Qui sont ces data brokers qui s’arrachent nos données comme si c’était de l’or?
-
Avertissement: Bien que cet article traite de la situation en Suisse et bien que certaines pratiques décrites ici soient illégales en Europe, ne pensez pas être à l’abri d’une telle situation car la collecte de données se fait par beaucoup d’autres pays.
A l’abri des regards, c’est un écosystème de l’ombre qui prospère à travers la collecte et la revente de nos données personnelles. De l’analyse de risques financiers au ciblage publicitaire, les possibilités sont légion, démultipliées par les possibilités de traçage offertes par les apps mobiles. Les obligations légales restent légères, du moins en Suisse, où domine encore une certaine culture du «pas vu, pas pris».
Imaginez. Vous vous réveillez un matin, ouvrez l’application des CFF (SNCF en France) pour réserver un billet de train, mais l’achat n’aboutit pas. A la place, un message d’erreur s’affiche: vous ne présentez pas les garanties suffisantes en matière de solvabilité, quand bien même vous n’avez pas une seule facture impayée. Vous réessayez le lendemain, puis le surlendemain… Rien n’y fait: vous êtes désormais privé de transaction. Cette mésaventure, relatée par la SRF, Philipp B. l’a vécue en 2020.
Que s’est -il passé? Il s’avère que les CFF évaluent la solvabilité des clients via Intrum, une société de recouvrement qui s’appuie sur la «solvabilité négative dans un ménage». Deux informations sont employées pour identifier les mauvais payeurs: l’adresse et le nom de famille. Et si Philipp n’a rien d’un mauvais payeur, ce n’était pas le cas de son fils, récemment parti du domicile familial.
Le système a ainsi attribué par erreur au père le score de solvabilité du fils. Il a fallu que celui-ci saisisse le préposé fédéral à la protection des données et à la transparence (PPFDT) – le «gendarme» de la Confédération en la matière — pour que les entreprises du secteur mettent un terme définitif à cette pratique, et simplifient les recours pour les clients victimes d’erreur.
Durée totale de la procédure: trois ans.
«En Suisse, les data brokers sont un peu tabous»
A l’abri des regards, des sociétés collectent, traitent, et parfois revendent nos données. On les appelle data brokers, ou courtiers en données personnelles. «Les data brokers, en Suisse, restent un secteur un peu tabou», commente Sylvain Métille, professeur à l’Université de Lausanne et spécialiste de la protection des données. Il existe différents types de data brokers, spécialisés dans toutes sortes de données et de secteur d’activités: acteurs du marketing numérique et de la publicité ciblée souvent méconnus du grand public – le scandale Cambridge Analytica a en partie levé le voile en 2018 –, annuaires en ligne agrégeant les informations publiquement disponibles sur une société ou une personne, sociétés de recouvrement spécialisées dans la collecte d’informations financières…
En Suisse, l’évaluation de la solvabilité financière bénéficie d’un traitement de faveur: il n’y a pas besoin de recueillir le consentement de la personne dont les données sont traitées, explique Sylvain Métille. «C’est une logique d’intérêt public prévue par la loi, afin d’éviter que les personnes insolvables n’empêchent l’accès à leurs données, explique-t-il. Il faut toutefois que les données aient moins de 10 ans, que la personne soit majeure, et que les grands principes généraux de la loi sur la protection des données (proportionnalité, finalité, etc.) soient respectés.»
Et pour le transfert de ces données à des prestataires? «Dans le cadre de la nouvelle loi sur la protection des données entrée en vigueur en septembre 2023, les personnes concernées devront en principe être informées sous 30 jours – soit par la société qui cède les données, soit par le data broker qui les acquiert», poursuit l’avocat.
Quand ce sont des données personnelles dites «sensibles» qui sont traitées, le consentement doit être recueilli explicitement. Leur liste est arrêtée par la loi: opinions et activités religieuses, philosophiques, politiques ou syndicales, données de santé ou relevant de l’intime, mesures d’aides sociales, et enfin éventuelles poursuites pénales ou administratives.
