Nos données personnelles sont devenues un actif stratégique que l’on accepte souvent de partager en échange d’un service gratuit.
Si le service que l’on nous offre est gratuit, c’est que nous sommes certainement le produit à vendre…
Quand il s’agit de dérober vos données personnelles, les techniques d’abordage des pirates, et autres, sont aussi variées qu’inventives: pièces jointes, mails, SMS, bannières de publicité, appels téléphoniques, etc.
Pour eux, le jeu en vaut la chandelle car ces données font l’objet d’un marché discret, mais juteux.
Que valent nos données personnelles ?
Dans un désir de donner suite à notre article sur les pièges du phishing, nous voulions fournir plus d’informations sur le juteux marché que sont devenues nos données personnelles.
Les récentes et régulières affaires de revente ou d’échanges de données entre géants du numérique (Cambridge Analytica, Facebook, Google, Whatsapp, les divers piratages…) nous ont fait prendre conscience que l’actif le plus précieux de nombre d’entreprises aujourd’hui se construit sur la collecte et l’exploitation de nos propres données.
Le phishing est l’une des cyberattaques les plus répandues : 140 tentatives d’hameçonnage sont recensées chaque heure. Ces dernières ont un objectif clair : le vol de données personnelles.
Que sont : "les données personnelles" ?
Les récentes et régulières affaires de revente ou d’échanges de données entre géants du numérique (Cambridge Analytica, Facebook, Google, Whatsapp, les divers piratages…) nous ont fait prendre conscience que l’actif le plus précieux de nombre d’entreprises aujourd’hui se construit sur la collecte et l’exploitation de nos propres données.
Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise.
En d’autres termes, les données pouvant être utilisées pour identifier une personne directement (ex: nom et prénom) ou indirectement (ex: un numéro de téléphone ou de plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou mail, mais aussi la voix ou l’image).
L’identification d’une personne physique peut être réalisée à partir d’une seule donnée (exemple : nom), à partir du croisement d’un ensemble de données (ex: une femme vivant à telle adresse, née tel jour et membre de telle association).
Données personnelles
- Adresse e-mail (ex: prénom.nom@entreprise.com)
- Numéro de téléphone
- Numéro de carte d'identité
- Numéro d'immatriculation de la voiture
- Données de localisation (ex. à partir d'un téléphone)
- Adresse IP
- Dossiers des patients
- Dossiers vétérinaires d'un animal de compagnie
- Données sur les maladies héréditaires...
- Réseaux sociaux
Données anonymes
- ID (identifiant) d'une entreprise
- Adresse e-mail partagée (ex: info@entreprise.com
- Données personnelles sous pseudonyme
- Données anonymisées...
Sur le même sujet
Mysterious dark data
Cybersécurité et petites entreprises.
Valeur de nos données personnelles
10 Conseils pour protéger vos données
Pièges du « Phishing », les reconnaître
Sécurité : Comment protéger mon site
Marketing ciblé.
Il n’est pas rare de recevoir une annonce par mail, sms ou autre dont on peut être surpris, voire impressionné, de la pertinence par rapport à vos intérêts ou situation du moment.
Certains attribuent ceci à une coïncidence, mais ce genre de précision n’arrive pas par hasard. Ce qui est plus probable, c’est que l’entreprise a acheté préalablement vos informations auprès d’un Data broker ou courtier de données.
Data brokers, le courtage de données, est une industrie de plusieurs milliards de dollars composée d’entreprises qui collectent des données sur les consommateurs et les vendent à d’autres entreprises, généralement à des fins de marketing.
Jusqu’à présent, les GAFAM étaient considérés comme les grands méchants du data-capitalisme. Ce n’est pourtant que la partie émergée de l’iceberg…
Quelles données sont recherchées?
Lors d’un précédent article sur l’hameçonnage, nous vous avions présenté comment les hackers s’efforcent de récolter nos précieuses données. Bien plus qu’un marché illégal de vente et partage dans le dark web, nous allons présenter ici le marché gris de la donnée.
