top of page

Les données personnelles : la controverse d’un business en pleine expansion

Le business des données personnelles connaît une forte évolution depuis quelques années. Souvent très peu connu par le grand public, il permet de rassembler les données de millions de personnes, souvent sans leur consentement et à leur insu, afin d’établir un profilage psychologique. Il bénéficie ainsi particulièrement aux annonceurs, ces entreprises responsables de l’apparition de nombreuses publicités ciblées sur les réseaux sociaux. En effet, il leur permet de regrouper les clientèles et les offres susceptibles de leur plaire, afin d’avoir une efficacité maximum dans le monde capitaliste d’aujourd’hui.

Pourtant, peu d’entre nous connaissent réellement l’ampleur de ce business, et la valeur de nos données pour celui-ci. Le terme même de donnée peut rester assez vague pour certains. Selon la CNIL, “une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable”. L’identification d’une personne peut se faire directement, par exemple à l’aide de son nom ou prénom, ou indirectement, par le biais d’un numéro de téléphone ou encore d’un élément propre à son identité physique. Elle peut s’effectuer à partir d’une seule donnée, mais le croisement d’un ensemble de données permet d’être plus précis.

Le regroupement des données est la source de ce business. Ainsi, ce sont d'immenses quantités de données qui sont chaque jour prélevées, sur un téléphone éteint ou allumé, pour nourrir ce business. Ces données peuvent paraître insignifiantes, mais en réalité elles sont très précises, allant parfois jusqu’aux conversations par messages privés.

Caricature de Rodrigo illustrant le business florissant des données personnelles.

Face au danger de ce business, qui permet de rendre votre vie privée accessible à n’importe qui, il est nécessaire de pouvoir en conserver la maîtrise.

Néanmoins, la protection qui existe aujourd’hui, notamment avec le Règlement général sur la protection des données (RGPD) adopté en 2018, reste largement insuffisante.


Le marché des données : une nouvelle mine d’or

Le marché des données personnelles gravite avant tout autour du concept de “data brokers”. En effet, ce sont eux qui sont responsables du prélèvement des données et de leurs reventes, donc de la création de ce marché. Les “data brokers” sont des entreprises qui surveillent nos faits et gestes et qui accumulent un grand nombre de données. On peut citer aujourd’hui des multinationales telles que Google ou Facebook, mais les bases de données ont en réalité commencé à se développer bien avant la création de ces groupes.

La revente et l’accumulation de nos données personnelles n’est donc pas un concept nouveau, mais il prend de l’essor face à l’informatisation de la société. Ainsi, ce marché invisible se développe en silence et gagne toujours plus de terrain sur nos vies privées.

Les principaux data brokers actuels sont les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) qui dominent le marché de la donnée. Comme le dit Maxime Sbaihi, économiste et directeur général (DG) de Génération Libre, “Nos données ont une grande valeur dans le business model des géants de la tech“.

Il est aujourd’hui estimé par le cabinet de l’IDC que ce marché représente pour l’Europe des vingt-huit plusieurs milliards d’euro: en effet, il s’élevait à 60 milliards d’euros en 2016, et plus d’un trillion d’euros en 2020, soit plus de 8% du PIB, selon le rapport sur la patrimonialité des données numériques de Génération Libre.

Et pourtant, il ne s’agit que de la partie émergée de l’iceberg. Indirectement, en tenant compte du chiffre d’affaires supplémentaire et des emplois générés par les utilisateurs de ces informations, la valeur de “l’économie européenne des données” s’élèverait à quelque 300 milliards d’euros en 2016, et 430 milliards en 2020.


Ce marché, particulièrement favorable aux annonceurs, semble être le pétrole du XXIème siècle. En effet, en récoltant les données, les “ data brokers “ sont capables de lier chaque point de personnalité afin de créer un profilage psychologique. Ainsi, en les revendant, ils permettent aux annonceurs de cibler votre personnalité et de préciser les contenus qui vont s’afficher sur vos réseaux sociaux ou internet. On peut l’observer sur des applications telles que Spotify : lorsque vous écoutez souvent du Britney Spears, vous pourrez constater que des musiques de cette chanteuse vous seront désormais proposées.

