IRCNF
Privacy & Data

L'économie des courtiers en données : comment des entreprises dont vous n'avez jamais entendu parler en savent plus sur vous que vos amis

Partager:
L'économie des courtiers en données : comment des entreprises dont vous n'avez jamais entendu parler en savent plus sur vous que vos amis

Quelqu'un que vous n'avez jamais rencontré a un profil de 3 000 points sur vous

Acxiom, une entreprise basée à Conway, dans l'Arkansas, connaît votre nom, toutes les adresses où vous avez vécu, votre revenu familial estimé, le type de voiture que vous conduisez, votre appartenance religieuse, vos tendances politiques et à quel des 70 « segments de style de vie » vous appartenez — des catégories comme « Familles florissantes » ou « Moyens modestes en milieu urbain ». Vous n'avez jamais fait affaire avec Acxiom. Vous n'en avez presque certainement jamais entendu parler. Ils s'en moquent. Vous êtes leur produit.

Bienvenue dans l'économie des courtiers en données : une industrie de 300 milliards de dollars par an construite presque entièrement sur des informations que vous n'avez jamais sciemment fournies à quiconque les a vendues.

L'ampleur est difficile à comprendre

Il existe des milliers de courtiers en données opérant aux États-Unis. Les noms bien connus — Acxiom, LexisNexis, Experian (pas seulement les rapports de crédit ; ils vendent aussi des données comportementales et démographiques), Oracle Data Cloud, la division des services de données d'Equifax — ne sont que la partie émergée de l'iceberg. En dessous se trouvent des centaines de petits agrégateurs, de sites de recherche de personnes, de sociétés d'analyse d'audience et de revendeurs de données. L'industrie ne nécessite pas de licence pour fonctionner. Il n'y a pas d'enregistrement fédéral. Dans la plupart des États, il n'y a aucune obligation d'enregistrement du tout.

Leur produit, c'est vous — ou plus précisément, une représentation statistique de vous assemblée à partir de sources que vous auriez du mal à énumérer.

Ce qu'ils savent réellement

Le profil qu'un grand courtier en données détient sur un adulte américain typique n'est pas abstrait. Il comprend probablement :

  • Nom complet, adresses actuelle et historiques, numéros de téléphone et adresses e-mail
  • Revenu estimé, valeur nette et capacité de dépenses
  • Historique d'achats provenant des programmes de fidélité des détaillants et des données de transactions par carte de crédit
  • Inscription à un parti politique et fréquence de vote (à partir des registres publics)
  • Appartenance religieuse (déduite des dons, de la démographie du quartier, des habitudes d'achat)
  • Problèmes de santé (déduits — non pas à partir de dossiers médicaux, mais d'achats de médicaments en vente libre spécifiques, d'aides à la mobilité, de compléments alimentaires et de dons à des associations liées à des maladies)
  • Situation amoureuse, composition du foyer et âges des enfants à la maison
  • Propriété d'un véhicule, marque, modèle et année
  • Historique de localisation dérivé des applications pour smartphone
  • Activité sur les réseaux sociaux et traits de personnalité déduits

Le système PersonicX d'Acxiom classe les Américains en 70 groupes de style de vie. Les segments d'Oracle Data Cloud se comptent par milliers. Ce ne sont pas de simples curiosités marketing — ils sont vendus comme des données d'entrée pour des décisions qui affectent votre vie.

Comment ils les collectent : la chaîne d'approvisionnement des données

Aucune source unique ne construit un profil complet. Les courtiers en données assemblent les leurs à partir de dizaines de pipelines fonctionnant simultanément :

