Vous ne les connaissez pas et pourtant, ils savent tout de vous. Pour aspirer vos données personnelles, l'or noir du XXIe siècle, ils agissent en nombre et dans l'ombre. Ce sont les data brokers.
Vous dites à tout le monde que votre film préféré c'est « Melancholia » alors qu'en réalité, c'est « Bridget Jones » ? Ils sont au courant. Votre penchant pour Tinder, votre dernier lieu de vacances et l'heure à laquelle vous rentrez tous les soirs ? Ils le savent aussi. Qui ? Les data brokers. Ces nouveaux courtiers venus des States collectent nos données personnelles, l'or noir du XXIe siècle. Sauf que contrairement aux lingots, les infos ne doivent pas être stockées pour acquérir de la valeur mais circuler. Et notre addiction aux réseaux sociaux remplit ce rôle à merveille.
« La matière première des data brokers, ce sont les données. Ils les achètent à des tiers comme Facebook ou Google, les traitent, les croisent et les revendent sur le marché. Leur force, c'est d'avoir un réseau extrêmement fort. Ils ont toute une série d'accords avec des intermédiaires qui détiennent une grande quantité d'informations », explique Jean-Marc Van Gyseghem, avocat au barreau de Bruxelles et directeur du CRIDS* à l'Université de Namur. « Les clients des data brokers, ce sont les compagnies d'assurances, les acteurs du secteur phar- maceutique ou n'importe quelle société avec un but commercial, qui veut proposer un produit parfaitement adapté à votre demande. »
*Centre de Recherches Information, Droit et Société.
ET CE QUI LES INTÉRESSE, C'EST ÉVIDEMMENT D'AVOIR UNE MASSE D'INFOS CROISÉES SUR NOUS
Une donnée brute, ça ne vaut pratiquement rien. D'après l'OCDE, une adresse postale se deale à 0,5$, une date de naissance à 2$ et un numéro de sécurité sociale à 8$. Un profil complet par contre, c'est de l'or en barre. Le magazine GQ explique comment la filiale française d'Experian, un gros data broker, classe la population de l'Hexagone en 13 groupes et 56 sous-groupes distincts. Un exemple? Les « cadres expérimentés en pleine réussite », rangés dans «élites parisiennes». Sans le savoir, vous êtes peut-être fourré dans les « célibataires multimétiers écoconcernés », qui appartiennent à la catégorie « petits ménages en ville ».
Une info bien utile pour une marque de baskets, par exemple, qui joue la carte « green » et s'adresse aux cool kids. Chaque petite action effectuée sur internet dresse un portrait de nous de plus en plus précis. Le problème, c'est que l'on n'en a pas forcément conscience. Reste que les plus grosses sociétés de data brokers sont cotées en bourse et génèrent des milliards de dollars. Elles s'appellent Acxiom, Epsilon ou Experian, mais ces noms ne vous disent probablement rien. Et c'est normal. Leur business model repose sur l'opacité. Être inconnues au bataillon, ça les arrange : le grand public évite ainsi de (se) poser des questions.
« LE SOUCI, C'EST LA FAÇON DONT LES COURTIERS DU NUMÉRIQUE COLLECTENT NOS INFORMATIONS ET L'USAGE QU'ILS EN FONT
«Les gens ne sont pas complètement dupes, ils se doutent bien que leurs données sont utilisées à des fins marketing, mais ils n'imaginent pas à quel point. Ils ne lisent pas les conditions générales d'utilisation lorsqu'ils jouent à des concours en ligne par exemple. Et ils ne savent pas forcément que leurs infos personnelles sont revendues à toute une série d'intermédiaires », raconte Simon Chignard, auteur de « Datanomics », un livre sur la question. « Il y a un vrai problème de traçabilité. Le Sénat américain a récemment fait une enquête sur les principales sociétés de data brokers et leur a demandé d'expliquer d'où venaient leurs données. Les trois quarts n'ont pas daigné répondre, c'est hallucinant. »
Et pourtant de vrais problèmes éthiques se posent. Aux States, on peut imaginer qu'une personne se renseignant en ligne sur une maladie cardiovasculaire soit repérée par une compagnie d'assurances qui souhaite gonfler ses tarifs. Ou qu'une femme classée dans la catégorie « mères célibataires isolées » soit incitée à opter pour un crédit à la consommation aux clauses abusives. Si les chasseurs de données ont vu le jour aux États-Unis, beaucoup possèdent des filiales en Europe et le phénomène arrive doucement chez nous.
ET EN BELGIQUE ?
