« Si c’est gratuit, c’est vous le produit » : cela vous est familier ? En effet, à l’ère du numérique, les données personnelles sont massivement collectées et revendues. On pense profiter gratuitement de services généreux (aujourd’hui, qui serait prêt à payer pour envoyer des messages ou des mails dans le monde entier, se repérer dans une ville inconnue, publier un journal de bord sur un blog, échanger des photos ou des commentaires avec de parfaits étrangers ?), sans s’apercevoir que nous les payons bel et bien. Les applications, les sites internet, ainsi que les réseaux sociaux collectent chacun de nos faits et gestes pour les analyser, les recouper, en tirer des conséquences sur notre propension à acheter tel ou tel produit, à rester éveillé tard, à beaucoup voyager… avant de revendre ces données au plus offrant.
Comment nos données sont-elles collectées ?
Nos sites internet, nos applications mobiles et nos réseaux sociaux préférés sont développés avec des langages de programmation divers et variés ; mais chacune de ces applications est équipée de blocs de codes permettant d’obtenir des informations sur l’utilisateur.
Ces blocs de codes ont souvent les mêmes fonctions :
- Collecter en temps réel les localisations GPS
- Permettre la communication avec d’autres applications
- Autoriser l’utilisation de l’appareil photo… et accéder à la galerie photos de l’utilisateur
- Récupérer le carnet d’adresse de l’utilisateur
- Accéder à ses messages et à ses journaux d’appels
Si ces blocs permettent souvent un bon fonctionnement de l’application, certaines demandes d’autorisations de collecte d’informations sont complétement indues. Comment expliquer qu’une application de mini-jeu demande l’accès à vos photos, ou qu’une application de gestion de vos dépenses demande l’accès à votre localisation ?
Tout simplement parce que ces données collectées permettent aussi la création du profil de l’utilisateur :
- Son âge
- Ses centres d’intérêt
- Ses applications
- Les sites internet visités
- Sa position géographique et ses déplacements
- Ses habitudes alimentaires et sportives
- Et ainsi de suite…
Vous vous demandez ce qui pourrait être problématique dans ces données ?
Votre position géographique indique les lieux que vous fréquentez et votre lieu d’habitation. Autant dire tout de suite, un indice très probable de votre niveau de vie et de votre milieu social. Mais aussi de votre personnalité : fréquentez-vous des bibliothèques, des musées ? Sortez-vous tard la nuit, et souvent ? , etc.
Vous ne faites pas de sport, vous commandez souvent dans des fastfoods ? Des informations très intéressantes pour établir votre profil de santé.
Sans parler de vos recherches Google, qui disent tout de vous !
Comment sont utilisées les données personnelles collectées ?
Ces données personnelles peuvent être utilisées directement par l’entreprise pour personnaliser ses services (par exemple, Amazon recommandant des articles complémentaires à ceux que vous avez achetés, ou Google Maps se souvenant de vos positions) ou les améliorer (les fameux cookies sur les sites que vous visitez et qui aident les concepteurs de site à comprendre ce que les gens aiment ou n’aiment pas sur le site).
Mais elles peuvent être aussi vendues à des « partenaires », c’est-à-dire souvent des organismes agréés (autant le dire tout de suite : des entreprises spécialisées dans la revente de données) qui les croisent avec d’autres données acquises d’autres applications afin d’établir un profil complet.
Elles seront alors revendues à des entreprises (par exemple… Amazon ou Google !) qui les utiliseront pour des publicités ciblées, du démarchage commercial…
Très souvent, les conditions d’utilisation de nos données personnelles ne nous sont que partiellement expliquées, l’utilisation de ces données étant expliquée de manière plus détaillée dans les Conditions Générales d’Utilisation (CGU), rarement lues, souvent complexes à comprendre.
Nous ne sommes donc pas réellement conscients de la masse de données collectées par nos applications quotidiennes et encore moins, du profilage extrêmement complet qui en résulte. Certaines applications transmettent même des données à des pays hors Union Européenne.
Si le RGPD (Règlement Général sur la Protection des Données) y a mis un peu d’ordre, en introduisant une obligation d’informer de manière claire et détaillée l’utilisateur, et de ne collecter que les données strictement nécessaires, celui-ci n’est encore que partiellement appliqué et son application hors Union Européenne reste problématique.
