Protégez vos données personnelles avec Avast Mobile Security pour Android.
- Sécurité
- Confidentialité
- Performances
Vous ne savez peut-être pas qui sont les courtiers en données, mais eux savent très bien qui vous êtes. Tous les jours, des milliers de courtiers en données achètent et revendent des données sur les consommateurs et collectent d’énormes quantités d’informations sur tout le monde, vous compris. Lisez cet article pour savoir qui sont ces sociétés qui revendent vos données et découvrez comment Avast BreachGuard peut vous aider à reprendre le contrôle de vos données personnelles.
Les courtiers en données (aussi appelés courtiers en informations) collectent des informations personnelles, les compilent et les revendent à d’autres acteurs. Internet est un endroit idéal pour la revente de données : nous y échangeons nos informations personnelles contre des services gratuits comme les moteurs de recherche, les réseaux sociaux, les sites d’information, les jeux et bien d’autres types de sites, d’applications et de programmes.
Les courtiers en données compilent ces informations à partir de sources en ligne et de sources physiques. Ce sont les super détectives actuels, capables de faire le lien entre le médicament que vous venez d’acheter à la pharmacie, vos recherches de tickets pour aller voir Justin Bieber en concert, les vidéos qui expliquent que la Terre est plate et le fait qu’il y a dix ans que vous êtes divorcé. Ils ajoutent toutes ces informations au dossier déjà très complet dont ils disposent sur vous.
Cette article contient :
Les courtiers en données disposent d’énormes quantités de données sur vous. Les données qu’ils collectent vont des plus banales (ce que vous aimez, ce que vous n’aimez pas, vos derniers achats, votre ville de résidence) aux plus sensibles (vos problèmes de santé, votre état civil, votre casier judiciaire, votre niveau de vie, votre adresse postale).
Une fois qu’ils ont collecté toutes ces informations, les courtiers en données vous placent dans une catégorie, qui est ensuite revendue à des annonceurs ou à toute autre entité que cela intéresse.
Mais attention : les informations que les courtiers en données collectent sur vous ne sont pas forcément correctes. Vous avez fait des recherches sur les vêtements pour bébé pour une amie, sur les jouets pour animaux pour le chien de votre frère ou sur les équipements de vélo pour votre collègue ? Vous pourriez très facilement être répertorié comme étant enceinte, amie des animaux et fan de cyclisme.
Mais le plus souvent, les informations intimes récoltées via vos recherches Internet, vos profils sur les réseaux sociaux et les données publiques vous concernant composent réellement un portrait assez fidèle de qui vous êtes.
Les courtiers en données collectent ces informations à partir de différentes sources, en ligne ou physiques. Ces sources de données physiques sont par exemple les informations accessibles publiquement, comme le certificat de mariage, le casier judiciaire, les actes de vente et même certaines informations personnelles sensibles que vous communiquez pour obtenir un certificat d’immatriculation, comme votre date de naissance et votre adresse.
Les courtiers en données collectent encore d’autres informations en ligne et emploient des techniques parfois assez sournoises.
Les courtiers en données collectent toute une série d’informations sur vos centres d’intérêt, votre comportement et vos achats, le tout à partir de différentes sources, en ligne ou physiques.
Voici quelques formes de pistage en ligne qui permettent de collecter des données :
Cookies de suivi : les cookies sont de petits fichiers de données qui sont souvent nécessaires pour que les sites web fonctionnent correctement. Mais les cookies de suivi n’ont qu’un but : vous suivre sur Internet et de noter vos activités.
Empreinte de navigateur : plus insidieuse que les cookies de suivi, la technique de l’empreinte de navigateur utilise des scripts invisibles sur les sites web pour vous identifier d’après votre navigateur, votre appareil, votre fuseau horaire, votre langue, votre matériel audio et vidéo et bien d’autres détails encore. Alliée au pistage inter-sites, cette empreinte permet de vous suivre partout sur Internet, même si vous n’êtes pas connecté ou si vous naviguez en mode incognito.
