Blog AVG Signal Confidentialité Conseils Courtiers en données : qui sont-ils et comment travaillent-ils ?
Data_brokers-whos_selling_your_data-Hero

Qu’est-ce qu’un courtier en données ?

Les courtiers en données sont des entreprises qui collectent, regroupent et revendent vos informations aux différents acteurs qui souhaitent vous cibler en tant que consommateur, acheteur ou même en tant que personne privée. La compilation et la revente de données sont au cœur de l’activité de ces courtiers. Ils sont là uniquement pour ça.

Cet article contient :

    Quelle est la différence entre un courtier en données et un courtier en informations ? Il n’y en a aucune. Ils cherchent l’un comme l’autre à vendre des données pour en tirer un bénéfice. Les termes « courtier en données » et « courtier en informations » peuvent donc être utilisés indifféremment.

    Que savent ces courtiers en données sur moi ?

    Les courtiers en données disposent d’informations personnelles vous concernant : nom, âge, sexe, adresse e-mail, numéro de téléphone, date de naissance, lieu de résidence, centres d’intérêt, habitudes de consommation ou encore niveau d’études. Ils sont parfois en possession de données très sensibles comme votre niveau de revenu, votre dossier médical ou votre casier judiciaire.

    Ce genre d’information permet aux courtiers en données de vous placer dans une catégorie prédéfinie et de revendre votre profil à tous ceux que cela pourrait intéresser.

    Votre profil public qui est acheté puis revendu par le courtier en données peut ressembler à une biographie mal écrite par quelqu’un qui vous aurait espionné. Même si une part de l’activité des courtiers en données consiste à enrichir, à nettoyer et à analyser les profils avant de les fournir à d’autres sociétés, tout ce qu’ils savent sur vous peut être superficiel, inexact ou totalement hypothétique.

    • Vous avez récemment recherché sur Internet des vêtements pour bébés pour votre belle-sœur qui va devenir maman ? Vous êtes peut-être considéré comme étant enceinte.

    • Vous avez pris une carte de fidélité à la pharmacie du coin pour acheter les médicaments de votre grand-mère diabétique ? Vous êtes peut-être considéré comme présentant des risques de santé.

    • Vous écrivez un article sur les jeux de hasard et vous consultez des sites web qui peuvent vous faire passer pour un joueur ? Vous êtes peut-être considéré comme présentant un profil à haut risque de crédit.

    Et même lorsque les courtiers en données récupèrent les bonnes informations, c’est-à-dire des informations exactes, il est effrayant de voir tout ce qu’ils peuvent savoir de vous.

    • Vous êtes inscrit sur les listes électorales ? Ils savent pour quel parti vous votez.

    • Vous avez une carte de fidélité dans un magasin ? Ils connaissent vos habitudes de consommation.

    • Vous avez des comptes sur les réseaux sociaux ? Ils connaissent vos centres d’intérêt, ce que vous aimez et ce que vous détestez, votre date de naissance, votre nom, où vous êtes allé et avec qui vous entretenez des relations. Ah oui, et ils savent aussi tout ce que vous avez dit dans des applis de quizz.

    Vous voulez que ces informations restent privées ? Et vous ne voulez plus vous retrouver sur les listes des courtiers en données ? C’est exactement ce que fait AVG BreachGuard : il vous aide à garder le contrôle de votre vie privée en ligne et à vous assurer que vos données personnelles ne tombent pas entre de mauvaises mains.

    Disponible aussi sur PC

    Disponible aussi sur PC

    Disponible aussi sur Mac

    Comment les courtiers en données collectent-ils ces informations ?

    Les courtiers en données collectent les informations en pistant vos activités, aussi bien en ligne que dans le monde réel. Les API (interfaces de programmation d’application) des réseaux sociaux, les applications mobiles et les sites de vente en ligne sont autant de fenêtres sur vos activités. Vos activités dans le monde réel peuvent être pistées par le biais de registres publics (bans de mariage, cadastre, licences professionnelles, carte grise), mais aussi les programmes de fidélité en magasin.

