Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Les Gafam et les réseaux sociaux ont un rôle clé dans le dossier de la gestion des données personnelles.
Les Gafam et les réseaux sociaux ont un rôle clé dans le dossier de la gestion des données personnelles.
©DAMIEN MEYER / AFP

Biens commerciaux

Les vendeurs de données personnelles sont une menace pour la démocratie

Aux Etats-Unis, les données personnelles des internautes sont devenues de véritables enjeux commerciaux pour certaines entreprises. La firme Acxiom prétend ainsi disposer des données de 2,5 milliards de personnes dans le monde. La démocratie est de plus en plus fragilisée face à l'influence, à la vente et à la captation des données personnelles.

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Aux États-Unis, les données personnelles issues des activités des internautes se vendent et se revendent comme une marchandise de luxe. Que représente aujourd'hui ce marché ?

Jean-Paul Pinte : Aux États-Unis, les données personnelles sont des biens commerciaux comme les autres.
 
Après le Patriot Act en 2001, puis le Freedom Act en 2015, le gouvernement a promulgué le Cloud Act (Clarifying Lawful Overseas Use of Data Act) en mars 2018. Une décision qui a une nouvelle fois fait grincer des dents de l’autre côté de l’Atlantique.
 
Le Patriot Act a octroyé de très larges pouvoirs aux agences de renseignements. La section 215 a particulièrement retenu l’attention. Cet article leur permettait en effet d’obtenir de la part d’un tribunal secret (FISA) un mandat obligeant les opérateurs de téléphonie à fournir l’intégralité des métadonnées téléphoniques de leurs clients américains.
 
En juin 2015, le Congrès américain a souhaité faire passer une nouvelle loi. Le Freedom Act devait mettre un terme à la collecte massive de données par la NSA (agence nationale de sécurité) et son programme d’écoutes téléphoniques dévoilé par Edward Snowden. Mais cette loi préserve pourtant la capacité des services de renseignement à obtenir les métadonnées stockées chez les opérateurs téléphoniques, en faisant des demandes au cas par cas.
 
À la suite de l’élection de Donald Trump, le Congrès des États-Unis est revenu sur un règlement que la FCC souhaitait appliquer afin de protéger les clients des FAI contre la libre utilisation de leurs données personnelles. Les États-Unis se présentent ainsi tel un véritable eldorado pour les commerçants de données personnelles et comme l’un des pays au monde où le droit au respect de la vie privée en ligne est le moins bien garanti.
 
En octobre 2016, la FCC (Federal Communications Commission) avait validé un règlement visant à soumettre les fournisseurs d’accès à internet (FAI) des États-Unis à de nouvelles obligations afin de protéger la vie privée et les données personnelles de leurs abonnés. Ce texte prévoyait que les opérateurs tels qu’AT&T, Verizon ou Comcast devraient obtenir le consentement exprès de leurs clients (système de l’opt-in) pour pouvoir partager ou vendre leurs informations de navigation et autres données personnelle
 
Cette réglementation de l’administration Obama n’aura pas résisté à l’élection de Donald Trump. Alors qu’elle n’était pas encore entrée en vigueur, elle a été abrogée par le Sénat le 23 mars 2017, puis par la Chambre des représentants le 28 mars 2017, et remplacée par une nouvelle loi promulguée par le président Trump le 4 avril 2017.
 
Au cœur du système économique actuel sont les data brokers, ces courtiers qui recueillent et revendent les données. Parmi eux, Acxiom, acteur discret mais dont les revenus se comptent en centaines de millions de dollars. Le géant du secteur affirme disposer en moyenne de 1500 informations différentes sur plus de 200 millions d’Américains.
 
Une enquête de l’émission 60 minutes cite l’exemple d’un autre courtier, Take 5 Solutions qui possède également des sites internet sur la parentalité ou la santé. A chaque fois qu’une personne consulte l’un de ces sites, elle donne donc sans le savoir des informations sur elle-même, ensuite exploitées par Take 5 Solutions. Dans ce marché, les adresses e-mails ou les déplacements (donnés grâce aux smartphones) sont des denrées très recherchées. Et une femme enceinte vaut plus qu’un citoyen lambda puisque les publicitaires s’attendent à ce qu’elle change de mode de vie et s’intéresse à de nouvelles marques.
 
