courtiers en données utilisent cette trace pour constituer votre profil. Le suivi Web installé sur la plupart des sites Web collecte des informations sur vos activités en ligne. Les courtiers en données utilisent le Web scraping, un petit élément logiciel ou de script qui extrait les données de n’importe quel site Web pour collecter ces informations.
- Sources publiques. Celles-ci incluent les certificats de naissance, les contrats de mariage, les déclarations de divorces, les informations d’inscription électorale, les casiers judiciaires, les déclarations de faillite, les papiers des véhicules motorisés et les données de recensement.
- Sources commerciales. Votre historique d’achat, c’est-à-dire ce que vous avez acheté, quand, en quelle quantité et si vous avez utilisé un bon de réduction ou une carte de fidélité.
- Votre consentement. Lorsque vous souscrivez au programme de fidélité d’un magasin par exemple, vous acceptez parfois de partager vos données sans en avoir conscience (sauf si vous lisez les lignes écrites en tout petit).
Quelles informations les courtiers en données collectent-ils ?
À l’aide de ces différentes sources, les courtiers en données réunissent une montagne d’informations sur vous. Les types d’informations collectées incluent :
- Votre nom
- Adresse (actuelle est adresses précédentes)
- Date d'achat
- Sexe
- Statut marital
- Statut familial, y compris si vous avez des enfants, combien et leur âge
- les numéros de Sécurité sociale,
- Niveau de formation
- Ressources
- Fonction
- Numéro de téléphone
- Adresse e-mail
- Habitudes d’achat, à savoir ce que vous achetez, quand et en quelle quantité
- Centres d’intérêt et hobbies
Les courtiers en données peuvent également connaître votre niveau de revenu, des détails sur votre état de santé, vos opinions politiques et avoir accès à votre casier judiciaire.
Ils compilent ces informations pour créer des segments d’utilisateurs, par exemple « nouvelles mamans », « fans de fitness », etc., qu’ils vendent ensuite à d’autres entreprises à des fins commerciales. Certaines catégories peuvent sembler inoffensives, mais deviennent intrusives et susceptibles de soulever des questions d’ordre éthique lorsqu’il s’agit de la situation médicale ou personnelle (par exemple, « personnes atteintes du sida »).
Malgré le volume d’informations collectées, les courtiers en données font parfois des erreurs. Par exemple, vous pouvez acheter des vêtements de bébé pour un ami ou un membre de votre famille, et le courtier en données vous identifie en tant que parent, même si ce n’est pas le cas. Vous pouvez acheter des médicaments pour une personne âgée de votre famille, et ces données seront interprétées comme reflétant votre état de santé.
Comment vos données sont-elles utilisées ?
Les courtiers en données vendent vos données à d’autres entreprises à diverses fins commerciales. Par exemple :
- Le marketing et la publicité Les entreprises achètent les données afin d’ajuster leurs messages marketing, leurs offres clients ou les publicités qu’ils vous envoient. Lors des campagnes électorales, les partis politiques peuvent utiliser ces données pour vous cibler au moyen de messages politiques.
- Atténuation des risques : Certaines entreprises utilisent les données qu’ils achètent auprès des courtiers en données pour lutter plus sévèrement contre la fraude. Elles peuvent par exemple vérifier que les informations d’un consommateur dans le cadre d’une demande de prêt correspondent aux données fournies par les courtiers en données. Les informations peuvent également être utilisées pour calculer les risques d’incapacité à rembourser un emprunt souscrit par un consommateur.
- Assurance maladie. Les informations relatives à votre santé, comme les médicaments que vous achetez ou les symptômes pour lesquels vous effectuez une recherche en ligne, peuvent être utilisées par les compagnies d’assurance maladie pour déterminer les taux de couverture à appliquer en fonction de votre profil de données.
- Sites de recherche de personnes Les sites de recherche de personnes, comme Spokeo, PeekYou, PeopleSmart ou Pipl, vous permettent de rechercher une personne par son nom – moyennant généralement des frais – et de recevoir des informations sur elle, comme son adresse, son numéro de téléphone, son adresse email, sa date de naissance, etc. Les informations qui alimentent ce type de sites proviennent des courtiers en données et sont parfois utilisées à des fins de doxing, d’ ingénierie sociale ou d’usurpation d’identité.
Le courtage de données est-il légal ?
Comme toujours, les réglementations varient selon la juridiction et le cadre légal n’est pas toujours clair. De manière générale, si les courtiers en données utilisent des dossiers publics pour obtenir des informations, leurs activités sont légales, même si des zones grises subsistent.
L’UE applique le RGPD, un règlement sur la confidentialité des données et la sécurité qui couvre toute entreprise ciblant ou collectant les données des consommateurs d’Union européenne. Celui-ci stipule que les consommateurs doivent fournir un consentement explicite avant toute collecte de données. Le RGPD offre également le droit aux consommateurs de demander aux entreprises de supprimer des données personnelles stockées. D’autres pays appliquent des règlements similaires, comme le LGPD (Lei Geral de Proteção de Dados) au Brésil.
