Ils agrègent des milliers de points d’information sur chacun (âge, santé, localisation, revenus) pour en faire des profils prêts à vendre. De la publicité ciblée aux campagnes politiques, les data brokers alimentent un marché mondial estimé à plus de 400 milliards d’euros.
9h30 dans la banlieue chic d’une grande ville. Devant l’écran de son ordinateur portable, un quadragénaire qu’on appellera N. consulte d’un air tranquille un tableau de milliers de lignes. Chacune représente un individu, réduit à une suite de données: âge, adresse, habitudes d’achat, identifiants publicitaires… En quelques clics, il ajoute de nouvelles «entrées» (les données fraîchement aspirées d’une application mobile à succès) puis extrait un fichier qu’il enverra à un client. Ce matin, il s’agit d’une compagnie d’assurances désireuse d’affiner ses primes en fonction des profils numériques de ses assurés. La semaine dernière, c’était une agence de marketing politique préparant une campagne ciblée sur les jeunes parents d’une région donnée. N. se définit comme un courtier en données (data broker). Ni pirate informatique ni espion à la solde d’un Etat, il opère pourtant dans l’ombre: «Nos clients préfèrent la discrétion», glisse-t-il sobrement. Son nom n’apparaît sur aucun site Web grand public, et pour cause, la plupart des gens dont il manipule les données ignorent jusqu’à son existence. Pourtant, en une décennie, l’activité de N. s’est muée en industrie florissante.
«Les données personnelles sont au centre d’un marché mondial», résume le sociologue Antonio A. Casilli, un marché dont N. est l’un des rouages anonymes. A mesure que les informations des internautes se numérisent, ces intermédiaires, jadis obscurs, sont devenus les collecteurs et négociants d’une ressource nouvelle: les informations intimes. L’histoire de N. illustre l’essor d’une industrie aussi lucrative qu’opaque, où chaque clic, chaque trajet, chaque like peut se monnayer.
«Les internautes ont un contrôle limité sur la nature des données collectées, qui les détient et ce qu’il en fait.»
N. raconte sans fard sa routine quotidienne. Il commence par passer en revue les flux de données brutes fournis par ses partenaires: résultats de tests en ligne, historiques de navigation Web, données de localisation GPS récoltées par des applis mobiles. «On croise et on catégorise», précise-t-il en désignant l’écran constellé de colonnes Excel. L’objectif: dresser des profils ultradétaillés de consommateurs ou de citoyens, revendables par segments selon la demande des clients. Malgré le caractère potentiellement intrusif de ce commerce, N. se défend de tout voyeurisme: «Je ne vois pas des personnes, je traite des groupes statistiques. Mes clients ne me demandent pas Alice ou Bob, ils veulent des femmes de 30-35 ans passionnées de sport et potentiellement intéressées par une voiture électrique, par exemple.» Derrière l’anonymat des fichiers se jouent pourtant des fragments de vies bien réelles. En suivant N. dans son univers feutré (un monde de bases de données, de contrats confidentiels et d’algorithmes prédictifs), le portrait d’une nouvelle économie se dessine. Celle où les données personnelles sont devenues la matière première d’un vaste marché global.
Une collecte visible
Pour alimenter ces profils, il faut puiser à la source: les comportements quotidiens. Chaque jour, sans le savoir, chaque internaute laisse derrière lui une traînée de miettes numériques. Le smartphone que l’on consulte au réveil, les sites Web parcourus au petit déjeuner, la montre connectée qui enregistre la séance de jogging, la carte de fidélité du supermarché… Autant de «capteurs d’informations» sur les habitudes, les déplacements ou la santé. Dans le monde numérique, les moindres faits et gestes sont épiés des milliers de fois tous les jours. Pour François Pellegrini, informaticien, professeur à l’université de Bordeaux, le mécanisme doit se comprendre en amont, dès la matière première de l’écosystème. «Il y a trois phases à considérer: la collecte, l’agrégation et l’exploitation. La collecte peut prendre des formes très diverses. Elle passe par la mise en œuvre, au sein des logiciels habituellement utilisés par les personnes, de fragments de code spécifiques, qui vont collecter des données à caractère personnel. Cela peut être des données directement exploitables pour du profilage, telles que l’âge, le genre ou la géolocalisation, ou bien des données de comportement (par exemple ce que les gens aiment, commentent, repostent). Il existe aussi des collectes franchement déloyales, où une application malveillante aspire les données d’autres applications (carnet d’adresses, historique de navigation, etc.) alors qu’elle n’en a pas besoin pour fonctionner.»
