Au 21ème siècle, nous avons deux identités. Celle de notre naissance (sexe, date de naissance) comprenant également celle que nous communique l’état-civil (nom, prénom et filiation). La seconde que l’on appelle numérique existe depuis la fin des années quatre vingt dix. C’est celle que nous attribue les applications que nous employons. Ces données sont devenues un marché expansionnel au fur et à mesure que les outils de communication prenaient de l’importance. Suivant les générations, en France les utilisateurs vont passer en moyenne quatre heures par jour avec des pics bien plus élevés chez les plus jeunes. Et puis il faut reconnaître qu’une majorité d’applications incitent les utilisateurs à rester derrière l’écran. L’intérêt étant de capter au maximum d’informations pour ensuite les revendre. Des applications de réseaux sociaux ont bien compris l’intérêt de garder dans leurs écosystème les utilisateurs, car plus ils restent longtemps, plus elles gagnent de l’argent.
Tout ce que je viens d’indiquer, vous le connaissez. Assurément, mais vous êtes-vous demandé ce qu’elles deviennent et comment et surtout à qui elles sont vendues ? Et comment elles vont être transformées par ceux qui les ont achetées ?
Acheter et vendre des données
S’il est un métier qui est né avec l’Internet, c’est bien celui de courtier en données. Appelé également data broker, il a pour but d’abord de collecter des informations personnelles sur les utilisateurs. Cela peut venir de multiples sources. Cela inclut des sources publiques (registres électoraux, acte de propriété, contrat de location, ….). Également de sources commerciales (carte de fidélité, historique d’achat, jeux-concours, ….) Et bien sûr toutes les collectes s’effectuent à partir des sources en ligne (pistage via les cookies, applications mobiles, réseaux sociaux, ….). C’est devenu en quelques années les principales sources d’informations sur une personne. Les types de données qui sont collectées sont très variées et “aspirées” de la majeure partie des actions qu’entreprend un utilisateur ne serait-ce que pour s’informer.
Ces données peuvent concerner les données personnelles comme le nom, prénom, filiation, adresse postale, âge, numéro de téléphone, et email. On va trouver ensuite les données démographiques avec les revenus par foyer et par personne au sein du foyer. Également le niveau d’éducation, la situation familiale et enfin la profession. On passe ensuite aux données comportementales avec l’historique d’achats, (en ligne et hors ligne) les sites web visités, les applications utilisées comme les échanges sur les réseaux sociaux ou forum. On finit avec les données sensibles comme des informations sur la santé de l’utilisateur, l’origine ethnique ou les croyances religieuses. Toutes ces informations qui concernent chaque utilisateur, sont collectées pour la plupart en sachant que l’utilisateur a consenti à ce qu’elles soient récupérées. Mais lui-même a-t-il réellement conscience de ce qui est collecté ?
Comment s’effectue la collecte des données ?
Justement, arrêtons-nous un instant sur ce qui est collecté comme données et comment elles les sont. Ces collectes sont ce que l’on appelle l’empreinte numérique. Mais pour bien quantifier et les qualifier les informations générées, il est important de bien comprendre les deux composantes qui la composent.
L’empreinte active
La première est l’empreinte active ou traces intentionnelles. Elles sont partagées de manière délibérée par l’utilisateur qui a conscience de l’action.Elles concernent :
- la publication sur les réseaux sociaux,
- les communications directes comme l’envoi et la réception de courriers électroniques,
la soumission de formulaire comme l’inscription à des newsletter ou création d’un compte, - les contribution publiques comme la publication de commentaires sur des blogs ou sites,
- enfin l’action de consentement qui peut être d’accepter des cookies par exemple.
L’empreinte passive
Il y a ensuite l’empreinte passive ou la collecte invisible. Cette dernière est le cœur de l’économie de la donnée. On peut citer :
- les informations de connexions comme l’adresse IP de l’outil informatique (ordinateur, smartphone, imprimante, etc…) qui sera systématiquement enregistrée. Permet de situer la localisation géographique approximative de l’utilisateur. S’y ajoute le type d’appareil utilisé (ordinateur de bureau, ordinateur, portable, smartphone, etc….) comme le système d’exploitation, l’identifiant unique du navigateur et de l’ordinateur, smartphone, etc….
- on trouve ensuite l’historique de navigation et d’utilisation. Cela concerne les sites web visités par l’utilisateur, le temps passé sur chaque page, les liens cliqués. Également, et cela beaucoup l’ignore, les mouvements du curseur de la souris comme la vitesse de défilement de la page.