En réalité, la valeur des données brutes est assez mince. “Votre âge ou votre pointure de chaussure a très peu de valeur. Ce qui crée de la valeur c'est de croiser vos données avec d'autres données et de les analyser. Ce sont les bases agrégées qui intéressent les annonceurs”, explique Alain Rallet, professeur à l'Université Paris-Sud et auteur d'un article universitaire dans le média ADN, qui s’intéresse aux tendances numériques.


Néanmoins, ce business représente un réel danger pour nos vies privées : en effet, le croisement des données est effectué sans notre consentement. Or, cela permet d’avoir accès à toutes sortes d’informations, tels que des messages privés, ou encore des numéros de téléphone, que l'on ne voudrait pas voir entrer en la possession d’inconnus. Des sites comme LOUCHA en sont la représentation : ils permettent, souvent après avoir souscrit à un abonnement, d’accéder à d’immenses bases de données. Il est ainsi possible de trouver le numéro de téléphone privé de certaines personnes politiques. En effet, ce site affirme avoir les contacts de plus de 100 millions de personnes dans le monde. Et ce n’est pas le seul, il est suivi par d’autres tel que Kasper, Aero Leads ou encore Cold CRM, qui se vante d’être la plus grande base de données au monde. On retrouve par exemple les numéros présumés de Jean-Luc Mélenchon ou encore Bruno Lemaire.

De plus, une fois consenti, le prélèvement de nos données s’effectue à n’importe quel moment de l’utilisation d’un appareil électronique : par exemple, le fait d’allumer un téléphone permet de transmettre des données, mais cela se produit également lorsque votre téléphone est éteint.

Les “data brokers” justifient cela par le fait que les données seraient anonymisées, et donc qu’il serait impossible de retrouver la personne auxquelles elles se rattachent. Néanmoins, l’anonymat d’une donnée ne serait être, si ce n’est réel, en tout cas parfait, tel que le sous-entend Yves Alexandre de Montjoye, du Royal College London.


Une protection législative insuffisante face à ce développement

La protection de nos données est donc un enjeu important, car la loi est désormais le seul moyen de poser des limites. Pourtant, elle ne suffit plus elle-même .

La plus grande révolution concernant le droit des données personnelles a été l’adoption du RGPD en 2018, qui promouvoit le respect du consentement et de la transparence concernant l’exploitation des données personnelles.


Schéma sur le RGPD par Kizeo

Toutefois, Maxime Sbaihi souligne queLes textes de loi sont en retard par rapport à l'avancée de la technologie”.

Par exemple, l’autorité qui veille à la protection de nos données personnelles, la CNIL, énonce que “par principe, la collecte du numéro de téléphone et sa transmission ne peuvent se faire à l’insu des personnes concernées”. Cette pratique devrait donc être interdite, pourtant c’est ce que les sites tel que LOUCHA accomplissent, mais également toutes les applications qui demandent l’accès aux contacts d’un téléphone portable.

De plus, pour prendre l’exemple d’Android, la majorité des applications de ces smartphones utilise des traceurs mis en place par Facebook, dans le but de récolter nos données et de les transmettre à ce réseau. Cela concerne également l’application Muslim pro, qui permet aux musulmans de pratiquer leur religion avec leur téléphone. Cependant, selon l’article 8 de la Loi Informatique et Liberté : “il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement (…) les opinions religieuses”.

Pourtant, le scandale de Novembre 2020 prouve le contraire. En effet, cette application aurait transmis à l’armée américaine les données de localisation de millions de musulmans, y compris en France.