    La façon dont les courtiers en données collectent les informations peut sembler mystérieuse, mais chaque fois que vous faites une recherche sur Google, utilisez une application mobile, allez sur Facebook, Twitter ou Instagram, ou lors de n’importe quelle action quotidienne en ligne, vous générez des données identifiables qui peuvent tomber entre les mains d’un tiers. 

    C’est ce que l’on appelle le pistage web. Ce pistage est rendu possible par les logiciels installés sur la plupart des sites web et des applications mobiles afin de pister vos activités en ligne, comme le nombre de clics, les pages vues, le temps passé sur un site et même les déplacements de la souris. Mises bout à bout, toutes ces données peuvent créer un profil implicite et aider les courtiers en données à vous classer dans une catégorie en fonction des intentions d’achat qui vous sont prêtées. Les courtiers en données en apprennent également beaucoup sur vous lorsque vous vous livrez à des activités peu sûres en ligne et, bien entendu, lorsque des pirates mettent la main sur vos données.

    Si on envisage les activités en ligne et hors ligne comme les deux avenues de la collecte d’informations, intéressons-nous maintenant aux deux sources : les courtiers en données primaires et les courtiers en données tiers.

    Les courtiers en données primaires collectent d’énormes quantités de données en échange de l’utilisation de leurs produits. Chaque photo que vous publiez, chaque J’aime que vous laissez, chaque recherche que vous faites, chaque produit que vous commandez et qui arrive le lendemain à votre porte... tout cela laisse des traces qui sont autant d’informations sur vous. On les appelle courtiers en données primaires, car ils sont en lien direct avec vous, le client. 

    Bien que la plupart des courtiers en données primaires affirment qu’ils ne revendent pas vos données, certains d’entre eux jouent sur les mots pour contourner la législation sur la protection de la confidentialité. Par exemple, ils peuvent vendre l’accès à vos données sans pour autant vendre les données en elles-mêmes. Selon l’un des plus grands moteurs de recherche, les annonceurs peuvent cibler les personnes « en fonction de leurs passions, de leurs habitudes et de leurs centres d’intérêt », ainsi qu’en fonction de leurs « dernières intentions d’achat » (c’est-à-dire les recherches que vous faites en ligne). Un des points positifs est que certains de ces services vous laissent télécharger les données dont ils disposent sur vous.

    Les courtiers en données tiers comme Experian et Equifax achètent, compilent et revendent les données de personnes avec lesquelles ils n’entretiennent aucune relation directe.

    De quoi les courtiers en données tirent-ils leurs revenus ?

    Les courtiers en données tirent leurs revenus de la vente des informations personnelles qu’ils ont collectées, affinées et regroupées en catégories de consommateurs. La plupart du temps, la propriété des données ne change pas de mains (c’est-à-dire qu’elle n’est pas « vendue » au sens traditionnel). Elle est concédée à plusieurs tiers sous forme de contrats d’abonnement.

    L’objectif ultime du courtier en données est de vendre ses données sous forme de catégories de consommateurs. Les données prises dans leur ensemble ont plus de valeur que prises individuellement. Ce pour quoi les entreprises sont prêtes à payer, ce sont des jeux de données agrégées, par exemple le profil « fan de cyclisme » ou le profil « nouveau propriétaire ».

    Plus les données regroupées sont précises, ou sensibles, plus leur valeur est importante. En combinant les coordonnées (nom, adresse e-mail, numéro de téléphone), les données démographiques (niveau de salaire, âge, sexe) et les habitudes de consommation (les produits que vous aimez, ceux que vous n’aimez pas, ceux que vous achetez régulièrement), les courtiers en données peuvent créer des catégories qu’ils peuvent vendre.

    Certaines catégories, comme celle des « fans de cyclisme », peuvent sembler tout à fait innocentes. Au pire, vous serez ciblé à tort pour l’achat d’un nouveau vélo, alors que vous préférez les trottinettes. Mais les limites de l’éthique se font sentir lorsque les courtiers en données créent des catégories et des listes avec des critères plus personnels : « victimes de viol », « troubles de l’érection » ou encore « malade du SIDA/séropositif ».

    Vous pouvez de fait acheter des listes de personnes censées appartenir à ces catégories pour 79 $ la liste.

    Globalement, le modèle économique des courtiers en données repose sur la création de catégories prédéfinies de consommateurs. Mais tous les types d’acheteurs de données ne sont pas intéressés par ces packages. Les courtiers en données gagnent parfois de l’argent en vendant des informations sur une personne en particulier, en général sous forme de sites de recherche de personnes ou de pages blanches de l’annuaire.

    Qui achète ces données ?

    Outre des agences publicitaires et des partis politiques qui achètent ces données pour vous envoyer des messages politiques, d’autres acheteurs cherchent à acheter les données qui vous concernent, vous en particulier. Un propriétaire peut acheter vos données pour évaluer votre viabilité en tant que locataire, un organisme financier pour connaître votre solvabilité en tant qu’emprunteur et un employeur potentiel pour évaluer l’adéquation de votre profil à un poste.

    Combien valent mes données ?

    L’activité des courtiers en données est évaluée à plusieurs milliards de dollars (sans doute aux alentours de 200 milliards). C’est tout de même une énorme activité. Mais la question que vous vous posez sûrement est :« combien valent mes données ? ». Leur valeur varie, et peut aller de 89 $ pour une adresse e-mail à 8 $ par mois pour l’accès à vos comptes sur les réseaux sociaux.

    Pour ceux qui souhaitent se lancer dans le militantisme numérique et reprendre le contrôle de leurs données, il est possible de devenir son propre courtier en données.

    Sinon, il existe une meilleure solution, qui consiste à supprimer vos données de ces listes douteuses. Vous pouvez empêcher les courtiers en données de se faire de l’argent sur votre dos avec AVG BreachGuard, qui demande automatiquement que vos données soient supprimées de ces listes. AVG BreachGuard est également équipé d’un système de surveillance des risques 24h/24, 7j/7 qui vous avertit en cas de divulgation de vos données personnelles.

    Disponible aussi sur PC

    Disponible aussi sur PC

    Disponible aussi sur Mac

    Le courtage de données est-il illégal ?

    Cela dépend de l’endroit où vous vivez. Les résidents de l’Union européenne sont bien mieux protégés que les personnes qui vivent par exemple en Chine ou en Russie.

    Aux États-Unis, les secteurs hautement lucratifs comme le courtage de données disposent d’énormes moyens financiers pour faire en sorte que la loi soit interprétée en leur faveur. Même les législateurs (qui se sont fait élire grâce à des campagnes ciblées à gros budget) ont tout intérêt à continuer à profiter du courtage de données.

    De fait, la plupart des gens consentent à leur insu à la vente de leurs données. Vous vous souvenez sans doute d’avoir cliqué sur « J’accepte » sur un site web sans lire les conditions générales d’utilisation ? Ce cas de figure se produit tous les jours, et de façon tout à fait légale aux États-Unis. En Europe par contre, le RGPD (règlement général sur la protection des données qui s’applique à toute organisation qui cible et collecte les données de personnes basées dans l’Union européenne) contient une définition très précise de ce que peut être le « consentement ».

    Aux États-Unis, le caractère légal des pratiques de courtage de données peut varier d’un État à l’autre. Les dossiers médicaux et les dossiers relatifs au crédit sont normalement assez bien protégés. Mais le flou de la protection des données personnelles et des droits de protection de la vie privée sur Internet permet aux courtiers en données d’agir à la limite de la légalité, voire de basculer dans l’illégalité.

    Lois et réglementations actuelles en matière de protection des données

    Contrairement au RGPD en vigueur dans l’Union européenne, il n’existe aux États-Unis aucune loi de protection des données personnelles au niveau fédéral qui définisse les pratiques considérées acceptables. Mais la commission fédérale chargée du commerce, la FTC (Federal Trade Commission), essaie d’agir dans ce domaine en promouvant la confidentialité en ligne et en interdisant les « actes ou pratiques injustes ou trompeurs dans les relations commerciales ».

    Même si la FTC a une certaine influence, les idées qu’émet cet organisme restent malheureusement souvent à l’état d’idées. En mai 2014, la FTC a publié un rapport de 110 pages intitulé « Data Brokers: A Call for Transparency and Accountability » (Courtiers en données : un appel à la transparence et à la responsabilité), qui présentait les résultats d’une étude approfondie des pratiques de neuf grands courtiers en données.

    Résultat de ce rapport ? Rien. Aucune loi n’a été adoptée suite aux recommandations de la commission. À l’inverse de l’Europe, les États-Unis n’ont pas de législation fédérale globale et laissent aux États et aux différents secteurs d’activité le soin de protéger les données.

    Par exemple, la loi HIPAA (Health Insurance Portability and Accountability Act) est une loi nationale qui protège les données médicales et les données d’assurance maladie. En revanche, vous êtes quand même susceptible d’être ciblé en ligne pour des médicaments sur ordonnance d’après les traces que vous laissez en tant qu’utilisateur.

    Mais il y a un peu d’espoir. Voici les réglementations les plus importantes actuellement en vigueur aux États-Unis sur la protection des données, ainsi qu’une liste plus complète de la législation en matière de confidentialité des données.

    • Fair Credit Reporting Act (FCRA) : votée en 1970, cette loi exige que les agences qui gèrent votre score de crédit vous permettent d’y accéder et d’en corriger les éventuelles erreurs. Le problème de cette loi est qu’elle ne s’applique pas aux courtiers en données, qui ne sont dans ce cas pas considérés comme des agences (par exemple les courtiers en données de recherche, les courtiers en marketing et publicité et les courtiers en gestion des risques).

    • California Consumer Privacy Act (CCPA) : passée en 2018, cette loi étend la protection de la confidentialité des consommateurs sur Internet. Toute personne peut ainsi accéder aux catégories dans lesquelles elle a été classée par les courtiers en données et doit recevoir un avertissement et la possibilité de se désinscrire avant que l’entreprise ne puisse revendre les données les concernant.

      Un amendement à la loi CCPA datant de 2019 contraint les courtiers en données à s’inscrire auprès du procureur général de Californie et à verser une redevance annuelle. La CCPA est considérée comme la loi de protection des données personnelles la plus complète aux États-Unis, mais elle ne protège que les résidents de Californie.

    • Data Broker Law du Vermont : votée en 2018, cette loi exige des courtiers en données qu’ils s’enregistrent tous les ans auprès de l’État et qu’ils expliquent de façon proactive de nombreux aspects de leur activité. Cela concerne par exemple les informations de désinscription pour les internautes, la transparence sur les processus d’acquisition des données, la communication sur les fuites de données et l’accès gratuit au blocage du crédit.

    Quatre grands types de courtiers en données

    1. Les courtiers en marketing et publicité aident les entreprises à vous cibler en tant que consommateur. Parmi les plus connus, on retrouve Datalogix, détenu par Oracle, et Acxiom, qui déclare détenir 3 000 attributs et scores concernant plus de 700 millions de personnes.

    2. Les courtiers en recherches sur les personnes revendent les profils de données des personnes. Certains courtiers comme Pipl vous demandent de mentionner l’utilisation que vous allez faire des données, tandis que d’autres comme Spokeo vous donnent immédiatement les résultats, gratuitement.

    3. Les courtiers en données médicales sont spécialisés dans la collecte d’informations sensibles sur votre santé (médicaments avec ou sans ordonnance, etc.) et sur votre état de santé supposé (les symptômes que vous recherchez en ligne). Ils revendent ensuite ces données aux compagnies d’assurance santé qui peuvent alors refuser de vous assurer ou bien décider d’augmenter votre prime d’après votre profil.

    4. Les courtiers en informations financières se spécialisent dans la revente d’informations personnelles sur votre score de solvabilité ou sur votre solvabilité passée. Ils permettent aussi de vérifier la véritable identité du demandeur afin d’éviter toute activité frauduleuse. Ce type de données peut être utilisé contre vous, par exemple sous forme de taux d’intérêt plus élevés ou de refus de prêt bancaire. Les principaux acteurs de ce secteur sont Experian, Equifax et Transunion.

    Comment puis-je sortir de ces listes ?

    Il est difficile de ne plus figurer sur les listes des courtiers, mais vous disposez pour cela de quelques possibilités. Vous pouvez contacter directement chaque courtier pour demander la suppression de vos données. Vous pouvez aussi payer une entreprise pour qu’elle le fasse à votre place. Ou vous pouvez tout simplement éviter de vous retrouver sur ces listes en appliquant quelques mesures simples pour protéger votre confidentialité en ligne.

    • Option 1 : désinscription 

      Cette option peut vous prendre beaucoup de temps, et elle n’est pas toujours efficace à 100 %. Privacy Rights Clearinghouse dispose d’une liste de courtiers en données, avec un lien vers chacune de leurs politiques de confidentialité, ainsi qu’une brève description du processus de désinscription. C’est un bon point de départ, mais se désinscrire des listes de chaque courtier en données exige de la patience, un suivi rigoureux et doit être fait de façon régulière pour être le plus efficace possible.

    • Option 2 : payer une entreprise pour vous désinscrire

      Gagnez du temps et utilisez un service comme AVG BreachGuard pour qu’il fasse tout le sale boulot à votre place. En plus de bénéficier d’une surveillance 24h/24, 7j/7 des risques liés à la confidentialité des données, vous serez également rapidement informé de qui vous piste.

    • Option 3 : éviter de vous retrouver sur ces listes

      Une autre possibilité est d’adopter un comportement plus intelligent en ligne en chiffrant vos données et en les gardant en lieu sûr. Il peut s’agir par exemple d’utiliser un navigateur sécurisé comme AVG Secure Browser, d’éviter les risques inutiles comme le fait d’ouvrir des messages inconnus, d’ouvrir des comptes au hasard et de télécharger des applications présentant des risques. Mais même ces habitudes de navigation plus sures ne sont pas forcément efficaces pour échapper aux courtiers en données. Et malgré tous vos efforts, vous ne pourrez jamais contrôler les fuites de données sur les sites légitimes, qui peuvent divulguer vos données sensibles au monde entier. C’est la raison pour laquelle il est si important de définir un plan de gestion des risques liés à la confidentialité des données.

    Protégez vos données de façon proactive avec AVG BreachGuard

    AVG BreachGuard est votre garde du corps numérique. Il vous protège 24 h/24 et 7 j/7 des menaces en lignes. Il offre trois couches de protection de la confidentialité :

    1. Surveillance des risques 24h/24, 7j/7 : si une fuite de données se produit, AVG BreachGuard le sait immédiatement. Nous surveillons en permanence le Dark Web pour voir si vos données ont fuité et vous avertir instantanément des menaces qui pèsent sur votre vie privée tout en vous disant comment y remédier.

    2. Désinscription des listes des courtiers en données : vous figurez déjà très certainement sur des centaines, peut-être même des milliers de listes de courtiers. AVG BreachGuard vous permet de voir quels types d’informations les courtiers en données collectent sur vous et exige automatiquement à ce que vous soyez désinscrit de ces bases de données.

    3. Vérification de la sécurité des comptes : faites un audit complet de votre présence sur Internet et bénéficiez de conseils pour mieux vous protéger (par exemple en renforçant vos mots de passe ou en optimisant les paramètres de vos comptes).

    Dans le monde actuel, il peut sembler impossible de bénéficier d’une véritable confidentialité numérique. Mais avec AVG BreachGuard pour vous protéger, vous n’avez plus à vous en soucier.

    Disponible aussi sur PC

    Disponible aussi sur PC

    Disponible aussi sur Mac

    Connectez-vous en privé sur votre iPhone avec le VPN AVG Secure

    Essai gratuit

    Connectez-vous en privé sur votre appareil Android avec le VPN AVG Secure

    Essai gratuit