Balises web et balises de messagerie : les balises web sont de petites images d’un seul pixel qui pistent votre comportement sur les sites web, dans les e-mails, etc. Elles peuvent enregistrer les produits sur lesquels vous cliquez mais que vous n’achetez pas, les e-mails que vous ouvrez, les liens sur lesquels vous cliquez, et bien plus encore. Ces balises servent la plupart du temps à vous « recibler » ou à vous présenter des publicités pour des produits sur lesquels vous venez de faire des recherches.
Pistage d’adresse IP : votre adresse IP permet de vous identifier sur Internet. C’est un peu comme votre adresse personnelle, celle qui vous permet de recevoir sur votre appareil les données que vous avez demandées, vos recherches, vos e-mails, etc. Les sites web enregistrent l’emplacement géographique de leurs visiteurs et identifient les visiteurs qui reviennent consulter le site et leurs préférences à l’aide de l’adresse IP.
Sites de commerce électronique : les sites de commerce électronique pistent vos préférences parce qu’ils veulent vous vendre le plus d’articles possible. De nombreux sites de commerce électronique utilisent des plateformes de données client (customer data platforms, ou CDP), des logiciels spécialement conçus pour aider les entreprises à exploiter les données et les convertir en ventes. Lorsque vous recevez un e-mail pour vous rappeler que vous avez encore un produit dans votre panier d’achat, c’est très certainement un e-mail automatisé envoyé par l’une de ces plateformes.
Il existe différents types de collectes de données et de pistage sur Internet. De très nombreux sites et applications proposent gratuitement leurs produits ou leurs services en échange de vos données. C’est ce que l’on appelle les courtiers en données primaires, car ils sont en lien direct avec vous, le client. Si vous ne voulez pas payer pour utiliser un réseau social, un moteur de recherche ou un service de messagerie, vous cédez vos données en contrepartie de cette utilisation gratuite.
La plupart des courtiers en données primaires vous promettent qu’ils ne « vendent » pas vos données, ce qui ne veut pas dire qu’ils ne vendent pas l’« accès » à vos données. Nombreux sont ceux qui proposent des lots comme celui des « publics cibles », grâce auxquels les annonceurs peuvent cibler les consommateurs en fonction de leur comportement ou de leurs préférences.
Reprenez tous les services gratuits que vous utilisez sur Internet et examinez attentivement quelles sont leurs politiques de collecte de données. Pour en savoir plus, consultez nos guides :
À l’inverse des courtiers en données primaires, les courtiers en données tiers n’entretiennent aucune relation directe avec vous. Ils se contentent de racheter, de reconditionner et de revendre des données auprès des autres acteurs et des annonceurs. Lorsque l’on parle de courtiers en données et de revente de données à des tiers, on fait généralement référence aux courtiers en données tiers.
Oh surprise, les courtiers en données tirent leurs revenus de la vente de vos données. Cette activité de revente d’informations peut comprendre des catégories de consommateurs (un lot de clients par exemple) ou des profils personnels spécifiques (provenant de sites de recherche sur les personnes ou de l’annuaire par exemple).
Et même si certains courtiers ne font techniquement que louer vos données ou les concéder sous licence, cela revient globalement à de la revente. Les courtiers en données revendent en général les données agrégées aux organisations suivantes :
D’autres courtiers en données.
Des annonceurs, qui achètent des informations marketing pour cibler les clients potentiels.
Des partis politiques, qui achètent ces données pour mieux cibler leurs campagnes.
Les courtiers en données revendent aussi les données sur les personnes aux acteurs suivants :
Une institution financière qui veut disposer de plus d’informations sur une personne avant de lui accorder un prêt.
Un propriétaire qui veut en savoir plus sur un locataire potentiel.
Un employeur potentiel qui cherche à mieux connaître les candidats à un poste.
Les doxxers, qui harcèlent les individus en recherchant des informations sensibles sur eux pour les publier sur Internet.
N’importe qui disposant d’environ 20 $ et souhaitant connaître tous vos secrets.
Lorsque les courtiers en données sont impliqués dans une fuite de données, les pirates sont les premiers à en bénéficier. Ils peuvent exploiter les informations d’identification volées pour voler de l’argent, commettre une fraude à l’identité ou autres cybercrimes. Ils sont aussi susceptibles de revendre les informations d’identification volées (noms d’utilisateur, mots de passe, numéros de compte bancaire, etc.) sur le Dark Web. Si on considère la quantité d’informations sensibles qu’ont les courtiers en données en leur possession, il peut être inquiétant de savoir que des pirates peuvent s’en emparer suite à une fuite de données.