En juin 2016, le secrétaire d'État chargé de la Protection de la vie privée, Philippe de Backer, avait annoncé son intention de vendre nos informations médicales au secteur pharmaceutique. Avant de vite se rétracter. Quelques mois plus tard, Proximus déclarait vouloir commercialiser les données de ses utilisateurs belges. Depuis,«MyAnalytics» existe. Ce service, qui s'adresse aux pouvoirs publics mais aussi aux entreprises, fournit notamment des infos anonymes sur la géolocalisation des clients de l'opérateur mobile. Une marque souhaite savoir combien de femmes entre 18 et 35 ans, originaires de Bruxelles, passent devant sa boutique le vendredi entre 16 h 30 et 18 h ? Aucun problème. Et le consentement ? Vous l'avez donné en signant votre abonnement.
« Il faut rester vigilant et éduquer les citoyens dès leur plus jeune âge mais heureusement, la législation est beaucoup plus stricte en Europe qu'aux États-Unis. La Belgique est assez attentive aux questions liées au traitement des données personnelles. Chez nous, les informations “ santé ” sont considérées comme sensibles, par exemple, et bénéficient donc d'une protection supplémentaire», indique Jean-Marc Van Gyseghem. La bonne nouvelle, c'est qu'un nouveau règlement européen*, encore plus ferme, entrera en vigueur en mai 2018.
« Ce qui va changer, c'est que le consentement devra être explicité et éclairé, il sera requis pour chaque traitement. Imaginons un client qui accepte que ses données soient traitées dans le cadre des transactions bancaires. Si sa banque veut transmettre ces mêmes données à des tiers, elle devra à nouveau lui demander, l'accord ne sera plus implicite... », poursuit l'avocat.
* Le règlement européen sur la protection des données personnelles (GDPR pour General Data Protection Regulation).
ET À NOTRE ÉCHELLE, ON FAIT COMMENT POUR SE PROTÉGER ?
La clé, c'est de s'informer. Le but, ce n'est pas de diaboliser les courtiers en données mais de savoir qu'ils existent. Se poser des questions, opter pour la navigation privée, ne pas forcément déballer sa vie sur les réseaux et se rendre compte qu'un groupe « secret » sur Facebook ne l'est pas tant que ça. Comme l'explique Simon Chignard, on n'est pas obligé de renseigner sa vraie date de naissance lorsqu'on participe à un concours en ligne par exemple. Et on peut partager ses cartes de fidélité avec ses copines pour ne pas dévoiler son comportement de consommation. L'important, c'est d'utiliser ce genre d'outils intelligemment et de comprendre que lorsqu'un service est gratuit, on devient le produit.
« On peut faire attention aux data brokers mais on ne peut pas y échapper complètement. On ne va pas tous vivre au fond des bois sans smartphone ni carte bancaire. Janet Vertesi, une chercheuse à l'université de Princeton a fait une petite expérience il y a quelques années. Enceinte, elle a essayé de cacher sa grossesse aux algorithmes pour ne pas être assaillie de pubs », raconte l'auteur de Datanomics.
« Et elle y allée à fond : elle a n'a pas annoncé la nouvelle sur Facebook, elle a abandonné ses cartes de crédit et de fidélité, utilisé le navigateur parallèle et anonyme Tor, régulièrement changé d'adresse IP, acheté des produits pour bébés à l'aide de bons cadeaux payés en cash, etc. Résultat ? Elle a été identifiée par les autorités comme “ quelqu'un de probablement engagé dans des activités criminelles ”. Son mari et elle ont été suspectés de blanchiment d'argent. Lorsqu'on essaie de sortir du système, on déclenche une alarme et on se fait rattraper. »
FACE AU PHÉNOMÈNE DES DATA BROKERS, UNE NOUVELLE TENDANCE
ÉMERGE : SE FAIRE PAYER POUR SES DONNÉES
L'une des sociétés pionnières en la matière, Datacoup, est new-yorkaise. Le concept ? Vous autorisez l'accès à vos infos bancaires (nom du commerce bénéficiaire, montant et date de la transaction) ou à votre activité sur les réseaux (likes, feed, liste d'amis, etc.) et en échange, vous êtes rémunéré. En moyenne, les membres reçoivent entre 5 et 10$ par mois. Pas de quoi tout plaquer, mais c'est déjà un premier pas vers la transparence et une façon de reprendre le contrôle. À vous d'estimer la valeur que vous accordez à votre vie privée.
Test-Achats a également lancé il y a quelques mois un manifeste, « Mes données sont miennes ». Le but ? Exiger des acteurs majeurs du marché qu'ils partagent de manière équitable la valeur créée à partir des informations personnelles. À l'heure où nous bouclons, seules 274 personnes ont signé la pétition... Preuve que les Belges ont encore besoin d'une petite session de sensibilisation ?
Découvrez le magazine de février #Blackedition, en librairies. Le numéro qui sort de l'ombre...