Aux États-Unis, le cadre juridique est plus fragmenté car il n’existe pas d’équivalent fédéral au RGPD. Les lois varient selon les États, certains s’intéressant davantage au courtage de données que d’autres. À titre d’exemple, le Consumer Privacy Act californien permet aux consommateurs d’obtenir des copies des informations personnelles que les courtiers en données ont collectées, de demander leur effacement et de choisir que leurs données ne soient pas vendues.
Bien souvent, le consentement requis pour collecter des données utilisateurs est perdu dans les mentions écrites en tout petit de la plupart des sites Web. Il n’est donc pas toujours évident pour les individus de déterminer dans quelle mesure ils cèdent le contrôle de leurs données.
Exemples de violations de données émanant de courtiers en données
Outre les problèmes éthiques et juridiques engendrés par le courtage de données, la portée des violations de données fait partie des points problématiques. Les courtiers en données compilent des informations sensibles susceptibles d’avoir des conséquences graves pour les individus affectés si elles venaient à tomber entre de mauvaises mains.
Exemples d’incidents de sécurité majeurs dus au courtage de données :
- En 2017, Equifax a annoncé une violation de données ayant impacté les informations personnelles de 147 millions de personnes. L’entreprise a décidé plus tard en accord avec la Federal Trade Commission et 50 États de verser jusqu’à 425 millions de dollars pour aider à indemniser les personnes concernées.
- En 2015, 15 millions de dossiers appartenant à T-Mobile, mais stockés sur les serveurs d’Experian, ont été accessibles.
- Epsilon a été piratée en 2011, exposant les noms et les adresses email de millions de personnes sur des listes marketing d’adresses email, qui ont ensuite reçu des spams et fait l’objet de tentatives de phishing ciblé.
- En 2003, Acxiom a été piratée. Plus de 1,6 milliard de dossiers (contenant des noms, des adresses et des adresses email) ont été volés et vendus à des spammeurs.
Comment vous protéger contre les pirates informatiques ?
S’exclure totalement des listes des courtiers en données n’est pas chose aisée. Vous pouvez néanmoins décider de vous exclure de la collecte de données en contactant les sites de courtage individuellement pour leur demander de supprimer vos informations. Un processus laborieux. Vous pouvez aussi payer des entreprises qui le feront pour vous. Pour vous retirer des listes des courtiers en données, commencez par protéger votre vie privée en ligne.
Comment vous exclure des sites de collecte de données
Privacy Rights Clearinghouse propose ici une liste complète des courtiers en données. Elle inclut un lien vers leur politique de confidentialité et la procédure à suivre pour ne plus apparaître dans les listes de chaque courtier. Ce retrait ne sera pas efficace du premier coup. Vous devrez probablement recommencer plusieurs fois la procédure pour parvenir à vos fins. Si vous résidez en UE, ce guide explique comment envoyer des demandes d’effacement conformément au RGPD et comment vous retirer des sites de collecte de données.
Une entreprise appelée Brand Yourself analyse pour vous les données des bases des principaux courtiers et vous fournit un rapport indiquant où trouver vos informations. Un point de départ pour déterminer les courtiers en données dont vous pouvez vous retirer des listes.
Pour vous désabonner de ces sites, vous devez généralement les contacter par email. Il est judicieux de créer un compte secondaire. Vous préserverez ainsi votre compte de messagerie principal et le protégerez des spams.
Si vous êtes soucieux(se) de la façon dont une entreprise traite vos données personnelles, vous pouvez soumettre une réclamation par le biais de l’entité gouvernementale compétente de votre pays. Cette procédure varie selon les pays. Aux États-Unis, il faut vous tourner vers la Federal Trade Commission, et vers l’Information Commissioner’s Office au Royaume-Uni.
Payez des entreprises privées pour vous tenir loin des courtiers en données
Les entreprises telles que PrivacyDuck et DeleteMe vous aident à garantir le caractère privé de vos données. Toutefois, ces services sont payants.
Protégez votre confidentialité en ligne en suivant les étapes ci-dessous
- Familiarisez-vous avec le cadre juridique régissant la confidentialité des données dans votre pays ou État pour connaître vos droits.
- Évitez de publier des informations personnelles sur les réseaux sociaux. Par exemple, votre date de naissance est souvent utilisée comme identifiant ou question de sécurité. Évitez donc de la rendre publique.
- Vos comptes de réseaux sociaux sont privés. Seuls vos amis et les membres de votre famille peuvent y accéder.
- Évitez de répondre à des questionnaires ou de participer à des cagnottes en ligne, qui capturent souvent des données personnelles.
- Évitez également de télécharger des applications risquées émanant de sources non fiables et supprimez toutes les applications inutiles que vous n’utilisez pas.
- Conservez uniquement les comptes en ligne que vous utilisez réellement.
- Évitez d’ouvrir les emails provenant d’expéditeurs inconnus.
- Pour limiter le suivi, utilisez un navigateur Web qui inclut un logiciel de blocage de trackers et des publicités.
Vous pouvez également utiliser un VPN (Virtual Private Network) pour renforcer votre confidentialité en ligne. Lorsque vous vous connectez à Internet au moyen d’un VPN, votre adresse IP reste cachée et vos données sont chiffrées. Kaspersky VPN Secure Connection empêche les cybercriminels d’accéder à vos données et renforce votre confidentialité en ligne.
Articles connexes :