Plus insidieux encore, de nombreux services numériques pratiquent le suivi indirect. Plutôt que de demander directement aux internautes des informations sensibles, ils exploitent des techniques comme les cookies ou le device fingerprinting (identification unique de l’appareil) pour tracer la navigation et reconnaître un même individu de site en site. L’étape suivante consiste à raccorder ces fragments épars pour faire tenir un profil. «La phase d’agrégation vise à apparier les données issues de multiples sources, afin d’étoffer le profil de chaque personne. Dans le cas des univers authentifiés (tels que les environnements intégrés, de type Apple, ou les plateformes de réseaux dits «sociaux»), mais aussi toutes les fois où les personnes se connectent à de multiples sites au moyen d’un identifiant unique (tel que «Google+» ou «Facebook Connect»), les données peuvent immédiatement être rattachées à cet identifiant. Celui-ci peut aussi être un fichier d’identification (cookie, en anglais) déposé au préalable par un site dans le navigateur Web de l’usager», poursuit François Pellegrini. A ce stade, l’utilisateur croit avoir accepté des cookies; en réalité, c’est un appareillage de liaison qui se met en marche.
Les applications mobiles, elles, profitent de permissions parfois abusives: pourquoi une simple lampe torche exigerait-elle l’accès à votre liste de contacts ou à votre position GPS? Derrière ces requêtes en apparence anodines se cache souvent la présence de logiciels tiers, des kits de développement fournis par des entreprises de marketing, qui siphonnent les données à des fins commerciales. «Les internautes ont, finalement, un contrôle limité sur la nature des données collectées, qui les détient et ce qu’il en fait», constate Jessica Pidoux, sociologue du numérique.
Parfois, la collecte s’opère même sans interaction directe: c’est le cas du moissonnage Web (appelé Web scraping), où des programmes aspirent automatiquement toutes les informations publiques disponibles sur les réseaux sociaux ou les annuaires en ligne. Les data brokers agrègent aussi des données issues de sources plus traditionnelles: fichiers clients revendus par des entreprises, registres publics (cadastres, registres de commerce), voire certaines données issues d’organismes publics obtenues par l’intermédiaire de partenaires. A ce jeu de puzzle numérique, chaque pièce compte. «Il peut être très simple de reconstituer le profil d’une personne en recoupant les données avec d’autres informations», prévient Jessica Pidoux. En clair, même des données prétendument anonymes peuvent révéler une identité si on les combine astucieusement.
Chez ces courtiers, la donnée brute se transforme en intelligence prédictive.
Bien entendu, l’utilisation de ces techniques doit respecter le cadre légal, notamment le fameux opt-in du règlement européen. En théorie, le consentement est requis pour qu’une application ou un site exploite des informations personnelles. Dans la pratique, ce consentement est souvent obtenu à l’arraché (par le biais de cases précochées, de bannières cookies labyrinthiques, ou de formulaires de jeux-concours trompeurs). Le Monde a rapporté en 2022 que de nombreux questionnaires ou tirages au sort en ligne servaient de prétexte à des courtiers en données pour constituer des fichiers, ensuite utilisés pour de la communication politique, sans toujours recueillir de façon claire le consentement des internautes. En d’autres termes, la frontière entre collecte légitime et captation détournée est ténue. Pour N. et ses confrères, ces pratiques ambiguës sont devenues un modèle d’affaires: il s’agit de récupérer un maximum de données «consenties» de façade, afin de les monnayer ensuite au plus offrant. Le grand public, lui, n’a souvent qu’une conscience diffuse de cette prédation numérique. C’est précisément sur cette opacité que prospère l’industrie du courtage des données personnelles.
Monnaie d’échange
Derrière la figure anonyme de N. se cache une myriade d’acteurs, petits ou grands, qui se partagent un véritable trésor numérique. De start-up spécialisées en analyse comportementale aux géants historiques du renseignement commercial, les data brokers seraient entre 4.000 et 5.000 à travers le monde. Aux Etats-Unis seulement, on en compte environ un millier, la plupart méconnus du grand public. Leurs noms disent peu de chose au consommateur lambda. Nombre d’entre eux revendiquent des dizaines de milliers de points de données par individu. En agrégeant ces éléments disparates, les courtiers vendent en réalité bien plus que des listes de contacts, ils revendent avant tout la capacité à prédire le comportement des consommateurs. Autrement dit, la donnée brute se transforme en intelligence prédictive, une valeur prisée par toutes sortes de clients.