  • Registres publics : La propriété immobilière, l'inscription sur les listes électorales, les dossiers judiciaires (y compris les procès civils, les divorces et les faillites) et les dossiers de véhicules à moteur sont publics dans la plupart des États américains. Les courtiers les aspirent en continu.
  • Données des détaillants et des programmes de fidélité : Lorsque vous utilisez une carte de fidélité d'épicerie ou une application de vente au détail, votre historique d'achats est fréquemment vendu ou concédé sous licence à des courtiers en données. La réduction est réelle. Le coût l'est aussi.
  • Données de localisation mobile : Des centaines d'applications — applications météo, jeux, applications de coupons — incluent des SDK tiers qui transmettent des données de localisation aux courtiers. Une enquête de 2021 menée par The Markup a révélé que des données de localisation étaient vendues, permettant de suivre des individus jusqu'à des entrées d'hôpitaux spécifiques, des lieux de culte et des refuges pour victimes de violence domestique.
  • Données partagées entre courtiers : Les courtiers achètent auprès d'autres courtiers. Les mêmes informations circulent et recirculent, chaque transaction enrichissant légèrement le profil.
  • Données d'en-tête de crédit : Les institutions financières partagent le nom, l'adresse et les données d'emploi (pas la cote de crédit elle-même, mais les informations d'en-tête) en vertu de dispositions légales spécifiques.

Profils fantômes : vous n'êtes pas obligé de participer

L'un des aspects les plus troublants de l'écosystème des courtiers en données est que le fait de se retirer de la vie numérique n'offre presque aucune protection. Si vous n'avez jamais eu de compte Facebook, Facebook a presque certainement un profil fantôme sur vous de toute façon — construit à partir de listes de contacts e-mail téléchargées par vos amis, de données de navigation collectées via le pixel Facebook intégré à des millions de sites Web, et de données achetées auprès de courtiers.

Ce n'est pas hypothétique. En 2018, lorsque le Congrès a interrogé Mark Zuckerberg sur les profils fantômes, il a confirmé la pratique. L'industrie des courtiers en données fonctionne sur le même principe à l'échelle industrielle : vous n'avez pas besoin d'interagir avec un courtier pour qu'il ait un dossier sur vous. Vos amis, vos achats, vos voisins et vos registres publics le font pour vous.

À quoi servent les données

La publicité ciblée est la surface visible. Les utilisations sous-jacentes sont moins discutées mais souvent plus lourdes de conséquences :

  • Sélection des locataires : Les propriétaires utilisent des rapports de courtiers en données qui peuvent inclure des dossiers d'expulsion, des antécédents criminels et des scores comportementaux — des données qui peuvent être inexactes et difficiles à contester.
  • Vérifications des antécédents professionnels : Une industrie importante opère dans ce domaine, et les erreurs dans les données sous-jacentes des courtiers se propagent dans les décisions d'embauche.
  • Tarification des assurances : Les assureurs dans certains États utilisent des « scores d'assurance basés sur le crédit » dérivés des courtiers en données, qui sont corrélés à la race et au revenu, facturant effectivement plus cher aux clients à faible revenu.
  • Souscription de prêts : Les modèles alternatifs de notation de crédit s'appuient sur des données comportementales provenant de courtiers pour prendre des décisions de prêt concernant les personnes ayant un dossier de crédit limité.
  • Micro-ciblage politique : Les deux principaux partis politiques américains achètent massivement des fichiers de courtiers en données. Les cycles électoraux de 2016 et 2020 ont impliqué un micro-ciblage à une échelle qui serait impossible sans l'infrastructure de l'industrie des courtiers.
  • Recouvrement de créances et fraude : La localisation de personnes (skip-tracing) — trouver des personnes qui ont déménagé — est une utilisation principale des données de recherche de personnes.

Les préjudices réels

Les préjudices découlant de l'activité des courtiers en données ne sont pas théoriques. Les sites de recherche de personnes — un sous-ensemble de l'industrie des courtiers orienté vers les consommateurs — ont été directement liés à des cas de harcèlement et de violence domestique, fournissant aux agresseurs des adresses actuelles en quelques secondes. Un rapport de 2023 de la National Domestic Violence Hotline a révélé que les sites de courtiers en données étaient un outil principal utilisé par les agresseurs pour localiser les victimes qui avaient fui.

La discrimination en matière d'assurance et de prêt basée sur des données démographiques déduites est un schéma documenté. Une enquête de ProPublica en 2020 a révélé que les algorithmes d'optimisation des prix — alimentés par les données des courtiers — facturaient des primes plus élevées dans les quartiers à prédominance noire, même lorsque les profils de risque étaient identiques.

Les violations de données chez les courtiers constituent également une catégorie de risque distincte. La violation d'Equifax en 2017, qui a exposé les données financières de 147 millions de personnes, et la violation de 2023 chez la société de vérification des antécédents National Public Data, qui a exposé les numéros de sécurité sociale pour environ 2,9 milliards d'enregistrements, illustrent ce qui se produit lorsque les fichiers agrégés détenus par les courtiers sont compromis.