Avant de continuer, il faut se poser la question du type de données personnelles que ces acteurs collectent et ce qu’ils peuvent en déduire sur nous.
La réponse est simple et terrifiante : à peu près tout.
C’est un marché semi-clandestin dans la mesure où la plupart opèrent aux États-Unis à la limite de la légalité. Ils n’ont pas de garde-fous juridiques comme en Europe avec le RGPD.
Appelé « marché gris », car il est mécaniquement impossible de savoir avec précision combien de data brokers sont actifs et quelle quantité d’informations est vendue chaque seconde.
Ces courtiers en données sont des entreprises qui collectent des informations à partir de dossiers publics, d’activités en ligne et d’historiques d’achat, puis les revendent à d’autres entreprises à des fins de marketing.
Plus les entreprises en savent sur les consommateurs, plus elles peuvent cibler (et réussir) leurs publicités, raison pour laquelle les data brokers essaient de collecter autant d’informations que possible.
Et la collecte de données ne fait qu’augmenter au fil du temps.
Comment captent-ils nos données ?
Le plus simplement du monde. Effectivement, quotidiennement, nous semons des informations, nos trajets sur Google Maps ou nos habitudes de consommation sur Amazon. Il n’est pas rare que votre navigateur Web n’attende pas votre retour d’un voyage dans l’Arctique pour inonder de propositions de croisières polaires !
Dans le détail, les data brokers passent des accords avec des sociétés qui autorisent la réutilisation et la revente des données personnelles de leurs utilisateurs. Avec ou sans leur consentement.
Les principaux moyens de collecte sont soit :
- directement renseignées par l’internaute : lors de la création d’un compte (souvent obligatoire) pour accéder au service d’un site (formulaire pouvant questionner sur l’âge, les coordonnées etc…),
- les données enregistrées : sur un point de vente, ou lors d’un événement (remplissage d’un formulaire papier, création d’une carte de fidélité…).
Puis il y a les données “comportementales” qui sont récoltées plus discrètement afin d’identifier les modes de navigation ou les centres d’intérêt d’un individu :
- via les cookies : le cookie est un petit fichier texte enregistré sur l’ordinateur d’un internaute lorsqu’il visite une page web. Les pages visitées ou les recherches effectuées sur un site peuvent être enregistrées via ce cookie puis exploitées pour proposer des annonces publicitaires très ciblées.
- via le “search” : toutes nos recherches effectuées sur Google notamment sont enregistrées, au vu de connaître nos intentions d’achats, affinités etc…
- via le navigateur : par exemple avec le remplissage automatique des formulaires que propose Chrome. Chaque visite de page internet est automatiquement traquée et collectée par Google si l’utilisateur a un compte Chrome. Chrome collecte également son historique de navigation, ses mots de passe, les permissions particulières selon les sites web, les cookies, l’historique de téléchargement et les données relatives aux extensions.
Je n’ai pas Internet, donc mes données sont sûres ?
Cela semble simple et évident, si aucun appareil n’est connecté il n’y a pas de fuite de données. Et bien détrompez-vous !
Effectivement même si vous faites votre maximum pour éviter de laisser la moindre trace personnelle sur internet, il suffit qu’un de vos proches (famille, amis, collègue…) vous a enregistré dans son téléphone comme contact, ou vous a nommé, cité ou posté une photo ou vous apparaissez, ou encore faites partie d’un groupe… est suffisant pour que vos données deviennent accessibles pour ces courtiers.
A quel point ce marché est juteux?
Il est difficile d’obtenir des chiffres exacts, tant l’opacité de ce marché est importante.
Cependant on peut estimer que le courtage de données est une industrie pesant $200 milliards, et ne montre aucun signe de devenir moins rentable.
A titre d’exemple, Acxiom, considéré comme leader du marché, estime détenir plus de $700 millions de données sur les consommateurs à travers le monde, lui permettant de dégager un revenu d’environ $1 milliard.
Mais comment font-ils de leur argent?
Car la valeur unitaire ne vaudrait qu’une dizaine à un peu plus d’une centaine de dollars suivant le paramètre « moments de vie » (mariage, grossesse, achat de véhicule…).
Raison pour laquelle la plupart des data brokers vendent les informations sous forme de listes d’informations des personnes appartenant à des catégories spécifiques.
La plupart du temps, ces listes sont triées par centres d’intérêt et caractéristiques comme, par exemple « Nouveaux parents » ou « Accros au yoga ».
La valeur de ces listes dépend de la pertinence des critères ainsi que leur nombre. Dans certains cas, cependant, les listes sont un peu plus discutables. Par exemple, Une entreprise a vendu des listes contenant des informations de 1 000 personnes souffrant de problèmes de santé tels que l’anorexie, la toxicomanie et la dépression pour $79.
Comme nous le savons les pirates aussi collectent et vendent des données collectées illégalement. Et cela aussi peut rapporter.
L’achat ou la revente de ces données se fait sur le dark web, via des « magasins en ligne frauduleux ».
Le prix auquel s’échangent ces informations est variable.
Une carte bancaire française se revend environ $6.
Il faut compter $220 pour un compte personnel Twitter (le prix variant selon la personne qui détient le compte).
Ces données peuvent également se vendre par lot : 100 comptes Facebook, par exemple, sont estimés à $2500.
En récupérant des données sensibles (ex: conversations privées ou photos intimes d’entrepreneurs ou de personnages politiques), leur revente peut déclencher de véritables scandales publics.
Tout cela uniquement pour le marketing ?
La collecte de données n’a fait qu’augmenter au fil du temps, et le marketing commercial n’est plus l’unique emploi de ces données.
Comme l’affaire Cambridge Analytica l’a démontré, ou encore l’ingérence russe lors des élections américaines, les croisements d’informations peuvent désormais servir à un ciblage politique de profils d’électeurs lors d’une campagne électorale.
Les enjeux géostratégiques de la maîtrise des données sont gigantesques et encore sous-estimés. Ils tendent à s’accroître avec la numérisation de la planète, notamment celle des armées, ainsi qu’avec l’accentuation de la rivalité américano-russo-chinoise.
La catégorisation présente de sérieux risques de discrimination déjà visibles en Chine à l’instar du « score social » mis en place, ou encore de l’extrême surveillance des Ouïgours, qui ne peuvent effectuer un déplacement quotidien sans que les autorités chinoises en soient informées.
L’idée d’une police prédictive fait également son chemin en Europe et est déjà bien avancée aux Etats-Unis, où les essais ont abouti à des dérives de profilage ethnique et racial à l’encontre des personnes noires et originaires d’Amérique du Sud.
La collecte invisible concerne aussi la surveillance des individus. Et à ce titre, la crise sanitaire a permis, pour la première fois, de faire un test grandeur nature des technologies de reconnaissance.
Des caméras ont été utilisées pour détecter le port du masque à Cannes et dans les couloirs du métro à Châtelet-Les Halles, avant que la CNIL ne monte au créneau. Les drones ont commencé à fleurir dans le ciel de France, avant que le gouvernement n’intervienne.
Ce mouvement de banalisation a accéléré les dynamiques qui étaient déjà à l’œuvre, notamment autour de la reconnaissance faciale. Comme pour le trading des datas, il y a tout un tas d’acteurs invisibles du grand public qui œuvrent à la massification de ce type de technologies.
Celui qui détient l'information, détient le pouvoir. Celui qui l'entretien, détient le monde.
Ne peux-t'on rien faire ?
En Europe depuis 2018 est entré en vigueur le respect des exigences du règlement général sur la protection des données (RGPD) basé sur 4 principes :
- le consentement de l’internaute
- la transparence : les entreprises doivent fournir des informations claires sur la manière dont nos données seront traitées
- le droit d’accès et de rectification de nos données
- la responsabilité des entreprises : mise en place de sanctions sévères si l’entreprise ne respecte pas le RGPD
Aux Etats-Unis, proposition de la loi « DASHBOARD », (Designing Accounting Safeguards to Help Broaden Oversight And Regulations on Data) qui forcerait les fournisseurs de services cumulant plus de 100 millions d’utilisateurs actifs par mois (autrement dit, les GAFA) à calculer et à révéler la valeur des données personnelles qu’ils collectent, dans un souci de transparence.
D’autres initiatives proposant de rémunérer l’internaute pour le partage de ces données sont aussi à l’étude dans différents Think Tanks.
Pour rappel en Suisse, le traitement des données personnelles et sensibles est soumis à la Loi fédérale sur la Protection des Données (LPD).
La collecte n’étant possible qu’avec le consentement préalable et éclairé de la personne concernée.
Peux t'on récupérer les données ainsi captées ?
Certes, cet article semble bien pessimiste, et laisse supposer que l’on a perdu le contrôle de nos données… Rassurez-vous, le vent est en train de tourner…
Le comité européen de la protection des données (EDPD) , ayant longtemps été considéré trop souple, sort enfin ses griffes, et inflige des amendes régulièrement aux entreprises contrevenant le règlement RGPD. Accusant même les organismes européens de contrôle trop laxistes (comme l’Irlande récemment, par exemple).
Ils ont modifié la loi sur les marchés numériques (DMA), prévoyant ainsi des sanctions économiques pouvant aller jusqu’à 10% du chiffre d’affaires mondial. Et multiplié les plaintes et dénoncé les monopoles des GAFAM.
Les scandales des fuites de données ainsi que les plaintes déposées, ont poussé Mark Zuckerberg a annoncé que Facebook n’alimentait plus les Data Brokers en données. Et de proposer une page dédiée aux informations collectées (accessible ici), permettant de télécharger les données le concernant.
Apple à modifier son iOS 14.5 obligeant les applications à recueillir le consentement de l’utilisateur, ou de désactiver le pistage publicitaire pour toutes les applications
Ou encore, Google de proposer une page résumant l’ensemble de l’activité utilisant ses services, baptisée « My Activity« .
Ces exemples démontrent bien qu’une conscience sur la protection des données est bel et bien en marche.
C'est donc le far-West ?
Certes, cet article semble bien pessimiste, et laisse supposer que l’on a perdu le contrôle de nos données… Rassurez-vous, le vent est en train de tourner…
Le comité européen de la protection des données (EDPD) , ayant longtemps été considéré trop souple, sort enfin ses griffes, et inflige des amendes régulièrement aux entreprises contrevenant le règlement RGPD. Accusant même les organismes européens de contrôle trop laxistes (comme l’Irlande récemment, par exemple).
Ils ont modifié la loi sur les marchés numériques (DMA), prévoyant ainsi des sanctions économiques pouvant aller jusqu’à 10% du chiffre d’affaires mondial. Et multiplié les plaintes et dénoncé les monopoles des GAFAM.
Les scandales des fuites de données ainsi que les plaintes déposées, ont poussé Mark Zuckerberg a annoncé que Facebook n’alimentait plus les Data Brokers en données. Et de proposer une page dédiée aux informations collectées (accessible ici), permettant de télécharger les données le concernant.
Apple à modifier son iOS 14.5 obligeant les applications à recueillir le consentement de l’utilisateur, ou de désactiver le pistage publicitaire pour toutes les applications. (Pub vidéo)
Ou encore, Google de proposer une page résumant l’ensemble de l’activité utilisant ses services, baptisée « My Activity« .
Ces exemples démontrent bien qu’une conscience sur la protection des données est bel et bien en marche.
Nous finirons cet article avec une note positive, car plein de projets sont encore à l’étude autour de la protection de nos données personnelles comme : La monétisation de nos données, ou une identification avec un compte unique, et encore la suppression des cookies…
L’avenir nous le dira !