Souhaitez-vous vraiment que n’importe qui, que ce soit une personne, une entreprise ou un pirate, ait accès à vos données les plus personnelles ? Avast BreachGuard peut vous être utile. Il envoie automatiquement et simultanément de votre part les demandes de suppression des données à différents courtiers, ce qui vous évite d’avoir vous-même à les contacter un à un.
Une fois vos données effacées, les courtiers en données ne peuvent plus les revendre. Et plus important encore, si une fuite de données se produit, vos informations ne seront pas concernées. Avast BreachGuard assure également une veille permanente sur le Dark Web pour voir si vos informations personnelles ont été impliquées dans une fuite de données et vous aide à assurer la sécurité de vos comptes (et à protéger votre vie privée) si cela devait se produire.
La valeur des données d’une personne est assez variable. Selon certaines sources, on parle de plus de 240 $ par an. Votre adresse e-mail à elle seule peut se revendre pour environ 89 $. Vous pouvez aussi vous trouver sur une liste de noms qui se négocie pour à peu près 79 $. Les sites de recherche sur les personnes fournissent leurs informations gratuitement, ou pour un abonnement pouvant aller jusqu’à 30 $ par mois ou 40 $ par consultation.
À lui seul, le secteur du courtage de données génère 156 milliards de dollars par an, c’est-à-dire deux fois plus que le budget des services de renseignement du gouvernement des États-Unis.
Les courtiers en données font en général partie d’une de ces quatre grandes catégories : marketing et publicité, informations financières, recherches sur les personnes et informations médicales.
Courtiers en marketing et publicitéPublicités ciblées, marketing « personnalisé », publicités Google étrangement pertinentes, publicités sur des produits que vous avez recherchés : tout ceci est dû au pistage en ligne et à l’activité des courtiers en marketing et publicité.
Courtiers en informations financièresVous a-t-on déjà refusé un prêt ou une carte de crédit ? Vous a-t-on proposé des taux d’intérêt exorbitants pour un emprunt immobilier ? Les courtiers en informations financières, aussi appelés courtiers en détection des fraudes ou courtiers en gestion des risques, traitent différentes informations financières telles que votre cote de solvabilité ou votre évaluation du risque de crédit. Parfois, ils peuvent aussi éviter les fraudes grâce à la vérification de l’identité.
Recherches sur les personnesVous voulez plus d’informations sur votre prochain rendez-vous Tinder ? Vous voulez savoir qui est ce « parent éloigné » qui vous a contacté sur Facebook et s’il est bien qui il prétend être ? Les courtiers en recherches sur les personnes ou les sites de type Pages blanches peuvent fournir des données précises sur toutes les personnes, mais aussi sur vous, bien entendu.
Courtiers en informations médicalesVous n’apprécieriez pas que votre mutuelle augmente soudainement ses tarifs, n’est-ce pas ? Les courtiers en informations médicales compilent tous les problèmes de santé dont nous nous plaignons (en fonction des recherches faites en ligne sur les symptômes ou les soins par exemple), nos achats hors ligne (les médicaments avec ou sans ordonnance, par exemple d’après les données de la carte de fidélité de la pharmacie) et s’en servent pour créer notre profil.
Les sociétés d’assurance peuvent ensuite acheter ces jeux de données et s’en servir pour augmenter les primes qu’elles vous demandent, ou même vous refuser de vous couvrir. Si on considère que ces données ne sont peut-être même pas valables (peut-être que vous faites une recherche sur les symptômes que présente votre conjoint ou que vous achetez des médicaments pour votre grand-mère), ce type de courtage de données est sans doute l’une des pratiques les plus injustes.
Il existe des milliers de courtiers en données. Voyons quelques-unes des principales entreprises actives dans le courtage de données.
Equifax, Experian et TransUnion sont les trois principales agences de gestion des crédits aux États-Unis. Elles collectent toutes les informations relatives à vos crédits et à votre cote de solvabilité, puis transmettent ces informations aux organismes de crédit qui souhaitent évaluer votre solvabilité. Ces agences récupèrent les données auprès des sociétés de cartes de crédit, dans l’historique des prêts ou auprès des agences de recouvrement, entre autres sources.