Le paysage juridique : des droits qui existent et des droits qui n'existent pas

Si vous êtes dans l'Union européenne, le RGPD vous confère des droits significatifs : le droit d'accéder aux données qu'un courtier détient sur vous, le droit de les rectifier et le droit de demander leur suppression. Ces droits ont du poids — les amendes pour violations se chiffrent en centaines de millions d'euros.

En Californie, le CCPA et son extension de 2020, le CPRA, donnent aux résidents le droit de savoir quelles données ont été collectées, le droit de refuser leur vente et le droit à la suppression. La Californie gère également un registre des courtiers en données — les entreprises doivent s'enregistrer et fournir des mécanismes de retrait. Le Vermont et le Texas ont des registres similaires.

Ailleurs aux États-Unis : vous n'avez pratiquement rien. Il n'existe pas de loi fédérale sur la vie privée avec un droit d'action privé. La FTC peut poursuivre les pratiques trompeuses, mais le modèle économique de base consistant à acheter et vendre des données personnelles est légal. La plupart des États n'ont aucune réglementation sur les courtiers en données.

Ce que vous pouvez réellement faire

La réponse honnête est : pas autant que vous ne le devriez. Mais certaines actions ont un impact significatif :

  • Supprimez-vous d'abord des sites de recherche de personnes. Des sites comme Spokeo, BeenVerified, Whitepages et Intelius présentent le risque le plus élevé pour la sécurité physique. Soumettre des demandes de retrait spécifiquement à ceux-ci a la valeur protectrice la plus immédiate.
  • Utilisez un service de suppression de données. Des services comme DeleteMe, Kanary et Privacy Bee soumettent des demandes de retrait en votre nom et les soumettent à nouveau à mesure que les données se repeuplent (ce qui se produit généralement dans les trois à six mois). Ces services coûtent de l'argent mais font gagner beaucoup de temps.
  • Gelez votre crédit auprès des trois bureaux. Cela ne supprime pas les données des courtiers, mais cela empêche les demandes de crédit frauduleuses — l'une des utilisations en aval les plus dommageables des données personnelles exposées.
  • Auditez les autorisations de vos applications. Les autorisations de localisation accordées à des applications qui n'en ont pas besoin sont un pipeline direct de données vers les courtiers. Vérifiez et révoquez.
  • Utilisez un service de masquage d'e-mail (Hide My Email d'Apple, SimpleLogin, etc.) pour les programmes de vente au détail et de fidélité afin de limiter le recoupement de profils entre courtiers.

La mise en garde cruciale : les retraits sont un seau qui fuit. Les données rentrent dans les bases de données des courtiers en continu à partir de nouvelles transactions sources. L'action individuelle peut réduire l'exposition mais ne peut pas l'éliminer.

La seule solution qui fonctionnerait vraiment

Une législation fédérale complète sur la vie privée — calquée sur le RGPD mais adaptée aux structures juridiques américaines — avec un droit d'action privé permettant aux individus de poursuivre pour violations, changerait fondamentalement l'économie de l'industrie des courtiers. Sans la possibilité de poursuivre, les courtiers ne font face à aucune responsabilité individuelle. Les lois des États comme le CCPA sont significatives mais incomplètes : elles protègent les Californiens mais pas les 280 millions d'autres Américains, et elles sont soumises à des pressions constantes de lobbying pour les diluer.

Jusqu'à ce que cette législation existe, l'économie des courtiers en données continuera de fonctionner à grande échelle, classant les Américains en segments de style de vie, fixant le prix des assurances en fonction de la santé déduite et fournissant aux harceleurs des adresses actuelles. Le retrait individuel n'est pas une solution — c'est une façon de gérer les symptômes d'un problème structurel que seul un changement structurel résoudra.

privacygdprdata-brokerssurveillancepersonal-dataccpa
Partager:
L'économie des courtiers en données : comment des entreprises dont vous n'avez jamais entendu parler en savent plus sur vous que vos amis | IRCNF - Intelligent Reliable Custom Next-gen Frameworks