Le RGPD a néanmoins réussi à introduire certains changements favorables, notamment la demande d’autorisation de prélèvement de nos données lorsqu’on entre sur un nouveau site (qui correspond à l’autorisation des cookies). Pour cette raison, ce texte a suscité de nombreuses critiques, et notamment de la part des GAFAM qui, par l’intermédiaire du lobbying, ont déposé plus de 4000 amendements afin d’éviter son adoption.

Par ailleurs, malgré sa mise en place, les GAFAM se sont révélés être les Rois de la non conformité selon les mots du juriste Désiré Allechi, et n’ont pas hésité à aller à l’encontre du texte, ce qui a donné lieu à des sanctions colossales pour essayer de les contraindre à obéir.

Le réel problème du contrôle du prélèvement de nos données est l’impossibilité de contrôler effectivement que les lois sont respectées par les entreprises. En effet, elles disent qu’elles s’y soumettent, mais le font-elles vraiment? La réponse est difficile à savoir.

Malgré ces infractions constantes qui menacent la sécurité de nos données, pour Génération Libre, lutter contre la régularisation de la vente des données revient à refuser le progrès : “Le marché est déjà en marche. Aujourd'hui, la priorité est de trouver comment offrir un modèle plus juste pour ne pas se retrouver dans une organisation digitale féodale avec des GAFAM qui prennent nos données sans nous en donner le contrôle”, conclut Maxime Sbaihi. Il est donc aujourd’hui question de trouver un moyen de sécuriser la vente de nos données, mais non plus de l’empêcher réellement.

Pour Internet Society France, une association qui cherche à protéger les internautes en alertant la CNIL en cas de fraude, il s’agit là d'un problème éthique. En effet, “Si on autorise la vente des données, on donne un coup d'accélérateur à la collecte, alors que l'essence du projet RGPD est de réguler la collecte des données personnelles”, énonce Nicolas Chagny, président de l’association.

La vente des données et sa législation sont donc au cœur d’un grand questionnement dont les réponses semblent encore loin d’être trouvées.



Sondage du Parlement Européen


Les données de santé : un point particulièrement sensible

Les données de santé semblent devoir faire l’objet d’une protection plus importante. En effet, la confidentialité des antécédents médicaux est un point fondamental pour nombre de citoyens.

Ainsi, l’interdiction de transmettre ces données est beaucoup plus ciblée. Le droit évoque la nécessité d'un consentement clair. Pourtant, cela est bien loin de la réalité. La majorité des pharmacies, par exemple, travaillent avec un logiciel dénommé IQVIA. En effet, en échange de l’accès aux données des patients, IQVIA fournit aux pharmaciens des statistiques leur permettant d’adapter leurs provisions aux besoins les plus fréquents de leur clientèle.

Une étude de marché de la part d’IQVIA pourrait atteindre 500 000 euros. Une fois récoltées, les données sont revendues par cette société. IQVIA se présente donc comme le plus important “data brokers” des données de santé.

Le problème est que les patients ne sont généralement pas prévenus de ce prélèvement de leur données. Pourtant, le règlement de la CNIL oblige les pharmaciens à prévenir individuellement les patients, afin que ceux-ci soient dans la possibilité de refuser le traitement de leurs données. Pour cela, une affichette devrait être présente sur les vitrines des pharmacies, ce qui n’est toutefois que très rarement le cas.

Les données de santé ne peuvent être anonymisées, car l’anonymat requiert la détérioration de la qualité d’une donnée en la rendant plus générale. Le président français de IQVIA assure pourtant travailler depuis 60 ans sur l’anonymisation des données, car leur intérêt serait celui de l’ensemble des patients, pas de monsieur X ou madame X. Un discours qui reste donc très vague.

Désormais, les hôpitaux sont la cible de ce prélèvement de données, avec l’apparition du logiciel Health data Hub, qui a à sa tête le même président que IQVIA France.

La question de la protection des données sanitaires est au cœur de l’actualité avec l'application TousAntiCovid. Permet-elle une protection efficace de nos données, ou est-elle un nouvel outil permettant de les collecter et de les revendre sans notre accord ?