Bien qu’il soit tout à fait compréhensible qu’une banque souhaite pouvoir évaluer votre solvabilité avant de vous accorder un prêt, toute fuite de données affectant ces agences risque de compromettre vos données personnelles.
En 2017, Equifax a fait l’objet d’une énorme fuite de données, qui a conduit à la divulgation d’informations privées concernant plus de 143 millions d’Américains. Parmi les données qui ont été affectées, on pouvait retrouver des numéros de carte de crédit, des numéros de sécurité sociale, des dates de naissance, des adresses postales, des numéros de permis de conduire, etc. Armés de ce genre d’informations, les pirates peuvent très facilement ouvrir un nouveau compte bancaire ou demander un crédit sous un autre nom. Cette fuite était évidemment très grave, mais en plus, Equifax a attendu six semaines avant de l’annoncer, ce qui a offert aux cybercriminels une belle longueur d’avance.
Experian, qui collecte les données de plus d’un milliard de personnes et d’entreprises, a été touchée par une fuite de données en 2020. La fuite de données Experian a conduit à la divulgation des données personnelles de 24 millions de citoyens d’Afrique du Sud et de 800 000 entreprises. Une autre fuite de données Equifax datant de 2015 a débouché sur la divulgation de données sensibles de plus de 15 millions d’Américains.
La fuite de données TransUnion de 2019 était moins volumineuse mais reste importante, car elle concernait les données personnelles de 37 000 Canadiens.
Une des plus grandes entreprises de courtage de données, Acxiom LLC « simplifie le marketing individualisé ». Acxiom collecte les données de centaines de millions de personnes depuis 1969. Oui, vous avez bien compris : le courtage de données existait bien avant Internet. Acxiom récupère la plupart de ses données dans des informations disponibles publiquement, des sondages sur les consommateurs, des listes d’abonnés aux magazines, des rapports sur les achats en magasins, mais aussi via le pistage en ligne. À quoi cela ressemble-t-il concrètement ? 23 000 serveurs sont constamment occupés à collecter, à compiler et à analyser plus de 50 000 milliards de transactions de données tous les ans.
Acxiom dispose de plus de 700 millions de profils de consommateurs, dont 96 % des foyers aux États-Unis, avec parfois jusqu’à 1 500 caractéristiques différentes sur chaque personne. Ces informations peuvent aller jusqu’à votre poids, si vous êtes droitier ou gaucher ou encore la race de votre chat. Acxiom revend ces informations aux sociétés de carte de crédit, aux banques, aux entreprises de télécommunications et aux assureurs.
Le fonctionnement de CoreLogic s’appuie sur la collecte de données, notamment celles du cadastre, des prêts hypothécaires, mais aussi différentes informations financières. L’entreprise fournit des analyses de biens immobiliers, le filtrage des locataires, la gestion des fraudes au crédit hypothécaire, des informations de localisation et propose d’autres produits techniques basés sur le traitement des données.
Les personnes qui critiquent CoreLogic insistent sur le fait qu’ils utilisent des tactiques automatisées (comme les filtres appliqués pour déterminer qui peut louer ou acheter une maison) qui retirent tout facteur humain des décisions personnelles. Toute inexactitude dans les données de CoreLogic peut empêcher certaines personnes d’accéder à un logement, comme c’était le cas pour un patient sorti du coma et qui essayait de louer un logement plus adapté à son handicap.
PeekYou est un site de recherches sur les personnes qui vous permet de « retrouver et contacter n’importe qui sur Internet ». PeekYou aide tous les mois 6 millions de visiteurs à retrouver d’autres personnes, qu’il s’agisse d’amis perdus de vue ou d’anciens camarades de classe. Bien que l’objectif puisse sembler tout à fait raisonnable, l’entreprise va bien plus loin.
PeekYou pratique la capture d’informations, qui consiste à ratisser le web pour collecter toutes les informations possibles sur les personnes, par exemple sur les sites de recherche d’emploi, les réseaux sociaux, les forums et les sections de commentaires. PeekYou a même déposé un brevet concernant une technique spécifique pour mettre en lien le nom réel avec le pseudonyme que les utilisateurs emploient sur les blogs, sur Twitter et dans les différents forums. Ceci vient s’ajouter aux informations plus classiques qu’ils proposent, comme votre nom complet, votre dernière adresse, tout l’historique de vos adresses postales, votre numéro de téléphone, votre date de naissance ou les membres de votre famille.