Les plus grands courtiers en données exercent un lobbying plus agressif à Washington. Une enquête récente de The Markup a révélé que 25 de ces entreprises avaient dépensé 29 millions de dollars en lobbying en 2020, rivalisant avec les efforts de Facebook ou de Google. C'est pourquoi il est plus urgent que jamais que les législateurs et les régulateurs considèrent cette industrie comme un élément clé de la protection de la vie privée des Américains et de la réduction des dommages causés par l'industrie à l'étranger. Sans garanties, cette vente de données ne fera que continuer à menacer la démocratie. La législation fédérale sur la protection de la vie privée devrait considérer toutes les entreprises qui vendent des données comme faisant partie de l'économie du courtage de données, et pas seulement celles qui vendent des données à des tiers. Les lois locales et étatiques sur les archives publiques devraient également tenir compte de la violence du partenaire intime et des risques de doxing que ces informations soient grattées et publiées sur l'internet mondial. La pratique non réglementée du courtage de données est incroyablement dangereuse et de plus en plus nuisible - et les décideurs ne peuvent plus l'ignorer.

La firme Acxiom se targue d'avoir des données de 2,5 milliards utilisateurs dans le monde. Quelles sont les risques d'une telle main-mise ? Cela représente-t-il une menace pour la démocratie comme le disent beaucoup de défenseurs des libertés ?

Acxiom, la société de l’Arkansas prétend disposer de données sur 2,5 milliards de personnes dans le monde. Et aux États-Unis, si quelqu'un est intéressé par cette information, il n'y a pratiquement aucune restriction sur sa capacité à acheter et à l'utiliser ensuite.
 
Entrez dans le secteur du courtage de données, l’économie de plusieurs milliards de dollars qui consiste à vendre les détails intimes des consommateurs et des citoyens. Une grande partie du discours sur la confidentialité a à juste titre pointé du doigt Facebook, Twitter, YouTube et TikTok, qui collectent directement les informations des utilisateurs. Mais un écosystème beaucoup plus large d'achat, de licence, de vente et de partage de données existe autour de ces plates-formes. Les sociétés de courtage de données sont des intermédiaires du capitalisme de surveillance - achetant, regroupant et reconditionnant des données auprès de diverses autres entreprises, le tout dans le but de les vendre ou de les distribuer davantage.
 
Le courtage de données est une menace pour la démocratie. Sans de solides garanties nationales de confidentialité, des bases de données entières d'informations sur les citoyens sont prêtes à être achetées, que ce soit pour des sociétés de prêt prédatrices, des organismes chargés de l'application de la loi ou même des acteurs étrangers malveillants. Les projets de loi fédéraux sur la protection de la vie privée qui n'accordent pas suffisamment d'attention au courtage de données ne parviendront donc pas à s'attaquer à une énorme partie de l'économie de la surveillance des données et laisseront les droits civils, la sécurité nationale et les frontières public-privé vulnérables dans le processus.
 
Les grands courtiers en données, comme Acxiom, CoreLogic et Epsilon, vantent le détail de leurs données sur des millions, voire des milliards de personnes. CoreLogic, par exemple, publie ses informations immobilières et immobilières auprès de 99,9% de la population américaine. Acxiom fait la promotion de plus de 11 000 «attributs de données», des informations sur les prêts automobiles aux préférences de voyage, sur 2,5 milliards de personnes (tout cela pour aider les marques à se connecter avec les gens de manière «éthique», ajoute-t-il). Ce niveau de collecte et d'agrégation de données permet un profilage remarquablement spécifique.
 