Le scandale Cambridge Analytica: une influence des données en politique

Le traitement des données est aussi accusé de jouer un rôle en politique, comme l’atteste le scandale Cambridge Analytica.

Cette entreprise britannique a analysé une dizaine de millions de données d’utilisateurs à leur insu, en passant par Facebook : elle aurait proposé un quizz sur l’application, qui en réalité permettait de récolter les données des participants, mais aussi de leurs contacts.



Logo de Facebook et de Cambridge Analytica par Chesnot - Getty

Son objectif était “de changer le comportement grâce aux données”. En effet, elle fonctionne en mélangeant le traitement quantitatif de données, la psychométrie et la psychologie comportementale.

Plusieurs candidats républicains américain ont utilisé ses services, tels que Ben Carson et Donald Trump durant sa campagne de 2016. Il aurait versé 6 millions de dollars à l’entreprise, soit disant pour une “gestion de données” et des “services de gestion de données”. Ce candidat cherchait en réalité à analyser le comportement des électeurs, pour adapter sa campagne et pour pouvoir les influencer.

Il a d’ailleurs été révélé par une chaîne britannique que les pratiques de Cambridge Analytica concernait aussi la diffusion volontaire de fausses informations, l’espionnage d’adversaires politiques, le recours à des prostituées et à la corruption pour manipuler l’opinion publique à l’étranger. Cette révélation a été faite par le dirigeant de l’entreprise, Alexander Nix, alors qu’il était filmé à son insu.

Cambridge Analytica a dû fermer ses portes suite à la divulgation de ses informations: “La compagnie cesse immédiatement toutes ses opérations. Il a été établi qu’il n’est plus viable de continuer à exercer cette activité, ce qui n’a laissé à Cambridge Analytica aucune alternative réaliste à son placement sous administration judiciaire.

Conclusion

Le prélèvement de nos données, même consenti, permet donc le développement d’un business qui menace notre vie privée, en raison du croisement des informations permettant une identification complète et intrusive.

Pour le moment, les règles en vigueur pour assurer notre protection ne sont pas suffisantes et malheureusement ne permettent pas complètement de stopper les agissements des GAFAM. En effet, ces géants font l’objet de nombreuses procédures, mais ne semblent pas prêts à vouloir mettre un terme à leurs actions, tel que Facebook qui a dû verser une amende de 150 000 euros pour manquement à la loi Informatique et Liberté en 2017. Néanmoins, un possible renforcement de la protection de nos données pourrait ralentir la progression de ce marché très controversé.

Décryptage Citoyen International a pour but principal de décoder l’actualité, pour un citoyen plus éclairé

Agathe Holly, rédactrice chez Décryptage Citoyen International.

Le 14 décembre 2021



Pour aller plus loin :


Publicité politique sur les réseaux sociaux: en avoir ou pas, France Culture par Fiona Moghaddam


Qu’est-ce que le RGPD?, Data Legal Drive



Sources utilisées pour la rédaction de ce billet décryptage :


Vendre ses données personnelles: un business controversé, Les Echos Start par Fabiola Dor


Des données personnelles très convoitées, Le Monde par Valérie Segond

RGPD: de quoi parle-t-on?, La CNIL


Aux data citoyens, Génération Libre


Comment (mal) gagner sa vie en vendant ses données, L’ADN par Marine Protais


Règlement Général sur la protection des données (RGPD), Journal Officiel de l’Union Européenne


Le juteux business des données personnelles, Politis


Nos données personnelles valent de l’or!, France TV, présenté par Elise Lucet


Ce qu’il faut savoir sur Cambridge Analytica, la société au coeur du scandale Facebook, Le Monde par William Audureau


La protection des données personnelles: quelle solution face aux GAFAM?, Village de la Justice


Infographies du Cabinet de l’IDC


Données personnelles: Facebook condamné par la CNIL à 150 000 euros d’amende, Le Monde









Posts récents

Voir tout
bottom of page