La revente d’informations aussi détaillées est assez inquiétante, car elles peuvent facilement être utilisées à des fins malveillantes, pour du doxxing, un vol d’identité, du harcèlement en ligne ou dans le monde physique.
Détenue par Oracle, la société Datalogix se consacre principalement au suivi des comportements dans l’objectif d’améliorer les ventes. Ce courtier en données collecte les données relatives aux achats que font les consommateurs en ligne et hors ligne, entre autres.
Datalogix a pu bénéficier pendant six ans d’une relation privilégiée avec Facebook, au cours de laquelle il a aidé le géant des réseaux sociaux à analyser quels utilisateurs achetaient des produits en fonction des publicités sur Facebook. Facebook a finalement mis fin à ce partenariat en raison de l’augmentation des vérifications pour mauvaise gestion des données externes. Mais cela n’a pas empêché Datalogix de développer d’autres relations douteuses dans le secteur du courtage de données, par exemple avec Acxiom, Experian et d’autres acteurs importants de ce domaine.
Le caractère légal du courtage de données et des lois qui s’appliquent à la revente d’informations personnelles varie d’un pays à l’autre. Le Règlement général sur la protection des données (ou RGPD) de l’Union européenne est l’une des lois les plus strictes en matière de confidentialité des données personnelles, mais les courtiers en données trouvent encore le moyen de poursuivre leurs activités.
Aux États-Unis, les lois applicables au courtage de données varient d’un État à l’autre. En règle générale, les courtiers en données agissent en coulisses, en flirtant avec les limites de la loi et en profitant des zones grises de la législation. Comme pour beaucoup d’autres cybercrimes du 21ème siècle, la législation a souvent un temps de retard sur les avancées technologiques. Et de nombreux acteurs de ce secteur, qu’il s’agisse de cybercriminels ou de grandes sociétés de courtage en données, agissent selon des pratiques peu éthiques, voire illégales.
La plupart des courtiers en données agissent dans les zones grises, en bordure des lois.
La législation applicable aux courtiers en données dépend de la juridiction dont ils relèvent, mais en général cette législation s’avère relativement limitée. Dans l’Union européenne, le RGPD exige des entreprises qu’elles obtiennent un consentement de la part de l’utilisateur avant de pouvoir utiliser des outils de surveillance comme les cookies de suivi. Et bien que l’Union européenne ait tenté de renforcer la législation applicable aux courtiers en données en avril 2019, le secteur du courtage de données reste extrêmement actif en Europe.
La législation des États-Unis concernant les courtiers en données est encore plus limitée. En 2014, la Commission fédérale du commerce des États-Unis (FTC) a publié un rapport sur ce secteur (« Data Brokers: A Call for Transparency and Accountability ») demandant plus de transparence sur les pratiques des courtiers en données, mais il n’existe toujours pas de loi fédérale sur les activités des courtiers en données. La loi Fair Credit Reporting Act offre aux citoyens la possibilité de consulter et de corriger les erreurs dans les scores de crédit auprès des agences de gestion des crédits, mais cette loi s’applique uniquement à ce type de courtage. En d’autres termes, elles ne s’appliquent à aucun autre type de courtier en données, comme ceux qui traitent les informations médicales ou les données marketing.
Seuls les États de la Californie et du Vermont disposent d’une législation qui régit les activités des courtiers en données. Les lois Consumer Privacy Act en Californie et Data Broker Law dans le Vermont exigent des courtiers en données qu’ils signalent leur activité auprès de l’État et qu’ils payent une redevance annuelle. Ces lois prévoient des protections pour les consommateurs et permettent de dévoiler le travail des courtiers en données, mais ces protections ne s’appliquent qu’aux résidents des états concernés. Reste à voir si d’autres états vont suivre cet exemple et travailler à l’amélioration de la transparence et de la protection des consommateurs partout dans le pays.
