Nos données personnelles sont une ressource précieuse qui alimente l'industrie de la publicité en ligne, le moteur de la nouvelle économie numérique. Mais ce n'est pas nous qui profitons de cette ressource. Au contraire, les entreprises de technologie publicitaire engrangent d'énormes profits en vendant nos données, souvent sans que nous le sachions ou que nous y consentions, et encore moins que nous soyons indemnisés.

Cet énorme trafic, qui vaut un demi-billion de dollars, implique de nombreux acteurs à différents stades, mais il n'est souvent pas évident malgré son ampleur.

Regardons donc derrière le rideau

Vos données sont vendues aux enchères à chaque milliseconde

Presque toutes les applications affichent des publicités, et bien que vous puissiez avoir l'impression que celles que vous voyez sont aléatoires et apparaissent à des endroits au hasard, ce n'est pas le cas. Il est plus que probable que les publicités vous sont spécifiquement destinées. Ceci signifie que quelqu'un d'autre utilisant la même application peut avoir une expérience publicitaire complètement différente. Nous allons maintenant essayer d'expliquer en détail comment fonctionne le processus de sélection des publicités.

Imaginez que vous utilisiez une application qui dispose d'un espace publicitaire (et il y a de fortes chances que ce soit le cas, car plus d'un tiers des éditeurs d'applications s'appuient sur la publicité pour gagner de l'argent). L'application souhaite vendre cet espace au meilleur prix. Elle envoie donc une demande à une plateforme qui met en relation les éditeurs d'applications et les annonceurs, telle que Google Ads. Cette plateforme envoie ensuite la demande à une autre plateforme qui gère un marché publicitaire, un lieu où les espaces publicitaires sont vendus aux enchères en temps réel. Celui-ci diffuse ensuite la demande à de nombreuses autres plateformes représentant des annonceurs numériques, telles que Facebook Ads Manager ou Google Display & Video 360. Ces plateformes analysent les informations relatives à votre appareil et à votre comportement en ligne, et décident du montant qu'elles sont prêtes à payer pour vous montrer une publicité. L'ensemble de ce processus, connu sous le nom d'enchères en temps réel (RTB, real-time bidding), se déroule en quelques millisecondes, et le gagnant a la possibilité d'afficher sa publicité sur votre écran.

Mais il y a un hic : vos données ne sont pas uniquement visibles à l'annonceur qui remporte l'enchère et vous présente sa publicité. Lorsque les annonceurs se disputent l'espace publicitaire de l'application, ils ont tous accès à vos données, qui incluent des informations sur votre appareil, votre localisation, votre utilisation des applications, etc. Cela devient possible parce qu'il n’y a pas de règles ou de normes claires sur la façon dont les données de "bidstream" doivent être traitées ou protégées. Par conséquent, les soumissionnaires qui perdent l'enchère peuvent toujours utiliser vos données à d'autres fins. De quel genre ? Nous y reviendrons bientôt.

Google et Facebook sont les acteurs dominants du marché RTB. Nos données montrent que les services Google Ads représentent plus de 11 % de toutes les requêtes publicitaires initiales, tandis que Facebook Audience Network, qui prend en charge les enchères dans les applications mobiles ainsi que sur les sites web mobiles, représente environ 10 %. Les requêtes initiales sont les requêtes envoyées par l'application pour charger une publicité, qui peuvent déclencher d'autres requêtes publicitaires si elles aboutissent. Applovin, l'un des principaux systèmes d'enchères en temps réel pour les applications mobiles, arrive en troisième position avec environ 7 % de l'ensemble des demandes de publicité. Amazon Ad System et ironSource, basé en Israël, qui gère un échange de publicités, suivent avec environ 2,4 % et 1,3 % respectivement.

Outre les annonceurs et les éditeurs, un autre acteur clé de l'échange d'annonces est le courtier en données, qui a également accès aux données du flux d'enchères. Son objectif n'est pas de vous proposer des publicités, mais de reconditionner ces données et de les vendre à ses propres clients, dont certains peuvent être des agences gouvernementales. Ces derniers peuvent à leur tour utiliser ces données "obtenues commercialement", qui ne sont assorties d'aucune condition, comme bon leur semble. Les utilisations les plus courantes sont la surveillance, l'application des lois sur l'immigration et le maintien de l'ordre.

