Se connecter

Données personnelles et courtiers en data : comprendre les enjeux d’une enquête majeure

Illustration d’un smartphone affichant des informations personnelles, symbolisant le marché des data brokers.
D.R.

Le quotidien Le Monde a récemment publié un dossier approfondi intitulé « Données personnelles en vente libre : les “data brokers”, une industrie hors de contrôle ». Cette enquête, menée en partenariat avec plusieurs médias internationaux, met en lumière un phénomène aussi vaste qu’inquiétant : la revente, à grande échelle, de nos informations personnelles collectées via des applications mobiles.

Chez DYCAST, agence de communication à Perpignan, nous avons souhaité analyser en profondeur cette enquête pour vous aider à en comprendre les grandes lignes et les conséquences concrètes. Comme vous le verrez, l’étude de Le Monde soulève de nombreuses interrogations qui concernent aussi bien les utilisateurs particuliers que les professionnels et les pouvoirs publics.

L’univers des « data brokers » : qui sont-ils et que font-ils ?

Le terme data brokers, ou courtiers en données, fait référence à des entreprises spécialisées dans la collecte, l’agrégation et la revente de données personnelles. Dans le dossier dévoilé par Le Monde, un courtier américain nommé Datastream Group est particulièrement pointé du doigt pour l’ampleur de ses fichiers : selon l’enquête, cet acteur met en vente des informations géolocalisées sur des dizaines de millions d’appareils mobiles, couvrant des utilisateurs de 137 pays.

Parmi les informations collectées, on retrouve notamment :

  • L’identifiant publicitaire (un code unique attaché à chaque smartphone) ;
  • Les coordonnées GPS (plus ou moins précises) ;
  • Les caractéristiques techniques du téléphone (modèle, système d’exploitation, etc.) ;
  • Les habitudes de navigation ou d’utilisation (jeux les plus fréquemment utilisés, horaires de connexion, etc.).

Le grand danger réside dans la possibilité de croiser ces données. Même sans nom ni prénom, il est parfois aisé de réidentifier une personne à partir de sa position géographique (son domicile, son lieu de travail) ou de ses habitudes de connexion.

Des applications innocentes en apparence, mais très curieuses en pratique

L’enquête relate le cas de Marie-Claire, une retraitée qui joue régulièrement à des jeux mobiles, comme Candy Crush ou Words of Wonders, sans se douter que ces applications revendent ou partagent ses informations personnelles à des tiers. Ce scénario montre que, bien souvent, nous ignorons jusqu’où peuvent aller la collecte et la circulation de nos données.

Les SDK et le marché publicitaire en temps réel

Le dossier de Le Monde explique également le rôle crucial des SDK (Software Development Kits). Ces briques logicielles, intégrées par les développeurs d’applications, sont souvent proposées « gratuitement » ; en réalité, elles récupèrent et partagent les données des utilisateurs pour ensuite les commercialiser.

En parallèle, le RTB (Real-Time Bidding), ou enchères publicitaires en temps réel, contribue à ce phénomène. Lorsque vous ouvrez une application, un espace publicitaire y est mis aux enchères auprès d’annonceurs. Vos données (localisation, profil supposé, centres d’intérêt) circulent alors à grande vitesse pour déterminer qui remportera la publicité à afficher. Dans certains cas, certains intermédiaires peuvent détourner ce flux massif d’informations et alimenter leurs propres bases de données.

Les risques pour la vie privée… et au-delà

Le partage incontrôlé de données personnelles n’a rien d’anodin :

  1. Atteinte à la vie privée : connaître la position, l’identité ou les habitudes d’une personne peut faciliter la surveillance, le harcèlement, voire l’usurpation d’identité.
  2. Données sensibles exposées : l’enquête révèle la présence d’applications de santé, de sites de rencontres (y compris LGBTQ+), ou encore d’applications religieuses dans les bases de données. Ces informations peuvent être exploitées à mauvais escient, par exemple dans des pays où l’orientation sexuelle ou l’appartenance religieuse sont fortement réprimées.
  3. Surveillance d’États ou d’organisations : certains data brokers vendent leurs services à des agences gouvernementales ou à des sociétés de surveillance. En identifiant qui fréquente un lieu sécurisé (ambassades, centrales nucléaires, etc.), on peut porter atteinte à la sécurité nationale.

Ce que dit la loi : un cadre théoriquement strict, mais peu respecté

En Europe, la RGPD (Règlement général sur la protection des données) et la directive ePrivacy encadrent l’usage des données personnelles. Les autorités comme la CNIL (Commission nationale de l’informatique et des libertés) ont le pouvoir de sanctionner des entreprises, même si elles sont basées à l’étranger, dès lors qu’elles traitent des informations sur des citoyens européens.

Or, l’enquête de Le Monde montre que beaucoup de data brokers se retranchent derrière l’affirmation que leurs données sont « anonymisées », ce qui est rarement le cas dès lors qu’il suffit de recouper quelques éléments pour identifier une personne réelle.

En pratique, les enquêteurs du Monde et de ses partenaires constatent que certains développeurs d’applications ignorent eux-mêmes le parcours exact de ces données : un SDK ou un partenariat publicitaire peut transmettre des informations à plusieurs entreprises successives. Difficile dans ces conditions de tracer le cheminement de A à Z.

Quelles conséquences pour les entreprises et les collectivités ?

Le dossier souligne que des sociétés légitimes utilisent aussi ces bases de données à des fins d’études de fréquentation ou de statistiques. Par exemple, le groupe CBRE (spécialisé dans l’immobilier) peut acheter ces fichiers pour analyser le flux de populations dans les villes, ou pour aider des collectivités locales à comprendre le comportement des usagers.

Ce type d’usage illustre la complexité du sujet : en soi, analyser la mobilité urbaine ou le trafic commercial peut se justifier. Mais ce qui est mis en cause, c’est la manière dont les données sont récoltées, échangées et recoupées, souvent sans que les personnes concernées n’en aient conscience, ni qu’elles aient donné un consentement éclairé.

Notre analyse et notre vigilance chez DYCAST

En tant que média spécialisé dans le digital, notre agence de communication à Perpignan tient à rappeler l’importance cruciale de la transparence et du respect de la vie privée. Nous sommes, chez DYCAST, particulièrement attentifs aux questions de confidentialité, et nous pensons que les utilisateurs doivent toujours être informés de la finalité et de la destination de leurs données.

C’est pourquoi nous sommes très soucieux de la protection de nos clients et de leurs données personnelles. Dans nos projets et nos recommandations, nous mettons systématiquement en avant les bonnes pratiques en matière de respect du RGPD :

  • Information claire dès la collecte des données ;
  • Consentement explicite et facilité de retrait ;
  • Limitation de la durée de conservation ;
  • Mise à jour régulière des SDK pour éviter les dérives.

Cet engagement se reflète dans nos collaborations avec nos partenaires : avant d’intégrer un nouveau service publicitaire ou un nouvel outil d’analyse, nous vérifions scrupuleusement ses conditions d’utilisation et son respect des réglementations en vigueur.

Comment se protéger au quotidien ?

L’article de Le Monde propose plusieurs pistes pour réduire la portée du pistage numérique :

  1. Vérifier les permissions : sur votre smartphone, passez régulièrement en revue les autorisations accordées à chaque application (accès GPS, caméra, micro, etc.).
  2. Limiter le suivi publicitaire : sur Android ou iOS, vous pouvez réinitialiser l’identifiant publicitaire et désactiver le suivi.
  3. Lire (au moins en partie) les CGU : bien que fastidieux, consulter les politiques de confidentialité permet de repérer si un développeur revend vos données.
  4. Utiliser des bloqueurs de publicité ou des pare-feu : certaines applications ou extensions de navigateur bloquent les requêtes suspectes et les trackers.

Et après ?

Le travail réalisé par Le Monde et ses partenaires internationaux va probablement encourager les autorités et les acteurs du secteur à intensifier les contrôles et les sanctions. Il appartient aussi aux développeurs d’applications de prendre leurs responsabilités, et de vérifier la manière dont leurs outils publicitaires ou leurs SDK collectent et transmettent des données.

En parallèle, de plus en plus de voix s’élèvent en faveur d’une réglementation plus stricte, et d’une meilleure coordination internationale pour mettre fin aux pratiques abusives de certains data brokers.

Conclusion

L’enquête de Le Monde dresse un tableau inquiétant, mais nécessaire, d’une industrie de la data qui prospère souvent loin des regards. Cette réalité doit pousser chacun à la vigilance : utilisateurs, pouvoirs publics, éditeurs d’applications, mais aussi les agences de communication comme la nôtre, qui intègrent des technologies publicitaires dans leurs projets.

Chez DYCAST, nous continuerons à suivre de près les suites de cette enquête et les évolutions réglementaires. La protection de la vie privée n’est pas un luxe, c’est un droit fondamental, qu’il est plus que jamais nécessaire de faire respecter.

Pour approfondir, vous pouvez consulter la version intégrale de l’enquête sur le site du Monde (réservée aux abonnés) et vous référer à leurs conditions générales de vente concernant la reproduction de leurs articles. Il est également possible, pour tout abonné, d’« offrir » cinq articles par mois à ses proches, une fonctionnalité intéressante pour sensibiliser plus largement votre entourage aux questions liées à la protection des données.

L’essentiel à retenir sur les Data Brokers

  • Collecte massive de données : De nombreuses applications mobiles récoltent et revendent des informations géolocalisées et comportementales de millions d’utilisateurs.
  • Rôle des data brokers : Des courtiers en données (data brokers) comme Datastream Group agrègent puis commercialisent ces bases, sans que les personnes concernées en soient pleinement conscientes.
  • Risques pour la vie privée : Les informations (localisation, centres d’intérêt, habitudes) peuvent permettre d’identifier et de pister un individu, voire de révéler des détails sensibles (religion, santé, orientation sexuelle).
  • Chaîne d’intermédiaires : Les SDK intégrés dans les applications et le marché publicitaire en temps réel (RTB) facilitent la circulation des données, compliquant le contrôle et la traçabilité.
  • Cadre juridique insuffisant : Malgré le RGPD et les directives ePrivacy, la revente de données demeure peu maîtrisée, faute de sanctions systématiques et en raison de la complexité des acteurs impliqués.
Cas clients
Le blog