«Il y aura plus de règles, c’est sûr. Mais l’important, c’est qui les fera appliquer, et comment.»
Se pose ensuite la question: qui achète ces données? En substance, tout le monde, ou presque. Les annonceurs publicitaires et les sociétés de marketing direct, bien sûr, friands de ciblage personnalisé pour améliorer l’efficacité de leurs campagnes. Mais aussi les banques et assurances, qui y voient un outil pour évaluer les risques, prévenir la fraude ou adapter leurs offres. Les employeurs potentiels peuvent, dans certains cas, acquérir des listings pour filtrer des candidatures. Des agences de renseignement et gouvernements ont également recours aux services de data brokers pour affiner des analyses de sécurité ou de surveillance, évitant d’avoir à collecter eux-mêmes certaines données sensibles. Enfin, le secteur politique s’y intéresse de près: aux Etats-Unis, la campagne présidentielle de 2016 a mis en lumière le rôle d’entreprises comme Cambridge Analytica, qui ont acheté en masse des données d’électeurs pour mieux cibler la diffusion de messages électoraux sur les réseaux sociaux. En Europe, la pratique reste plus encadrée, mais des acteurs de la propagande numérique tentent déjà de tirer profit des fichiers commercialisés par les courtiers, comme l’ont montré les dérives de la dernière présidentielle française. Là où il y a un intérêt à influencer ou connaître un public, la donnée personnelle devient une monnaie d’échange.
Les chiffres donnent le vertige. D’après le cabinet d’analyse Knowledge Sourcing Intelligence, le marché global des data brokers atteindra 435 milliards de dollars en 2025 (environ 417 milliards d’euros), et devrait dépasser 600 milliards en 2030. A titre de comparaison, c’est plus que la capitalisation boursière de géants industriels comme TotalEnergies ou Coca-Cola. Cette croissance exponentielle traduit l’or noir que représentent les informations intimes à l’ère du tout-numérique.
De fait, l’économie numérique actuelle fonctionne grâce à l’exploitation massive de ces données. Les courtiers en sont les fournisseurs invisibles, pompant sans relâche le carburant qui alimente la machine. N. en sourit: «C’est vrai que c’est un marché en or. La demande explose parce que les entreprises se sont rendu compte que mieux connaître les clients ou les citoyens, c’est avoir un coup d’avance.» Lui-même a vu son chiffre d’affaires quadrupler en cinq ans. Ses effectifs, bien que modestes (il emploie quatre analystes de données et deux commerciaux), traitent aujourd’hui des volumes qui auraient été inimaginables il y a une décennie.
Si l’or des data brokers coule à flots, c’est aussi parce que la régulation peine à suivre…
Un cadre légal débordé
En Europe, la protection des données personnelles repose sur un socle juridique solide: le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018, censé garantir aux citoyens le contrôle de leurs informations privées. Dans les textes, le consentement libre et éclairé, le droit d’accès, de rectification et de suppression, ou encore le droit à la portabilité des données offrent un arsenal de protections sans équivalent dans le monde. Pourtant, le cas des courtiers en données révèle les limites concrètes de ce cadre légal. D’une part, le RGPD mise sur les responsabilités des entreprises et des individus. Or, la plupart des personnes ignorent jusqu’à l’existence de ces intermédiaires, et ne peuvent donc exercer leurs droits à leur encontre. D’autre part, l’application même du règlement se heurte à la mondialisation des acteurs du numérique et à des zones grises juridiques. En clair, malgré la meilleure loi du monde sur le papier, des brèches subsistent, et les data brokers s’y engouffrent allègrement.