Besoin de diffuser des annonces ciblant les familles pauvres des zones rurales? Consultez l'ensemble de données «Rural and Barely Making It» d'un courtier de données. Ou que diriez-vous du profilage racial de la vulnérabilité financière? Achetez l'ensemble de données "Ethnic Second-City Strugglers" d'une autre entreprise. Ce ne sont là que quelques-uns des titres troublants capturés dans un rapport du Sénat de 2013 sur les produits de données de l’industrie, qui n’ont fait qu’augmenter depuis. De nombreux autres courtiers annoncent leur capacité à identifier des sous-groupes sur des sous-groupes d'individus grâce à des critères tels que la race, le sexe, l'état matrimonial et le niveau de revenu, toutes des caractéristiques sensibles dont les citoyens ne savaient probablement pas qu'elles finiraient dans une base de données, et encore moins mises en vente.
 
Ces entreprises acquièrent souvent les informations par le biais d’achats, de licences ou d’autres accords de partage avec des tiers. Oracle, par exemple, « possède et travaille avec » plus de 80 courtiers en données, selon un rapport du Financial Times 2019, regroupant des informations sur tout, des achats des consommateurs au comportement sur Internet. Cependant, de nombreuses entreprises récupèrent également des données consultables publiquement sur Internet, puis les regroupent pour les vendre ou les partager. Les sites Web de « recherche de personnes » entrent souvent dans cette dernière catégorie - compilant des dossiers publics (dépôts de propriété, documents judiciaires, enregistrements de vote, etc.) sur des personnes, puis laissant n'importe qui sur Internet rechercher leurs informations.
 
Toutes ces pratiques incontrôlées portent atteinte aux droits civils. Les entreprises qui se vantent de détenir des milliers de points de données sur des millions ou des milliards de personnes - le tout pour les vendre à quiconque achète - représentent elles-mêmes l'agrégation d'un pouvoir de surveillance effréné. Ceci est particulièrement dangereux pour les moins puissants.
 
Comme des siècles de surveillance aux États-Unis l’ont indéniablement démontré, l’impact du stockage des renseignements personnels des individus se répercutera le plus durement sur les personnes déjà opprimées ou marginalisées: les pauvres, les communautés noires et brunes, les populations autochtones, les personnes LGBTQ +, les immigrants sans papiers. Les sites Web de « recherche de personnes » en particulier peuvent publier des adresses et ainsi permettre la violence ou le doxing entre partenaires intimes. Les fortes incitations financières à vendre des données, avec des limitations pratiquement inexistantes, donnent à ces entreprises toutes les raisons de partager leurs données avec d'autres, y compris celles qui les utilisent à des fins nuisibles.
 
Les forces de l'ordre achètent déjà des données auprès de courtiers. Le Department of Homeland Security, y compris les sous-agences chargées de mettre les enfants dans des cages, ont acheté des données de localisation de téléphones portables sur des millions d'Américains, des informations sur l'adresse du domicile pour soutenir les expulsions et des données sur les services publics à domicile pour les enquêtes, entre autres. Le Federal Bureau of Investigation a également acheté des données de localisation de téléphones portables auprès du courtier en données Venntel. Ces pratiques contournent la responsabilité démocratique : les agences achètent les informations sans mandat et, ce faisant, peuvent contourner les interdictions imposées aux entreprises de transmettre des données directement aux forces de l'ordre. De plus, les données peuvent même ne pas être exactes. Une enquête menée par The Markup a identifié des dizaines de cas aux États-Unis au cours de la dernière décennie où des personnes se sont vu refuser un logement parce que les sociétés de dépistage utilisaient de mauvaises informations, souvent achetées à des courtiers en données ou extraites de sites Web de courtiers de recherche de personnes. Les citoyens sont également rejetés des emplois en raison de vérifications des antécédents fondées sur des données incorrectes.
 
La vente non réglementée de bases de données massives d'informations sur les citoyens - et l'agrégation et la publication non réglementées de ces informations en ligne - sape également la sécurité nationale. C'était l'un des éléments manquants du débat politique sur TikTok.
 
Si le gouvernement américain est préoccupé par le fait que les puissances autoritaires étrangères établissent des profils détaillés sur les citoyens, ou même simplement sur le personnel gouvernemental, la capacité des courtiers en données à vendre, partager ou publier des ensembles de données intimes sur les Américains sans pratiquement aucune restriction devrait également être une préoccupation urgente. Les puissances étrangères pourraient acheter ces données via des sociétés écrans ou les voler par piratage. Il pourrait ensuite être utilisé pour diffuser des annonces électorales microtarifiées. Il pourrait être utilisé pour informer les opérations de contre-espionnage ou identifier des personnes d'intérêt dans le monde des affaires. Les groupes criminels pourraient même utiliser ces informations pour cibler des politiciens ou des juges.

En Europe où le RGPD est en vigueur, sommes-nous davantage à l'abri de telles pratiques ou n'est-ce qu'une illusion ? 

Adresse mail, date de naissance, poids ou encore goûts musicaux, situation amoureuse, orientation sexuelle permettent de dresser un profil assez précis de votre personnalité. «Dans une économie basée sur le développement numérique, la data est la nouvelle matière première. Le problème est qu'aujourd'hui, les internautes la fournissent gratuitement », alerte Maxime Sbaihi, économiste et directeur général (DG) de Génération Libre, un think-tank libéral qui défend un partage plus juste des richesses créées.
 
Dans le viseur des défenseurs de la donnée : les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) qui dominent le marché de la donnée estimé en 2020 à plus d'un trillion d'euros rien qu'en Europe, soit près de 8 % du PIB, selon le rapport sur patrimonialité des données numériques de Génération Libre, publié en 2019. « Nos données ont une grande valeur dans le business model des géants de la tech », martèle Maxime Sbaihi.
 
En février 2020, la start-up Tadata lance une plateforme qui permet aux étudiants de gagner un complément de revenus en échange de leurs données personnelles. Les utilisateurs, appelés « data killers », remplissent un questionnaire sur leur niveau d'études, leurs aspirations professionnelles, leur style de vie, leur centre d'intérêt… L'entreprise qui revendique désormais 7.000 inscrits joue le rôle d'intermédiaire pour trouver des annonceurs intéressés par les données.
 
Chaque étudiant peut gagner entre 3 et 40 euros en fonction des données qu'il fournit et des annonceurs intéressés. « Les jeunes ont souvent peu de moyens, et leurs données de cette cible ont une forte valeur marketing, explique Alexandre Vanadia, cofondateur de TaData. À la différence des GAFA, notre modèle est plus équitable parce qu'en commercialisant leurs données, on leur partage une part du revenu. » Les paiements s'effectuent sous la forme de virements ou de cartes cadeaux, via un partenariat avec Wedoogift, une entreprise spécialisée dans les chèques cadeaux dématérialisés.
 
Mais moins d'un mois après son lancement, l'entreprise est déjà controversée. L'Internet Society France, une association qui protège les internautes a alerté la Commission nationale de l'informatique et des libertés (Cnil), après avoir constaté des failles dans la manière de collecter les données contraires au règlement général sur la protection des données (RGPD).
 
Finalement, la Cnil n'a retenu aucune sanction, indique un communiqué de la start-up publié en octobre 2020. Tadata peut donc continuer son activité. Elle prévoit d'ailleurs de se diversifier sur d'autres thématiques comme le sport, le voyage ou la musique. En 2021, l'objectif est de distribuer près de 100.000 euros aux jeunes de la communauté, contre 40.000 euros cette année.
 
L'idée de devenir propriétaire de ses données fait du chemin, avec, à la clef, la possibilité de les vendre - ou de les "louer". Environ 40% des Français seraient ainsi prêts à vendre certaines informations à des entreprises, comme leur emplacement géographique ou leur historique de recherches internet, d'après une étude Harris Poll réalisée pour Symantec/Norton Lifelock (cybersécurité pour les particuliers).
 
Mais cette marchandisation potentielle attire aussi des critiques. Les données personnelles peuvent se comparer au corps humain ou à des libertés fondamentales, comme le droit de vote, et "elles ne peuvent pas être considérées comme des marchandises", assène Arthur Messaud, juriste à la Quadrature du net, ONG française qui défend les droits des internautes. "On ne peut pas conditionner l'accès à un service ou à un bien au fait de donner son consentement à la collecte de ses données personnelles", explique-t-il.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !