IRCNF
Privacy & Data

L'identifiant publicitaire de votre téléphone est toujours vendu. Voici les courtiers en données qui le font.

Partager:
L'identifiant publicitaire de votre téléphone est toujours vendu. Voici les courtiers en données qui le font.

En avril 2021, Apple a rendu obligatoire l'App Tracking Transparency : les applications doivent demander l'autorisation avant d'accéder à l'IDFA (Identifier for Advertisers). Les taux d'opt-in se sont stabilisés autour de 25 % dans le monde. Google a annoncé une initiative parallèle, Privacy Sandbox, pour Android, visant à supprimer le GAID (Google Advertising ID) de la même manière. Les défenseurs de la vie privée ont salué ce moment comme un tournant pour le suivi mobile. Trois ans plus tard, l'écosystème des identifiants publicitaires s'est adapté plutôt que de s'effondrer — et le marché des courtiers en données pour les identifiants mobiles est plus vaste qu'avant ces changements, pas plus petit.

Comment fonctionnent les identifiants publicitaires mobiles et pourquoi ils comptent

L'IDFA et le GAID sont des chaînes uniques attribuées à chaque appareil mobile, distinctes des identifiants matériels. Ils sont conçus pour être réinitialisables par les utilisateurs — mais en pratique, la plupart des utilisateurs ne les réinitialisent jamais. Les identifiants permettent aux annonceurs de suivre le comportement d'un utilisateur à travers plusieurs applications (là où le développeur a intégré le même SDK), d'attribuer des installations d'applications à des annonces spécifiques, et de construire des profils comportementaux inter-applications.

Contrairement à un cookie, qui est spécifique au navigateur et à l'appareil, un identifiant publicitaire mobile persiste après les réinstallations de l'application (jusqu'à réinitialisation manuelle) et est accessible à toute application que l'utilisateur installe et qui implémente les SDK standard de suivi publicitaire. Sur iOS, avant l'ATT, plus de 80 % des applications accédaient couramment à l'IDFA. Après l'ATT, ce chiffre a chuté — mais les applications qui reçoivent encore un consentement forment un réseau dense d'utilisateurs très engagés, plus précieux par identifiant pour les annonceurs, pas moins.

Le marché des courtiers en données que l'ATT a créé — pas tué

Sensor Tower, une société d'intelligence mobile, a publié un rapport au quatrième trimestre 2024 montrant que le marché du trading d'identifiants publicitaires mobiles a atteint 8,2 milliards de dollars en 2024, contre 6,1 milliards en 2020 — avant l'ATT. Cette croissance est contre-intuitive jusqu'à ce que l'on comprenne le mécanisme : l'ATT a réduit l'offre d'IDFA iOS ayant fait l'objet d'un opt-in, ce qui a augmenté leur prix unitaire. Les identifiants restants proviennent d'utilisateurs qui ont activement consenti, ce qui en fait des leads de meilleure qualité, valant plus par identifiant.

Les courtiers opérant sur ce marché incluent des noms que la plupart des consommateurs n'ont jamais entendus. Acxiom, une filiale d'IPG, maintient des profils sur environ 700 millions d'appareils mobiles dans le monde, en croisant les IDFA et GAID avec des données d'achat hors ligne, un historique de localisation et des informations démographiques achetées auprès de détaillants. Oracle Data Cloud (anciennement Datalogix, acquis en 2014) maintient une base de données d'échelle similaire. La plateforme de résolution d'identité de LiveRamp traite plus de 160 milliards de correspondances d'identité entre appareils par mois, selon leur dépôt 10-K de 2024.

Ce que les courtiers en données savent vraiment à partir de votre identifiant

Un seul identifiant publicitaire isolé ne contient aucune information personnelle — c'est une chaîne aléatoire comme « A1B2C3D4-E5F6-7890-ABCD-EF1234567890 ». La valeur réside dans ce qui y est rattaché via une collecte longitudinale de données et un croisement. Un profil typique de courtier lié à un IDFA inclut : les habitudes d'utilisation des applications (quelles applications vous utilisez, pendant combien de temps, à quels moments), l'historique de localisation à une précision de latitude/longitude provenant des intégrations SDK de localisation, les détails sur le type d'appareil et le système d'exploitation, les données démographiques inférées (âge, sexe, tranche de revenus) par modélisation comportementale, les signaux d'intention d'achat issus des comportements dans les applications de shopping, et dans certains cas, des inférences liées à la santé provenant d'applications de fitness et médicales.

Une étude de la Sanford School of Public Policy de l'Université Duke publiée en février 2024 a testé les offres de données de 12 grands courtiers en données. Les chercheurs ont découvert que pour 0,13 $ par enregistrement, ils pouvaient acheter des fichiers de données contenant l'IDFA ou le GAID, un historique de géolocalisation à une précision de 10 mètres remontant sur 12 mois, et des attributs inférés incluant « probablement enceinte », « foyer VIH-positif » et « chercheur de traitement pour abus de substances » — tous dérivés de visites de lieux et d'habitudes d'utilisation d'applications. Ces données sont vendues sans aucun mécanisme de consentement autre que les clauses dûment enfouies de partage de données dans les conditions d'utilisation des applications.

Les SDK qui permettent cela — encore présents dans des millions d'applications

La collecte de données s'effectue principalement via des SDK publicitaires et d'analyse que les développeurs d'applications intègrent pour monétiser leurs applications. Les plus grands réseaux de SDK en termes de base installée incluent Adjust (propriété d'AppLovin), AppsFlyer, Branch et ironSource. Ces SDK sont présents dans des centaines de milliers d'applications. Lorsque vous ouvrez une application contenant ces SDK, votre IDFA est envoyé au serveur du fournisseur de SDK, où il est mis en correspondance avec leur graphe d'identité inter-applications.

Les chercheurs d'AppCensus (un cabinet d'audit de confidentialité mobile) ont analysé 25 000 applications iOS en 2024 et ont constaté que 63 % contenaient au moins un SDK tiers envoyant l'IDFA hors de l'appareil, même pour des applications qui prennent nominalement en charge l'ATT. Le mécanisme : les fournisseurs de SDK ont découvert que de nombreux développeurs implémentent incorrectement l'invite ATT — ou ne l'implémentent pas du tout — et l'IDFA est transmis indépendamment du statut de consentement de l'utilisateur. L'application par Apple de la conformité ATT dans le code des SDK tiers est gérée via l'examen de l'App Store, mais le processus d'examen ne détecte pas toutes les violations, en particulier celles dans les SDK qui utilisent le chargement de code dynamique.

Privacy Sandbox de Google pour Android : encore reporté

Google a annoncé en 2022 qu'Android déprécierait le GAID d'ici 2024, le remplaçant par une approche Privacy Sandbox utilisant Topics API (ciblage basé sur les centres d'intérêt sans partage d'identifiant inter-applications) et Attribution Reporting API (mesure de conversion sans identification de l'utilisateur). La dépréciation a été repoussée à plusieurs reprises. À la mi-2025, le GAID reste entièrement disponible sur tous les appareils Android. Le calendrier annoncé par Google est désormais 2026 pour un « déploiement plus large » des alternatives Privacy Sandbox, sans date ferme de dépréciation du GAID.

Le retard est en partie technique (les alternatives Privacy Sandbox performent moins bien pour les annonceurs que le ciblage basé sur le GAID dans les tests A/B, selon des documents internes de Google divulgués dans le procès antitrust du DOJ) et en partie commercial (Google fait face à une opposition significative de la part de ses partenaires de l'écosystème publicitaire qui dépendent du GAID pour leurs activités). Le résultat pratique : la base de 3 milliards d'utilisateurs d'appareils Android reste entièrement suivie par défaut en 2025 et probablement en 2026.

Vos options réelles pour réduire l'exposition

Les mesures de confidentialité disponibles pour la plupart des utilisateurs sont significatives mais incomplètes. Sur iOS, activer « Limiter le suivi publicitaire » dans Réglages > Vie privée > Suivi (et refuser toutes les demandes de suivi par application) empêche le partage de l'IDFA avec les applications qui implémentent correctement l'ATT. Cependant, cela n'empêche pas les fournisseurs de SDK d'utiliser l'empreinte numérique de l'appareil — une technique qui utilise des attributs stables de l'appareil (résolution d'écran, version iOS, liste de polices système, modèle de GPU, capacité de la batterie) pour générer un identifiant probabiliste qui suit comme un IDFA mais n'est pas soumis aux restrictions de l'ATT. L'empreinte numérique est techniquement interdite par les directives du développeur Apple mais reste activement utilisée.