C’est précisément la transparence, et sa continuité dans la chaîne, qui fait défaut, rappelle Aurélie Waeterinckx, représentante de l’Autorité de protection des données (APD) en Belgique: «Le fait que les données ne sont généralement pas collectées directement auprès des personnes concernées peut poser des difficultés en matière de transparence, spécifie-t-elle. Si des entreprises transmettent des données à des data brokers, elles doivent indiquer aux citoyens concernés (généralement leurs clients) à qui elles les transmettent et pourquoi. De surcroît, les data brokers doivent également informer les personnes concernées du fait qu’elles détiennent leurs données (et lesquelles), de la source de ces données et de la manière dont elles vont les utiliser. Force est de constater que dans la pratique, ce n’est pas toujours le cas alors que la transparence est une pierre angulaire du RGPD: si une personne ne sait pas que ses données sont utilisées, elle ne peut pas exercer ses droits en matière de protection des données, comme par exemple le droit de s’opposer à ce que ses données soient utilisées à des fins de marketing.»
Plusieurs facteurs expliquent ces failles. Le premier est le manque de transparence inhérent à l’activité de courtage en données: ces entreprises n’ont pas pignon sur rue, traitent en B2B (de professionnel à professionnel) et ne sont donc pas soumises à la même pression de réputation que des plateformes grand public. Beaucoup opèrent depuis des pays offrant un climat réglementaire accommodant, par exemple certains Etats américains, ou même des pays de l’UE où les autorités de protection se montrent moins strictes. Le second facteur est la difficulté de contrôle: pour qu’une autorité comme l’APD intervienne, encore faut-il repérer les manquements et recevoir des plaintes. Or, comment se plaindre de la revente de ses données si l’on ignore jusqu’au fait qu’elles ont été collectées? La charge repose souvent sur les associations spécialisées ou sur des enquêtes journalistiques pour dévoiler les abus.
Face à ces périls, des voix s’élèvent pour réclamer des actions fortes. En Europe, au-delà du RGPD, certains plaident pour l’interdiction pure et simple des pratiques de profilage à des fins politiques ou l’exclusion des données les plus sensibles (santé, orientation sexuelle, opinions religieuses…) du commerce, y compris indirect. D’autres proposent la création d’un «registre européen des data brokers», qui obligerait chaque acteur du secteur à déclarer ses activités, la nature des données détenues et les clients auxquels il vend, offrant ainsi un minimum de visibilité aux citoyens et aux autorités.
Sur ce front, quelques initiatives commencent à voir le jour: la plateforme européenne My Data Done Right (portée par l’ONG Bits of Freedom et ses partenaires) génère et centralise les demandes d’accès, de suppression ou de portabilité adressées à des centaines d’entreprises, y compris des courtiers en données. Aux Etats-Unis, certaines lois d’Etat (Californie, Vermont) obligent désormais les data brokers à s’enregistrer sur un site public consultable par tous, une mesure qui, si elle était adoptée en Europe, constituerait un premier pas vers la mise en lumière de cette industrie de l’ombre.
N. observe ces évolutions d’un œil pragmatique. «Il y aura plus de règles, c’est sûr. Mais l’important, c’est qui les fera appliquer, et comment.» Selon lui, les gros acteurs du secteur sauront s’adapter et contourner les restrictions trop contraignantes, éventuellement en délocalisant encore davantage leurs opérations hors des juridictions tatillonnes. Quant aux plus petits, «ils disparaîtront ou se spécialiseront dans des niches, par exemple le renseignement d’entreprise ou la prédiction de défaut de paiement», anticipe-t-il. N. ne cache pas une certaine fatalité: pour lui, le monde a dépassé le point de non-retour en matière de collecte de données. «On ne remettra pas le dentifrice dans le tube, ironise-t-il. Les gens veulent des services personnalisés, de l’intelligence artificielle ultraperformante, de la sécurité… tout ça exige des données. Nous, on ne fait que fournir ce qu’on nous demande.» Un raisonnement qui prouve la normalisation d’une logique: celle d’un échange inégal où, en contrepartie de produits et de services numériques séduisants, le consommateur abandonne des fragments de lui-même.
Et si demain l’opinion publique se rebiffait? N. hausse les épaules. Il parie que l’attrait de la commodité l’emportera toujours sur les préoccupations abstraites de vie privée pour la majorité. Mais l’histoire enseigne de rester vigilants. Car derrière chaque dossier de données se trouve une personne, avec sa personnalité et ses droits. Et qu’une société qui renonce à protéger ces droits court le risque, lentement mais sûrement, de voir s’éroder les fondements de sa démocratie. Reste à la société de reprendre le contrôle, en éclairant les zones d’ombre, en renforçant les règles du jeu, et en rappelant que les données personnelles ne sauraient être une marchandise comme les autres.