Malgré ce garde-fou, il est possible d’établir des profilages très intrusifs, car les données exploitables sont légion. Il y a les traces que l’on laisse derrière soi en magasin ou en ligne: réseaux sociaux, recherches en ligne, nombre de visites sur tel ou tel site, transactions… Il y a aussi le smartphone, qui nous suit partout et en sait long: déplacements, activités sur les réseaux sociaux, voire détails de la vie intime. Les apps qu’on y installe ont tendance à «cafter» auprès d’acteurs tiers, pour toutes sortes de raisons plus ou moins légitimes: mesure des audiences, rapports de plantage, collecte d’informations pour la publicité ciblée…
«On peut faire un portrait de moi et de ma famille très précis, qui constitue une atteinte à ma vie privée, mais ne constitue malheureusement pas une atteinte illicite aux yeux de la loi suisse», résume un juriste spécialisé dans le droit des données personnelles, fin connaisseur du secteur.
Des mouchards et des apps
«Pour tous les traitements de données personnelles, y compris via les applications mobiles, il est obligatoire qu’un responsable du traitement soit clairement identifié aux yeux de la loi», rappelle Sylvain Métille. Dans les faits, les développeurs ont de plus en plus souvent recours à des SDK (Software Development Kits), des bibliothèques fournies clés en main… au risque d’une perte de contrôle.
«Ce sont l’équivalent des parpaings et des fenêtres pour les codeurs, qui évitent de devoir réinventer la roue à chaque fois», explique Esther Onfroy, experte en sécurité informatique. Les SDK sont des boîtes noires, des briques logicielles déjà compilées. Or, pour savoir ce qu’il y a à l’intérieur, nous sommes tenus de croire leurs créateurs sur parole….»
Pour en avoir le cœur net, il faut ouvrir les boîtes noires. Et pour cela, passer chaque app sur une sorte de banc d’essai numérique afin d’analyser les flux de données entrants et sortants. C’est ce que fait le projet Exodus Privacy, créé en 2017 par Esther Onfroy, qui permet à chacun de passer ses applications Android au banc d’essai pour en révéler les mouchards, les classant en plusieurs catégories: crash reporting, analytics, publicité, géolocalisation… La plate-forme montre aussi les autorisations demandées au téléphone: microphone, GPS, caméra, par exemple. La société HestiaLabs, créée à Genève par le mathématicien Paul-Olivier Dehaye, développe des outils comparables.
Ces expertises indépendantes sont essentielles pour vérifier les allégations des entreprises sur le traitement des données. Lesquelles tombent parfois des nues. En 2022, Google avait ainsi désactivé le téléchargement de dizaines d’applications – dont des applis de prière musulmane très populaires – suite à la découverte, dans un SDK de ciblage marketing, de lignes de code visant à exfiltrer des données sensibles à l’intention du renseignement américain.
Rencontres du troisième type
Le secteur se distingue par son opacité. En 2020, l’autorité norvégienne de protection des consommateurs a testé 10 apps mobiles très populaires, notamment de rencontre (Tinder, GrindR, OKCupid, Happn). Dans son rapport, elle liste des centaines d’acteurs de l’ombre qui collectent les données (géolocalisation, genre, préférences sexuelles, identifiant mobile…) des utilisateurs à leur insu.
En Europe, ces pratiques contreviennent au Règlement général sur la protection des données (RGPD), qui exige le consentement explicite des utilisateurs lorsque leurs données sont transmises à des tiers. Elles posent aussi problème en Suisse: le Préposé fédéral à la protection avait été saisi fin 2020 à propos de l’app de rencontre Once, conçue par une startup domiciliée à Schwytz, qui ne permettait pas aux utilisateurs de supprimer leurs données.
L’enquête avait aussi montré que la société transmettait les données à des prestataires extérieurs sans en avertir clairement ses utilisateurs, et qu’elle ne s’assurait pas que leur exploitation restait dans le cadre du service demandé – ce qui est pourtant un impératif légal. La société suisse a accepté les propositions du préposé à l’issue de la procédure en 2023… mais ne sera pas en mesure de les appliquer elle-même, ayant été rachetée en 2021 par le géant international Dating Group.
Un marché opaque de la donnée
C’est dire si le business des données est opaque, tant les rachats successifs à l’international compliquent encore leur suivi. «Les traceurs que nous avons identifiés avec Exodus Privacy ne sont que la partie émergée de l’iceberg, avertit Esther Onfroy. Car les data brokers peuvent revendre les données à d’autres société, via par exemple ce type de portail. Sans compter que les données numériques se copient, et peuvent facilement se retrouver à vendre en ligne au plus offrant sur le dark web à la faveur d’un piratage.»
Un secteur d’activité où opèrent également des firmes suisses. En 2021 la revue en ligne Das Netz Ist politisch notait, dans le rapport norvégien de 2020 sur les apps de dating, une référence à 42matters. Cette start-up de l’EPFZ a depuis changé de modèle d’affaires, mais elle a agi au moins jusqu’à 2019 en qualité de data broker, permettant à ses clients de cibler les utilisateurs de telle ou telle app mobile… et cela, sans jamais avoir à recueillir leur consentement explicite. De façon parfaitement légale, en l’espèce.
Cette faille légale repose sur l’identifiant mobile, attribué de façon unique à chaque smartphone pour suivre l’évolution de certains comportements dans le temps. Utilisé pour le ciblage publicitaire, il n’est pas considéré comme une donnée personnelle sensible ou comme un élément de profilage par le droit suisse. «L’annonceur ne connaît pas l’identité de la personne à qui il envoie telle ou telle publicité», précise le spécialiste Sylvain Métille, pour expliquer cette curiosité.
David contre Goliath au pays des données
Dans l’Union européenne, un tel traitement est interdit à moins de disposer d’une base juridique comme le consentement explicite de l’utilisateur. En Suisse, la philosophie est inverse: la pratique est autorisée, à moins qu’elle ne viole un des principes de la loi sur la protection des données (LPD). Encore faut-il, pour la personne lésée, le démontrer. Et les entreprises peuvent arguer d’un intérêt privé ou public prépondérant pour justifier leur pratique, explique Sylvain Métille. «Il faut prouver que le traitement est disproportionné ou a été mené à son insu. Pour les entreprises, cela constitue un avantage, car cette justification intervient souvent après coup.»
En pratique, faire respecter le droit en vigueur est une gageure, précise Esther Onfroy, qui y voit avant tout un problème politique. «Il existe des centaines de milliers d’apps téléchargeables en Europe susceptibles de collecter des données personnelles, avec des acteurs privés qui ont beaucoup plus de moyens que les structures nationales chargées de les contrôler (comme le Préposé fédéral en Suisse, ndlr.).»
«Les enjeux liés aux données personnelles sont intangibles, tant pour les individus que pour les entreprises, qui vont avoir tendance à se défausser en invoquant l’ignorance, poursuit-elle. A leur tour, les régulateurs vont dire que c’est aux citoyens d’exercer leurs droits – d’accès, d’opposition… – auprès des entreprises.
François Charlet, auteur d’un ouvrage sur la protection des données en Suisse, dénonce aussi la disproportion des rapports de force. «Certes, les clients ont un droit d’accès aux données qui les concernent. Mais les entreprises ou organes fédéraux ne fourniront ni plus ni moins que les informations requises par la loi, et c’est bien là la seule information gratuite. Pour aller plus loin et vérifier si elles disent vrai, il faudra en passer par des procédures civiles, administratives, voire pénales…»
Pour le juriste, la seule solution viable à grande échelle serait de «démonétiser» enfin les données personnelles. «Tant que les gens seront prêts à payer pour des services “gratuits”, comme le téléchargement d’un jeu mobile, avec leurs données plutôt que financièrement, le modèle actuel va persister», analyse-t-il. Et l’industrie parallèle de la donnée pourra continuer à prospérer.
-
ça existe depuis bien longtemps malheureusement
Petits compléments :
https://korben.info/risques-lies-aux-data-brokers.html
https://korben.info/limpact-des-data-brokers.html
https://korben.info/incogni-informations-personnelles.html
https://korben.info/conseils-eliminer-informations-personnelles.html
-
Bien que différent, mais du même tonneau au pays du gruyère: