Camille Gruhier
Le big business des données personnelles
Habitudes de consommation, opinions, préférences religieuses, positions géographiques… Chaque jour, nous semons des milliers de données sur Internet. Moteur de l’économie moderne, elles sont aussi prisées par les pirates informatiques et les intermédiaires qui les commercialisent à des fins publicitaires. Que Choisir fait le point.
Elle est assez curieuse, désagréable même, cette sensation d’être constamment espionné quand on navigue sur Internet. Qui ne l’a jamais éprouvée ? Cherchez des informations pour changer de lave-linge et l’instant d’après, tous les espaces publicitaires de votre navigateur s’emplissent de machines à laver. Visez la destination de vos prochaines vacances et hop, les Seychelles ou les États-Unis s’offrent à vous. Ce flicage au grand jour n’est que la partie émergée de l’iceberg. Des courriers électroniques aux réseaux sociaux et des achats en ligne aux objets connectés, le moindre de nos gestes sur Internet est scruté. Au final, les traces que nous semons sont innombrables. Coordonnées, date de naissance, niveau d’études, statut marital, connexions sociales, goûts cinématographiques, opinions politiques, marque de voiture, allergies, sports, restaurants préférés, déplacements… Toutes ces données sont collectées, consignées et analysées afin d’être exploitées.
La data au service de l’innovation
Comme la machine à vapeur au XVIIIe siècle ou l’électricité à la fin du XIXe, la donnée, ou data, offre à notre époque une nouvelle dynamique économique. D’après la Commission européenne, le marché européen de la data passera de 300 milliards d’euros en 2016 à 739 milliards en 2020 (Source : European Data Market Study, 2017). Côté pile, un formidable levier d’optimisation industrielle. Le « big data » (expression consacrée pour désigner l’exploitation de données numériques massives) rend possible, par exemple, la « maintenance prédictive ». « Les données produites par des capteurs installés sur différents équipements, associées à celles du système d’information de l’entreprise et à des données extérieures, comme la météo, nous permettent de mieux anticiper les pannes. Nous avons aussi créé un outil pour adapter l’éclairage public en fonction de la circulation des véhicules et des individus dans une zone donnée », explique Anne Champalone, vice-présidente de Quantmetry, qui conduit les projets big data de grandes entreprises. La donnée stimule également l’innovation. Depuis quelques années, le gouvernement a engagé une politique d’ouverture des données publiques pour les mettre à disposition de tous, notamment du frétillant tissu d’entrepreneurs que la France a la chance de compter. « L’accès à ces données accélère le développement des projets et ouvre le marché aux petites structures qui n’auraient pas eu les moyens de les récupérer », explique Rand Hindi, fondateur de Snips, une start-up spécialisée dans la commande vocale d’objets connectés.
L’étude de nos comportements, via les algorithmes qui les analysent, ouvre encore la voie aux services personnalisés. Ainsi, dans le domaine du streaming, Spotify ose des suggestions musicales en fonction de ce que l’utilisateur a déjà écouté et Netflix va jusqu’à produire des séries qui collent aux goûts de ses clients. Effrayant ? Un peu. Mais il y a pire. Amazon a tellement confiance dans son algorithme de recommandations que, dès 2013, il déposait un brevet sur la livraison anticipée pour préparer les commandes avant même que ses clients n’aient rempli leur panier !
Les géants du Net condamnés
Côté face, les dérapages liés à la collecte d’informations sont permanents, notamment quand il s’agit de données qui concernent directement les utilisateurs. En mai dernier, la Cnil (Commission nationale de l’informatique et des libertés) condamnait Facebook à 150 000 € d’amende pour manquements à la loi. Le site dépose en effet un cookie (baptisé « Datr ») sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer. Il peut ensuite traquer sa navigation. Le réseau social conserve aussi l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte, ce qui est illégal. Quelques mois plus tôt, le G29 (qui regroupe les Cnil européennes) sommait l’application de messagerie WhatsApp de cesser le partage de ses données à des fins publicitaires et commerciales avec sa maison mère, Facebook. Google avait lui aussi écopé d’une amende de la Cnil de 150 000 € en janvier 2014, pour non-respect de la loi française en la matière. Entre autres motifs, il s’autorisait, sans aucune base légale, à combiner toutes les données qu’il collecte sur les utilisateurs à travers l’ensemble de ses services (Gmail, Google Maps, Youtube, Chrome, etc.).
Ces géants de l’Internet cherchent à en savoir le plus possible sur vous : leurs modèles économiques dépendent quasi exclusivement de la publicité (voir encadré). Et mieux ils vous connaissent, plus la publicité est ciblée, plus elle rapporte. Ces amendes peuvent sembler bien modestes au regard du chiffre d’affaires de ces groupes gigantesques (90 milliards de dollars pour Alphabet, maison mère de Google, en 2016). Mais le nouveau règlement européen sur la protection des données personnelles, qui entrera en vigueur en mai 2018, renforcera le pouvoir de sanction. Les amendes pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires.
Ce nouveau règlement vise les géants de l’Internet, mais toutes les entreprises qui collectent des données, aussi modestes soient-elles, devront s’y conformer. Tant mieux pour le consommateur, qui aura un plus grand contrôle de ses données (voir encadré). Mais ce texte inquiète les intermédiaires qui vivent de la collecte massive de données.
Les « data brokers » dans le viseur de la Cnil
C’est notamment le cas des « courtiers en données » (ou « data brokers »), dont le métier consiste à compiler et analyser les traces laissées sur Internet et sur les réseaux sociaux pour vendre aux sociétés des profils de consommateurs très précis. Le français Weborama se targue ainsi de disposer de 500 millions de profils exploités pour « la communication digitale de centaines de marques en Europe ». Ils sont plusieurs sur ce créneau, comme Mediaprism (filiale de La Poste), l’irlandais Experian ou encore les américains Acxiom, Epsilon ou eXelate. Inconnus des consommateurs, ces acteurs de l’ombre jonglent allègrement avec leurs données. Ils jurent qu’une fois vendues, celles-ci sont totalement anonymes. En 2016, la Cnil a pourtant contrôlé 50 d’entre eux (les instructions sont toujours en cours). Car si le profilage à des fins marketing n’est pas illégal, il est parfois moralement contestable. En mai 2014, un rapport américain de la FTC (Federal Trade Commission) évoquait la commercialisation de listes de « personnes de plus de 66 ans à faible niveau d’éducation » ou bien de « célibataires d’environ 70 ans à faibles revenus ».
30 $ pour votre numéro de carte bancaire
Aujourd’hui, les traces que chacun de nous dépose sur Internet alimentent un marché très lucratif. Il y a quelques années, l’OCDE (Organisation de coopération et de développement économiques) avait tenté un chiffrage des données personnelles pour évaluer leur valeur. Son rapport fixait le prix de marché d’une adresse postale à moins de 1 $ quand un numéro de Sécurité sociale peut atteindre 8 $, le niveau d’études 12 $ et des informations qui concerneraient une éventuelle faillite, 26 $. Et sur le marché illégal, votre numéro de carte bancaire vaudrait jusqu’à 30 $. Les données semées sur Internet intéressent en effet les publicitaires, mais aussi les hackers. « Dans certains pays peu regardants, comme la Biélorussie, la Russie ou la Chine, les pirates ont pignon sur rue. Ils vont lancer des attaques comme vous et moi allons au bureau le matin », explique Franck Chartier-Butreau, responsable chez Bitdefender, un éditeur d’antivirus. Les particuliers sont davantage concernés par des vols de données (documents personnels, comptes en ligne, données de santé), le piratage de leur réseau Wi-Fi ou la prise de contrôle de leurs objets connectés. L’objectif des pirates ? Aspirer vos données (hameçonnage) ou vous extorquer une rançon. Ce type de virus, appelé « rançongiciel » (ou ransomware), est de plus en plus répandu. Clémence Picart, de l’Anssi (Agence nationale de sécurité des systèmes d’information), reçoit tous les jours des appels de particuliers auxquels on réclame une centaine d’euros pour débloquer leur ordinateur. « Les montants sont volontairement assez faibles pour inciter les gens à payer, explique-t-elle. Mais en cédant, on alimente le système. Et rien ne garantit que les données seront restituées. » Procéder à des sauvegardes régulières de son ordinateur demeure la meilleure des précautions : vous pourrez ainsi réinstaller vos données une fois l’ordinateur désinfecté. C’est l’un des nombreux gestes simples que vous découvrirez dans nos conseils, pour minimiser vos traces sur Internet et compliquer, autant que possible, la vie des pirates. Alors, à vos claviers !
Google et Facebook
Rois incontestés de la publicité
Apple et Microsoft gagnent principalement de l’argent avec les produits, les logiciels et les services qu’ils vendent aux consommateurs. En revanche, Facebook et Alphabet (maison mère de Google) vivent quasi exclusivement de la publicité. C’est pourquoi nos données leurs sont précieuses :
elles leur permettent de mieux nous connaître et de mieux cibler les annonces.
Sources de revenus des quatre géants du Web (2016)
Réglementation
Vous serez bientôt mieux protégé
L’Europe s’est dotée d’un nouveau règlement sur les données personnelles (RGPD). Ce texte, qui renforce la protection de la vie privée, entrera en vigueur le 25 mai 2018. Beaucoup de changements sont attendus pour les consommateurs.
Vous êtes libre d’emporter vos données
Vous voulez migrer tous vos e-mails de Gmail à Hotmail ou écouter de la musique depuis Deezer au lieu de Spotify ? Pas de souci ! Tous les sites, quels qu’ils soient, devront permettre aux consommateurs de récupérer leurs données pour les mettre à disposition d’un nouveau prestataire.
On vous garantit plus de transparence
Vous devrez être mieux informé de l’usage qui est fait de vos données et être en mesure de les contrôler finement. Votre consentement demeure obligatoire. En cas d’attaque informatique, les sites devront avertir la Cnil dans les 72 h, comme c’est déjà le cas pour les fournisseurs d’accès à Internet. Vous pourrez aussi vous opposer au profilage à des fins de prospection commerciale. En théorie, les cases cochées par défaut pour obtenir
votre accord sont définitivement interdites.
Le déréférencement est votre droit
Vous pourrez demander à ce qu’un lien soit déréférencé d’un moteur de recherche s’il porte atteinte à votre vie privée.
Vous pouvez refuser d’avaler des cookies
La directive ePrivacy, qui réglemente les cookies, va aussi bientôt évoluer. L’actuel bandeau cliquable qui apparaît (ou est censé apparaître) sur chaque site visité pourrait disparaître au profit d’un consentement ou d’un refus global directement dans le navigateur.