Sur Android, vous pouvez réinitialiser votre GAID via Paramètres > Google > Annonces > Supprimer l'identifiant publicitaire (Android 12+). Sur les anciennes versions d'Android, vous ne pouvez que le réinitialiser, pas le supprimer. Utiliser un VPN n'empêche pas le partage d'IDFA ou de GAID — l'identifiant est envoyé au niveau de l'application, pas au niveau du réseau. Les outils de confidentialité basés sur le navigateur (bloqueurs de publicités, bloqueurs de traceurs) n'ont aucun effet sur le suivi des applications mobiles.

Le paysage réglementaire en 2025

L'application du RGPD sur les identifiants publicitaires mobiles a été active. La CNIL française a infligé une amende de 150 millions d'euros à Google et de 60 millions d'euros à Facebook en 2022 pour avoir rendu plus difficile le refus des cookies que leur acceptation. La DPC irlandaise (qui traite les affaires européennes de RGPD de Google et Meta) a infligé une amende de 390 millions d'euros à Meta en janvier 2023 pour avoir utilisé des données personnelles pour la publicité comportementale sans consentement valide. Cependant, les mesures d'application spécifiques aux identifiants publicitaires mobiles ont été limitées — les régulateurs de l'UE se sont concentrés principalement sur le consentement aux cookies, tandis que le suivi via SDK mobiles fonctionne largement en dehors du champ d'application actuel.

Aux États-Unis, il n'existe pas de loi fédérale sur la confidentialité équivalente au RGPD. Le California Privacy Rights Act (CPRA) couvre techniquement les identifiants publicitaires mobiles en tant qu'informations personnelles et donne aux résidents californiens le droit de refuser leur « vente ». Plusieurs courtiers en données proposent désormais des mécanismes de refus spécifiques à la Californie, mais le processus est fragmenté — vous devez vous désinscrire individuellement auprès de chaque courtier, et il n'existe aucun mécanisme technique pour imposer la conformité des courtiers aux demandes de refus.

Mesures concrètes

  • iOS : Vérifiez dès maintenant toutes les autorisations de suivi des applications. Allez dans Réglages > Vie privée et sécurité > Suivi. Toute application listée avec le suivi activé a reçu votre IDFA. Désactivez pour les applications où le suivi n'est pas une fonction essentielle (jeux, utilitaires, applications d'actualités).
  • Android : Supprimez votre identifiant publicitaire. Paramètres > Google > Annonces > Supprimer l'identifiant publicitaire. Cela remplace le GAID par des zéros, bloquant le suivi basé sur le GAID. Disponible sur Android 12+.
  • Limitez agressivement l'accès à la localisation. Les données de localisation sont le composant le plus précieux des profils publicitaires mobiles. Définissez toutes les applications non-navigation sur « Pendant l'utilisation » ou « Jamais » pour l'accès à la localisation. Cela limite l'historique de localisation que les courtiers en données peuvent acheter.
  • Soumettez des demandes de désinscription auprès des principaux courtiers. Acxiom, Oracle Data Cloud et LiveRamp disposent tous de portails de désinscription pour les consommateurs. Le processus est manuel et fastidieux, mais efficace pour supprimer les données les plus anciennes. Utilisez les services DeleteMe ou Privacy Bee si vous souhaitez une gestion automatisée des désinscriptions auprès des courtiers.
  • Soyez sceptique envers les applications « axées sur la confidentialité » qui utilisent des SDK publicitaires : avant d'installer une application, vérifiez son étiquette de confidentialité sur l'App Store/Play Store pour les entrées « Données liées à vous ». Les applications qui se prétendent des outils de confidentialité mais qui affichent encore des données d'identifiant publicitaire dans leurs étiquettes de confidentialité se contredisent.
privacydata-brokerstrackingidfaadvertising
Partager:
L'identifiant publicitaire de votre téléphone est toujours vendu. Voici les courtiers en données qui le font. | IRCNF - Intelligent Reliable Custom Next-gen Frameworks