Il est possible de sortir des listes des courtiers en données ou de faire en sorte que vos informations soient supprimées de leurs bases de données, mais ce n’est pas simple. Il y a trois approches : contacter vous-même les courtiers en données, essayer d’éviter de vous retrouver dans leurs bases de données ou bien utiliser un service de protection des données.
Il existe malheureusement des milliers de courtiers en données et aucun d’entre eux ne va vous faciliter la tâche pour les contacter et supprimer vos données. L’envoi de demandes de suppression des données à tous les courtiers en données et leur suivi demande beaucoup de temps et d’énergie, si vous voulez être certain que vos données ne figurent pas à nouveau dans ces listes.
Pour commencer, vous pouvez déjà essayer de limiter les données que ces entreprises collectent sur vous. Certaines informations, comme les informations disponibles publiquement, ne peuvent pas être cachées, mais vous pouvez agir sur les autres sources.
Ne vous inscrivez pas aux programmes de fidélité en magasin. Oui, vous allez sûrement rater certaines promotions. Mais cela peut en valoir la peine, si c’est pour garder vos habitudes d’achat privées.
Faites en sorte que tous vos comptes sur les réseaux sociaux soient privés. Nous ne vous conseillons pas d’aller jusqu’à supprimer vos comptes sur les réseaux sociaux (même si cela aurait certainement aussi un effet positif), mais vous pouvez au moins renforcer la confidentialité de ces comptes. Pour commencer, assurez-vous de bien appliquer les paramètres de sécurité sur Facebook, de rendre votre compte Instagram privé et de verrouiller au maximum vos autres comptes.
Utilisez une technologie anti-pistage solide. Un bon logiciel anti-pistage peut masquer l’empreinte de votre navigateur pour empêcher les annonceurs et autres intéressés d’enregistrer vos activités lorsque vous êtes connecté. La technologie avancée anti-empreintes d’Avast AntiTrack protège votre identité en bloquant les trackers sur tous les sites que vous consultez.
Utilisez un navigateur sécurisé. Le pistage en ligne est l’une des techniques les plus utilisées par les entreprises pour collecter vos données, et ne comptez pas sur le mode Incognito pour échapper aux outils de surveillance les plus sophistiqués, comme les cookies de suivi de l’empreinte de navigateur. Utilisez un navigateur anti-pistage spécialisé comme Avast Secure Browser, avec technologie anti-empreintes, pour pouvoir naviguer de façon confidentielle et mettre vos données hors de portée des courtiers en données.
Ce sont là de bonnes habitudes en matière de protection de la vie privée. Mais si cela fait des années que vous utilisez Internet, vos informations se trouvent déjà dans des milliers de bases de données. Pour simplifier la suppression de ces données, envisagez d’utiliser un service comme Avast BreachGuard pour qu’il le fasse à votre place. Avast BreachGuard est un outil contre le vol d’identité qui envoie des demandes automatiques de suppression des données aux sociétés de courtage. En plus, vous bénéficiez d’une surveillance des risques 24h/24, 7j/7.
Les courtiers en données restent souvent invisibles et peuvent paraître inarrêtables, mais vous pouvez contre-attaquer. Utilisez Avast BreachGuard pour défendre votre vie privée et il affrontera les courtiers en données de trois façons :
Retrouvez le contrôle de vos données personnelles. Nous envoyons automatiquement les demandes de suppression des données (et nous continuons à les envoyer par la suite) pour que les courtiers en données suppriment votre profil et ne puissent pas le recréer. De plus, vous saurez quels sont les courtiers qui disposent de données à votre sujet, et de quelles informations il s’agit.
Surveillance 24 h/24, 7 j/7. En cas de fuite de données, les pirates les mettent en vente sur le Dark Web. Avast BreachGuard surveille en permanence le Dark Web pour voir si vos données personnelles ont fuité et vous avertit si c’est le cas. Nous vous alerterons également en cas de fuite de vos mots de passe.
Améliorez la protection de votre vie privée. Bénéficiez de conseils d’experts sur l’amélioration de la sécurité et de la protection de la vie privée (par exemple comment renforcer vos mots de passe et comment gérer les paramètres de vos comptes).
Installez Avast BreachGuard dès aujourd’hui pour reprendre le contrôle de vos données.
Disponible aussi sur Mac
Disponible aussi sur PC