Quels sont les dangers de cette collecte de données ?
Comme évoqué précédemment, les termes spécifiés lors de l’acceptation des conditions par l’utilisateur sont très incomplets et rares sont ceux qui lisent les Conditions Générales d’Utilisation.
Nous sommes donc victimes d’une collecte de nos données personnelles, à la limite de la légalité tant sont flous les détails de l’utilisation et du traitement de ces données.
Lorsque que l’on utilise une application telle que Facebook ou encore Waze, nous autorisons implicitement ces applications à récolter des informations sur nos contacts, nos données de santé enregistrées sur notre mobile, notre localisation, nos données d’identification, notre historique de recherche et de navigation, les données d’utilisations, les différents diagnostiques, les différentes actions faites sur nos mobiles.
Réussir à établir un profil, de notre adresse électronique à notre profession en passant par notre parcours scolaire ou encore notre affiliation politique représente pour des courtiers en données un profit non négligeable. Ce profil permet de trier les utilisateurs, puis d’attribuer à chacun une classe et un prix lors de la revente de ces données à d’autres organismes.
On saura ainsi exactement ce que vous aimez, comment vous inciter à consommer plus, comment mieux vous vendre certains produits ; connaissant votre niveau de vie, on saura le prix exact auquel on peut vous vendre ces produits. Se pose aussi les questions de ce que vous auriez « à cacher » – l’assureur qui vous a vendu votre assurance auto, voulez-vous qu’il sache à quelle fréquence vous vous rendez à des soirées alcoolisées ? Apprécierez-vous que votre banquier connaisse tout de votre état de santé ? , etc.
Et si leur exploitation par des organismes agréés est une problématique, le vol ou la perte de ces données est un souci bien plus inquiétant. En 2014, le scandale Facebook Cambridge Analytica a exposé la fuite de données de 87 millions d’utilisateurs Facebook, dont on a appris dans la foulée qu’elles avaient été exploitées pour manipuler les utilisateurs, notamment pour influencer les votes en faveur de certains hommes politiques lors des élections présidentielles.
Enfin, le piratage de ces organismes agréés peut potentiellement ruiner la vie de certains : usurpation d’identité à la CAF, création de comptes bancaires à votre nom par une personne malveillante…
Comment se protéger de cette collecte abusive ?
Malheureusement, il n’existe pas de solution satisfaisante pour contrer cette récolte, mis à part l’arrêt de l’utilisation de ces réseaux sociaux et applications. Et encore : même en cas d’arrêt, le profil existera toujours et sera alimenté par les proches, qui continueront de publier des photos de la personne, mentionneront son existence… Certains réseaux sociaux ont été pointés du doigt pour avoir de nombreux comptes fantômes de personnes qui ne se sont jamais inscrites !
À défaut, l’utilisateur peut lire attentivement les CGU, refuser la collecte et le traitement d’information dès que possible par exemple via les cookies (Tips RGPD : on ne peut pas refuser de vous servir au motif que vous n’avez pas consenti au traitement de vos données personnelles !), vérifier les autorisations demandées par vos applications et désactiver celles qui vous paraissent louches (quitte à les réactiver plus tard si elles s’avèrent nécessaires), et éviter de multiplier les comptes et les applications.
En conclusion
L’utilisation d’applications, de réseaux sociaux et la consultation de site internet signifie une acceptation implicite de l’exploitation des données récoltées. Cette collecte presque abusive représente aujourd’hui un marché souterrain que nous avons tendance à oublier bien trop facilement.
De notre formation à notre plat préféré, toutes les données permettant d’établir un profil sont collectées, stockées, traitées et revendues pour une utilisation souvent contraire à notre intérêt. Le traitement des données personnelles étant règlementée en Union Européenne, les organisations agréées exploitent les lois et leurs lacunes autant que possible, quand elles appliquent ces mêmes lois.
Il s’agira, pour chacun, de faire la part des choses entre sa répugnance à voir ses données être collectées et revendues, et son désir d’utiliser applications et réseaux sociaux.
Article rédigé par : Kévin Rosemond, consultant chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Mise en conformité RGPD