- il y a bien sûr les cookies et les traceurs, que ce soit sur les sites web que dans les courriers électroniques avec les images transparentes
- on ne peut pas oublier les métadonnées de localisation puisque les smartphones comme les application collectent des données de géolocalisation via le GPS, les réseaux Wifi et les antennes-relais et cela sans qu’il y est une interaction active de l’utilisateur,
- enfin on finira avec le profilage publicitaire passif. C’est tout ce qui concerne les “likes” ou les partages qui vont être utilisées de manière passives par les algorithmes des plateformes pour créer ces fameux profils psychographiques (photographie de l’utilisateur) et ainsi le cibler avec des contenus publicitaires spécifiques.
Une photographie numérique faite de données
Toutes ces informations sont collectées sans que l’utilisateur en soit pleinement conscient et permettent avec l’empreinte active et passive, d’établir une photographie numérique de chaque utilisateur. Pour bien comprendre la quantité de données qui sont créées chaque jour, j’ai bien dit créées, quelques chiffres qui risquent de donner le tournis :
au niveau mondiale :
Le rythme de création est estimé à environ 2,5 quintillions d’octets de données par jour. (Un quintillion équivaut à un milliard de milliards).
Une statistique fréquemment citée indique que 90 % de toutes les données mondiales ont été créées au cours des deux dernières années , illustrant une croissance exponentielle.
Des estimations plus récentes pour 2024 évaluent la génération quotidienne de données (créées, capturées, copiées et consommées) à environ 402,74 millions de téraoctets.
Les prévisions indiquent que l’humanité créera 463 exaoctets de données chaque jour d’ici 2025.
Le volume total de données stockées dans le monde devrait dépasser 200 zettaoctets d’ici 2025. Un zettaoctet équivaut à environ un trillion de gigaoctets.
au niveau d’un utilisateur :
Chaque minute de la journée, on observe : 4 146 600 vidéos vues sur YouTube, 456 000 tweets envoyés, et 527 760 photos partagées sur Snapchat.
Google traite en moyenne plus de 40 000 requêtes de recherche chaque seconde , ce qui équivaut à plus de 3,5 milliards de recherches par jour sur cette seule plateforme (sur un total mondial de 5 milliards).
Le nombre d’emails envoyés et reçus chaque jour était estimé à 361 milliards en 2024.
Plus de 300 millions de photos sont téléchargées sur Facebook chaque jour.
au niveau des appareils :
On estime que 127 nouveaux appareils se connectent à Internet chaque seconde.
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frLe nombre d’appareils IoT (Internet des Objets) connectés devrait atteindre 41,6 milliards d’ici 2025.
D’ici la fin de l’année 2025, plus d’un quart des données créées seront en temps réel, et l’IoT représentera plus de 95 % de ce volume.
Internet est partout
Tout d’abord, on constate qu’en 30 ans, l’Internet a pris une place prépondérante dans la vie de la plus grande partie des habitants du globe. Tout s’échange, s’achète, se loue, comme se vole et fait même qu’on peut tuer via ce mode de communication. L’enlever demain, c’est mettre à genoux à tous les niveaux une bonne partie des continents, avec un retour ou l’échange de données ne se ferait plus dans l’instant. Pire, cela pourrait déclencher des conflits régionaux ou mondiaux. Le second facteur est que le commerce devient de plus en plus lié à l’emploi de l’Internet mais surtout des applications. Avec celles-ci, des achats, des ventes se font mais également on peut cerner au plus près chaque utilisateur pour anticiper ses besoins à tous les niveaux.
Le parcours des données
Justement, après la collecte de ces données, celles-ci vont être agrégé avec d’autres bases de données, elles seront croisées et filtrées. Après toutes ces opérations, elles seront revendues à d’autres entreprises. Généralement des régies publicitaires afin de cibler avec des publicités de manière très précise. Au secteur financier afin de s’assurer de la solvabilité d’un emprunteur. Également aux assurances pour évaluer les risques et adapter les primes demandées. Enfin aux ressources humaines d’une entreprise qui peuvent acheter ces données pour vérifier les antécédents des candidats.
Bon, vous allez me dire que le RGPD (Règlement Général sur la Protection des Données) encadre strictement ces pratiques, notamment en exigeant un consentement valide pour la collecte et l’utilisation des données. Des organismes comme la CNIL en France surveillent et sanctionnent les entreprises (y compris les courtiers en données) qui ne respectent pas ces règles. Tout cela est pour la communication et affirme que l’Europe montre les crocs contre les voleurs de données à l’insu de l’utilisateur. Mais soyons réaliste, combien de temps se passe entre le moment où une application est mise en ligne et le moment où elle va être interdite car ne respectant pas le RGPD ? Un certain temps, et ce certain temps permet de collecter le maximum d’informations à l’insu de l’utilisateur.
Un temps certain
Un exemple parmi tant d’autres, la société Clearview AI, qui est une entreprise états-unienne connue pour avoir créé l’une des plus grandes bases de données de reconnaissance faciale au monde. Elle aspirait des milliards de photos sur les réseaux sociaux et le web (un courtier en données biométriques, en quelque sorte). On lui a reproché la collecte et l’utilisation de données biométriques (visages) de citoyens européens sans aucune base légale ni consentement. En octobre 2022, la CNIL a prononcé une amende de 20 millions d’euros ET une injonction d’arrêter de collecter les données de personnes en France et de supprimer les données déjà collectées. C’est une interdiction pure et simple de leur service sur le territoire.
Vous vous dites sûrement que tout est bien qui finit bien. Assurément, mais maintenant voici quelques dates :
- Lancement de l’entreprise : Environ 2017.
- Entrée en vigueur du RGPD : Mai 2018.
- Premières plaintes en France : Mai 2020.
- Mise en demeure (avertissement) : Novembre 2021.
- Sanction et « barrage » : Octobre 2022.
- Temps écoulé : Il s’est passé environ 2 ans et 5 mois entre les premières plaintes et le « barrage » final. Et plus de 4 ans après l’entrée en vigueur du RGPD.
Pendant toutes ces années, la société a pu librement, à l’insu de l’utilisateur, effectuer la collecte de visage. Et vous croyez qu’elle est la seule ? Le délai entre le moment où l’application a été mise en ligne pour l’aspiration de données et le moment où la sanction est effective se compte en années. Entre trois et cinq ans suivant la complexité des enquêtes.
Chacun à un identité numérique
En définitive, notre identité numérique, façonnée par une collecte de données omniprésente et souvent invisible, est devenue un enjeu majeur de notre société. Les chiffres vertigineux de la création de données et l’analyse des empreintes actives et passives révèlent l’ampleur d’un phénomène qui, en 30 ans, a profondément transformé nos vies et l’économie mondiale. Si des régulations comme le RGPD existent pour encadrer ces pratiques, l’exemple de Clearview AI démontre avec force que le chemin est encore long entre la mise en place d’une loi et son application effective. Les délais d’action des autorités permettent aux courtiers en données de prospérer pendant de longues périodes, collectant des informations à l’insu des utilisateurs.
Il est donc impératif de renforcer non seulement les mécanismes de surveillance et de sanction, mais aussi et surtout la sensibilisation des individus. Chaque utilisateur doit prendre conscience de la valeur de ses données et des implications de leur partage. L’avenir de notre vie privée dépendra de notre capacité collective à exiger une plus grande transparence et une protection plus efficace de ce qui constitue désormais une part essentielle de nous-mêmes : notre identité numérique.
Avant de lire cet article, étiez-vous conscient de toutes les données qui sont collectées de manière actives mais surtout passives quand vous employez une application ou simplement vous allez parcourir un site web ? Venez-nous dire ce que vous en pensez dans les commentaires.
FAQ sur notre identité numérique
Qu’est-ce que l’identité numérique ?
C’est l’identité que nous attribuent les applications que nous utilisons, distincte de notre identité civile de naissance.
Qu’est-ce qu’un courtier en données (data broker) ?
C’est un métier né avec Internet dont le but est de collecter des informations personnelles sur les utilisateurs à partir de multiples sources (publiques, commerciales, en ligne) pour les revendre.
Quels types de données sont collectées ?
Les données personnelles (nom, adresse, âge), démographiques (revenus, éducation), comportementales (historique d’achats, sites visités) et sensibles (santé, origine ethnique, croyances religieuses).
Qu’est-ce que l’empreinte numérique ?
C’est l’ensemble des informations générées par un utilisateur. Elle se compose de l’empreinte active (traces intentionnelles comme les publications sur les réseaux sociaux) et de l’empreinte passive (collecte invisible comme les informations de connexion, l’historique de navigation, les cookies, les données de géolocalisation et le profilage publicitaire passif).
À qui les données collectées sont-elles revendues ?
Elles sont généralement revendues à des régies publicitaires pour du ciblage précis, au secteur financier pour évaluer la solvabilité, aux assurances pour évaluer les risques, et aux ressources humaines pour vérifier les antécédents des candidats.
Le RGPD protège-t-il efficacement nos données ?
Le Règlement Général sur la Protection des Données (RGPD) encadre ces pratiques, mais son application effective prend du temps. L’exemple de Clearview AI montre qu’il peut s’écouler plusieurs années entre les plaintes et les sanctions, permettant aux entreprises de collecter des données à l’insu des utilisateurs pendant cette période.
