Les débats autour de la confidentialité des données et de la sécurité portent souvent ce que font les géants technologiques, comme Google ou Facebook, des données de leurs utilisateurs. On entend moins parler des entreprises dont le modèle économique dans son intégralité repose sur la collecte des données personnelles et leur vente à des fins lucratives. On appelle ces entreprises les courtiers en données. Mais qui sont-ils ? Comment collectent-ils vos informations ? Qu’en font-ils ? Comment les bloquer ?
Les courtiers en données sont des entreprises qui vendent vos informations personnelles. Ils collectent les informations à partir de différentes sources pour constituer un profil détaillé de vous, puis le vendre. Le courtage de données représente un marché colossal. On estime que le secteur rapporte 200 milliards de dollars par an et compte 4 000 entreprises de courtage de données dans le monde. Parmi les principaux courtiers en données figurent Experian, Equifax, Acxiom et Epsilon.
Le secteur du courtage de données a été critiqué pour son opacité : les courtiers en données n’ont pas de réel avantage à interagir avec les personnes dont ils collectent, analysent, partagent les données et en profitent.
Les expressions « courtier en informations » et « courtier en données » sont interchangeables. Les courtiers en données n’entretiennent pas de relation directe avec les personnes dont ils collectent les données. Ainsi, la plupart des gens n’ont pas conscience que leurs données sont collectées. Pour les nombreuses personnes qui cliquent sur « J’accepte » pour accepter les politiques de confidentialité et les conditions d’utilisation en ligne, il n’est pas toujours évident de déterminer le niveau de consentement associé au contrôle des données et l’importance de l’effet cumulatif à travers un si grand nombre de sites Web.
Les sites de courtage de données obtiennent vos informations de multiples façons, en ligne et hors ligne, en connectant des dots pour constituer des profils clients complets :
À l’aide de ces différentes sources, les courtiers en données réunissent une montagne d’informations sur vous. Les types d’informations collectées incluent :
Les courtiers en données peuvent également connaître votre niveau de revenu, des détails sur votre état de santé, vos opinions politiques et avoir accès à votre casier judiciaire.
Ils compilent ces informations pour créer des segments d’utilisateurs, par exemple « nouvelles mamans », « fans de fitness », etc., qu’ils vendent ensuite à d’autres entreprises à des fins commerciales. Certaines catégories peuvent sembler inoffensives, mais deviennent intrusives et susceptibles de soulever des questions d’ordre éthique lorsqu’il s’agit de la situation médicale ou personnelle (par exemple, « personnes atteintes du sida »).
Malgré le volume d’informations collectées, les courtiers en données font parfois des erreurs. Par exemple, vous pouvez acheter des vêtements de bébé pour un ami ou un membre de votre famille, et le courtier en données vous identifie en tant que parent, même si ce n’est pas le cas. Vous pouvez acheter des médicaments pour une personne âgée de votre famille, et ces données seront interprétées comme reflétant votre état de santé.
Les courtiers en données vendent vos données à d’autres entreprises à diverses fins commerciales. Par exemple :
Comme toujours, les réglementations varient selon la juridiction et le cadre légal n’est pas toujours clair. De manière générale, si les courtiers en données utilisent des dossiers publics pour obtenir des informations, leurs activités sont légales, même si des zones grises subsistent.
L’UE applique le RGPD, un règlement sur la confidentialité des données et la sécurité qui couvre toute entreprise ciblant ou collectant les données des consommateurs d’Union européenne. Celui-ci stipule que les consommateurs doivent fournir un consentement explicite avant toute collecte de données. Le RGPD offre également le droit aux consommateurs de demander aux entreprises de supprimer des données personnelles stockées. D’autres pays appliquent des règlements similaires, comme le LGPD (Lei Geral de Proteção de Dados) au Brésil.
Aux États-Unis, le cadre juridique est plus fragmenté car il n’existe pas d’équivalent fédéral au RGPD. Les lois varient selon les États, certains s’intéressant davantage au courtage de données que d’autres. À titre d’exemple, le Consumer Privacy Act californien permet aux consommateurs d’obtenir des copies des informations personnelles que les courtiers en données ont collectées, de demander leur effacement et de choisir que leurs données ne soient pas vendues.
Bien souvent, le consentement requis pour collecter des données utilisateurs est perdu dans les mentions écrites en tout petit de la plupart des sites Web. Il n’est donc pas toujours évident pour les individus de déterminer dans quelle mesure ils cèdent le contrôle de leurs données.
Outre les problèmes éthiques et juridiques engendrés par le courtage de données, la portée des violations de données fait partie des points problématiques. Les courtiers en données compilent des informations sensibles susceptibles d’avoir des conséquences graves pour les individus affectés si elles venaient à tomber entre de mauvaises mains.
Exemples d’incidents de sécurité majeurs dus au courtage de données :
S’exclure totalement des listes des courtiers en données n’est pas chose aisée. Vous pouvez néanmoins décider de vous exclure de la collecte de données en contactant les sites de courtage individuellement pour leur demander de supprimer vos informations. Un processus laborieux. Vous pouvez aussi payer des entreprises qui le feront pour vous. Pour vous retirer des listes des courtiers en données, commencez par protéger votre vie privée en ligne.
Privacy Rights Clearinghouse propose ici une liste complète des courtiers en données. Elle inclut un lien vers leur politique de confidentialité et la procédure à suivre pour ne plus apparaître dans les listes de chaque courtier. Ce retrait ne sera pas efficace du premier coup. Vous devrez probablement recommencer plusieurs fois la procédure pour parvenir à vos fins. Si vous résidez en UE, ce guide explique comment envoyer des demandes d’effacement conformément au RGPD et comment vous retirer des sites de collecte de données.
Une entreprise appelée Brand Yourself analyse pour vous les données des bases des principaux courtiers et vous fournit un rapport indiquant où trouver vos informations. Un point de départ pour déterminer les courtiers en données dont vous pouvez vous retirer des listes.
Pour vous désabonner de ces sites, vous devez généralement les contacter par email. Il est judicieux de créer un compte secondaire. Vous préserverez ainsi votre compte de messagerie principal et le protégerez des spams.
Si vous êtes soucieux(se) de la façon dont une entreprise traite vos données personnelles, vous pouvez soumettre une réclamation par le biais de l’entité gouvernementale compétente de votre pays. Cette procédure varie selon les pays. Aux États-Unis, il faut vous tourner vers la Federal Trade Commission, et vers l’Information Commissioner’s Office au Royaume-Uni.
Les entreprises telles que PrivacyDuck et DeleteMe vous aident à garantir le caractère privé de vos données. Toutefois, ces services sont payants.
Vous pouvez également utiliser un VPN (Virtual Private Network) pour renforcer votre confidentialité en ligne. Lorsque vous vous connectez à Internet au moyen d’un VPN, votre adresse IP reste cachée et vos données sont chiffrées. Kaspersky VPN Secure Connection empêche les cybercriminels d’accéder à vos données et renforce votre confidentialité en ligne.
Articles connexes :