La fuite des données de localisation des utilisateurs d’une app Gen Z au profit du gouvernement américain

Une illustration parfaite de cette tendance est un récent rapport du Wall Street Journal selon lequel un courtier en données de consommation appelé Near Intelligence vendait des données sensibles d'utilisateurs, y compris les résidents de l'UE, à des contractants du gouvernement américain par aide des "entités intermédiaires" "jusqu'au début de l'année ". Les données collectées par Near Intelligence tombaient entre les mains de la DCSA (Defense Counterintelligence and Security Agency), de la NSA (National Security Agency), de la NGA (National Geospatial-Intelligence Agency), de l'USAF Cyber Ops (United States Air Force Cyber Operations), du ministère de la défense et du JCOS (Joint Chiefs of Staff).

Le courtier en données s'est introduit dans le flux de données qui passait par plusieurs plateformes publicitaires et, bien que ces plateformes aient par la suite affirmé que Near était en violation de leurs conditions de vente pour avoir revendu les données et les avoir utilisées à des fins non publicitaires, il a été en mesure de le faire pendant un certain temps.

L'une des applications qui a fourni par inadvertance des données à Near Intelligence (et, par son intermédiaire, au gouvernement américain) est Life360, une application basée à San Francisco qui permet aux amis et à la famille de se localiser mutuellement avec leur consentement et qui est particulièrement populaire auprès de la Génération Z, ayant été surnommée "l'accessoire le plus en vogue pour la rentrée des classes ". L'application nécessite de nombreuses autorisations pour fonctionner, telles que l'accès à votre position approximative lorsque vous n'utilisez pas l'application et l'accès à votre position précise lorsque vous l'utilisez. Plus une application demande d'autorisations, plus elle peut partager de données avec ses partenaires publicitaires, et plus ces données sont potentiellement précieuses pour le gouvernement.

Parfois, lorsque les pratiques douteuses des applications en matière de données sont exposées et contestées, elles peuvent prétendre avoir changé leur façon de faire. Mais souvent, elles continuent à faire comme si de rien n'était, ou avec des ajustements mineurs.

Une enquête menée par The Markup a révélé dès décembre 2021 que Life360 vendait des données de localisation précises à une douzaine de partenaires de données et que cela lui rapportait beaucoup d'argent. Life360 a ensuite déclaré qu'elle cesserait de vendre des données à des courtiers, mais qu'elle continuerait à vendre des données de localisation précises et des données de localisation "agrégées" à des sociétés d'analyse. Alors que Life360 a déclaré que Near violait ses conditions de service en partageant ses données avec des agences gouvernementales, l'entreprise semble ne pas avoir pris suffisamment de mesures pour éviter que cela ne se produise.

Une pratique plus courante qu'on ne le pense

La pratique des agences gouvernementales consistant à obtenir des données sensibles d'utilisateurs par des moyens louches - sans mandat ni contrôle juridique - est courante, en particulier dans les pays où les lois sur la protection des données ne sont pas très strictes. C'est le cas un peu partout, à l'exception peut-être de l'Union européenne. Les courtiers en données participent à ce commerce clandestin sans aucun scrupule, prêts à subir toute atteinte à leur réputation.

Outre les échanges d'annonces, les courtiers en données peuvent également obtenir des données directement par l'intermédiaire des applications. Certaines applications peuvent partager une localisation précise, d'autres - votre type d'appareil, votre nom ou votre numéro de téléphone - et la liste est encore longue. Surtout, toutes ces données sont liées à votre identifiant de publicité mobile ou, en d'autres termes, à un identifiant unique attribué à votre appareil. Petit à petit, un courtier en données apprend à mieux vous connaître en obtenant des informations à partir de différentes applications et d'autres sources en ligne et hors ligne, telles que les profils de médias sociaux et les archives publiques. Au final, le courtier en données est en mesure d'établir votre profil distinct.

L'un des courtiers qui s'est rendu célèbre pour avoir extrait des données d'applications est SafeGraph, dont nous avons couvert le cas en détail l'année dernière. En bref, SafeGraph a eu accès aux données de localisation des applications qui utilisaient son SDK, un kit de développement logiciel. Les SDK sont des éléments de code que les développeurs d'applications utilisent pour gagner du temps et de l'argent, car ils fournissent des fonctions prêtes à l'emploi (telles que le suivi de la localisation), ce qui leur évite de devoir les créer à partir de zéro. Les développeurs peuvent également être payés par des courtiers en données pour partager les données de leurs utilisateurs par l'intermédiaire des SDK. En effet, si vous autorisez une application à accéder à votre position, le SDK de cette application sera également en mesure d'y accéder et de l'envoyer au courtier.

En fait, la pratique du partage des données, ou plutôt de la vente des données, est tellement omniprésente que les exemples ne manquent pas. En voici quelques-uns :

• En mai 2022, un rapport a révélé que les agences gouvernementales américaines, telles que l'ICE, achetaient des milliards de points de données à des entreprises privées sans aucun contrôle. Et chaque fois que cette pratique était contestée, le gouvernement trouvait un moyen de contourner les restrictions. Par exemple, après que l'Oregon a interdit le partage des données de l'État avec l'ICE, le DMV de l'Oregon a vendu des dossiers de permis de conduire à des courtiers en données afin que l'ICE puisse y avoir accès.

• En mars 2021, Vice's Motherboard a révélé qu'une unité militaire américaine chargée des frappes de drones et de la reconnaissance achetait des données de localisation provenant d'applications ordinaires via un outil appelé Locate X, développé par un courtier en données nommé Babel Street.

• En novembre 2020, il a été révélé que l'armée américaine a acheté des données de localisation à partir d'une application de prière musulmane - l'un des cas les plus remarquables à ce jour.

Ce n'est même plus un secret

C'est un secret de polichinelle depuis des années : dans les cas où le gouvernement ne peut pas légalement saisir vos données, il peut utiliser un moyen détourné, en les achetant sur le marché des données en ligne. Cette pratique est tellement bien documentée qu'à un moment donné, même le gouvernement américain a cessé de jouer la comédie. En mars de cette année, le directeur du FBI, Christopher Wray, a reconnu pour la première fois que le FBI avait acheté des informations de géolocalisation des téléphones américains à des sociétés privées. Il a toutefois affirmé que l'agence avait cessé de le faire à un moment donné. À vous de voir si vous prenez ses paroles au pied de la lettre.

Que pouvez-vous faire pour échapper à la surveillance gouvernementale par le biais des publicités ciblées ?

Vous pouvez vous sentir impuissant face à cette machine d'extraction et de vente de données, dont chaque rouage est conçu pour exploiter vos données à des fins lucratives. En l'absence d'une législation solide qui interdirait aux agences gouvernementales d'obtenir des données d'entreprises privées sans aucun contrôle, il est probable que cette pratique se poursuive. D'abord parce qu'il est beaucoup plus facile pour le gouvernement d'obtenir des données de cette manière ; ensuite parce que cela permet de réaliser un joli profit.

Ce que vous pouvez faire de manière réaliste, c'est réduire le nombre de traces que vous laissez en ligne et masquer celles que vous laisserez inévitablement. Vous pouvez prendre certaines mesures pour protéger vos données de la surveillance :

• Désactivez ou réinitialisez votre identifiant publicitaire. Votre identifiant publicitaire est un numéro unique attribué à votre appareil et utilisé par les courtiers en données pour relier les données vous concernant provenant de différentes sources. Si vous désactivez (ce qui n'est pas toujours possible) ou réinitialisez votre identifiant publicitaire, la mission des courtiers en données consistant à établir votre profil sera si non impossible, du moins plus compliquée.

• Ne donnez pas d'autorisations inutiles à vos applications. De nombreuses applications demandent des autorisations dont elles n'ont pas vraiment besoin, comme l'accès à votre position, à votre appareil photo, à vos contacts, etc. Ces autorisations peuvent être utilisées pour collecter vos données et les partager avec des courtiers en données. Vous pouvez vérifier et modifier les autorisations de vos applications dans les paramètres de votre appareil. Par ailleurs, même si une application a légitimement besoin de certaines autorisations sensibles (par exemple, une application météo a besoin d'accéder à votre position), soyez prudent avant de les accorder. Avant de télécharger une application, renseignez-vous sur ses pratiques en matière de protection de la vie privée, lisez les commentaires et vérifiez si des informations ont été publiées sur ses pratiques en matière de partage de données.

• Utilisez un bloqueur de publicité. Nous ne nous lasserons jamais de le répéter : chaque requête publicitaire — la requête de votre navigateur pour charger une publicité — est également une requête de suivi ! Un bloqueur de publicité empêchera non seulement les publicités de se charger, mais aussi les scripts qui suivent votre comportement et vos intérêts en ligne. Au début de cette année, nous avons estimé que les demandes de suivi publicitaire représentent environ 19,6 % du trafic internet et que la plupart de ces demandes sont "cachées", c'est-à-dire qu'elles dépendent des demandes publicitaires initiales et du chargement d'autres domaines publicitaires.

• Limitez votre utilisation des services "gratuits". Rappelez-vous que si vous ne payez pas, vous n'êtes pas le client, mais le produit.