Une société pourrait cibler 91 % d'adultes avec des annonces personnalisées, à l'aide de l'IA

Le courtage de données est une industrie très rentable, responsable de ces publicités invasives et effrayantes qui vous poursuivent sur le web. Ce secteur vaut plus de 250 milliards de dollars et devrait atteindre 440 milliards de dollars d'ici à 2032. Bien qu'elle prospère en vendant vos données personnelles à des milliers de tiers, dont certains sont plus louches que d'autres, elle le fait à la dérobée en grande partie.

Contrairement à des entreprises très connues comme Apple, Microsoft et Google, les principaux acteurs du secteur du courtage de données restent largement inconnus du public. Cela s'explique notamment par la nature de leur activité : ils partent du principe que vos données - les informations sur votre lieu de résidence, ce que vous regardez, les personnes que vous suivez sur les médias sociaux et celles avec qui vous vivez - ne vous appartiennent pas. Au contraire, elles sont traitées comme un actif qui peut être reconditionné et vendu à un certain prix. La vente de données est une zone grise sur le plan juridique et, les régulateurs s'intéressant de plus en plus aux questions de protection de la vie privée, il est rare de voir des courtiers en données se placer volontairement sous les feux de la rampe. C'est plus souvent à leur insu qu'ils se retrouvent sous les feux de la rampe, comme lorsqu'ils sont pris en flagrant délit de collecte et de vente illégales de données personnelles, y compris leur géolocalisation précise.

La création d'un monstre de la collecte de données

Dans ces conditions, il était surprenant de voir Arthur Sadoun, PDG du géant français de la publicité Publicis Groupe, révéler ouvertement tout ce que son entreprise sait sur la quasi-totalité des personnes connectées à l'internet sur la planète. Mais avant de plonger dans ce qu'il a partagé, prenons le temps d'examiner de plus près Publicis et ce qui la rend si puissante.

Publicis Groupe n'est pas n'importe quelle société de publicité ; à la fin de 2024, après une série de fusions et d'acquisitions, elle est devenue la plus grande société de publicité au monde. Depuis 2019, elle possède Epsilon, l'un des plus grands courtiers en données, aux côtés de poids lourds comme Acxiom, Experian et Equifax.

Epsilon a une longue histoire en matière de collecte de données — c'est en fait le fondement de son activité. On dit qu'Epsilon a produit plus de 47 milliards de courriels autorisés chaque année, géré des milliers de bases de données et diffusé 50 milliards de publicités numériques par jour. En 2014, elle a racheté Conversant, une entreprise technologique qui a développé un outil appelé Common ID. Cette solution permet de relier des profils anonymes en ligne à des noms et adresses réels, ce qui élargit encore son champ d'action. En tant que partie d'Epsilon, la technologie de Conversant se trouve maintenant sous l'égide de Publicis.

Plus récemment, Publicis a annoncé l'acquisition de Lotame, une société qui se présente comme "la première solution d'identité indépendante au monde". Lotame gère l'une des plus grandes places de marché de données dans 109 pays, recueillant des informations provenant de plus de 100 sources. L'une des principales méthodes consiste à utiliser des outils tels que les balises JavaScript - de petits morceaux de code qui suivent votre comportement en ligne, recueillant des données sur ce que vous cliquez, ce que vous achetez et combien de temps vous restez sur les sites web. Ces profils, qui représentent plus de 1,6 milliard d'identifiants, sont ensuite vendus à plus de 4 000 marques et éditeurs de premier plan, tous désireux de les utiliser pour une publicité ciblée très pointue.

Vous êtes sous le microscope

Revenons à Arthur Sadoun et à son aveu révélateur. Lors d'une récente promotion pour Publicis, où il a souligné le pouvoir de l'IA, Sadoun a déclaré qu'avec Epsilon, l'entreprise avait accès aux données de 2,3 milliards de personnes dans le monde. "Mais nous ne nous contentons pas de les voir", a-t-il ajouté. "Parce que nous avons une vision basée sur l'identité, nous avons la permission unique de nous engager directement avec chacune d'entre elles. Avec l'acquisition de Lotame, ce nombre augmentera encore de 1,6 milliard d'identifiants.

"En plus des 2,3 milliards de personnes que nous voyons déjà avec Epsilon, Lotame ajoute 1,6 milliard d'identifiants supplémentaires dans 109 pays. Par conséquent, chacun de nos clients peut désormais s'adresser à 91 % de tous les adultes connectés à Internet"

Cela signifie que, si nous prenons les paroles de M. Sadoun au pied de la lettre, les plus de 3 600 clients de Publicis pourront désormais cibler environ 3,9 milliards de personnes dans le monde entier.

En tant que l'un des plus grands - et sans doute le plus grand - acteurs du monde de la publicité, Publicis peut s'enorgueillir d'une vaste liste de clients, dont des géants de l'industrie tels que Samsung, Google, Hulu, ESPN, Pfizer, Toyota, Target, Visa et Marriott. Epsilon, en particulier, travaille avec 15 des 20 premières marques mondiales et la majorité des 10 premières entreprises du classement Fortune 500. Ses clients couvrent un large éventail de secteurs tels que les services financiers, la vente au détail, les produits de grande consommation, l'assurance, l'automobile, les soins de santé et bien d'autres encore. Parmi les noms qui figurent sur leur liste impressionnante, citons American Express, AstraZeneca, AT&T, Bank of America, Dell, Dunkin' Donuts, FedEx, General Motors, Hilton, JPMorgan Chase, Kraft, Nestlé, NFL, Unilever, Walgreens, and even McDonald’s and Coca-Cola.

Quant à la précision des données, M. Sadoun affirme qu'elles sont aussi précises que possible. L'abandon imminent des cookies, que certains espéraient bénéfique pour la vie privée, ne le sera pas moins, affirme-t-il.

L'identité est la plus précise. Nous nous adressons à des personnes réelles, et non à des appareils ou à des cookies, et nous avons le plus grand nombre de points d'identité et d'attributs par personne. Rien qu'aux États-Unis, nous voyons 7 000 attributs individuels et 75 % de ce que les gens achètent. Nous voyons 1 000 milliards d'interactions par jour, mises à jour toutes les 5 minutes grâce à l'IA".

Si cela ne vous semble pas un peu troublant, c'est que cela devrait l'être. Le niveau de détail et le suivi constant décrits par M. Sadoun vont au-delà de ce que la plupart des gens considéreraient comme confortable ou même éthique. Il s'agit d'un système qui recueille, met à jour et établit en permanence des profils de données personnelles en temps réel, au détail près de vos achats et de vos interactions en ligne. L'ampleur de cette surveillance, combinée à la capacité de l'IA à affiner et à améliorer constamment sa précision, brosse le tableau d'un monde où la vie privée semble presque inexistante. Il ne s'agit plus seulement de publicité, mais d'un profil numérique si précis qu'il peut prédire votre comportement avec une exactitude troublante. Pour enfoncer encore un peu plus le clou, M. Sadoun a pris l'exemple d'une femme fictive nommée Lola.

Cours, Lola, cours !

Lola est une personne à laquelle beaucoup de gens peuvent s'identifier, et c'est ce qui rend cet exemple si troublant. C'est une jeune femme qui a deux enfants et qui adore boire du jus d'orange - du jus d'orange de qualité supérieure, rien de moins. Mais dernièrement, Lola a dû réduire ses dépenses parce que ses revenus ne suivent pas l'inflation, explique M. Sadoun.

Si le fait que quelqu'un connaisse les moindres détails de votre vie ne vous semble pas assez invasif, Sadoun va plus loin en révélant qu'il sait "qui elle est, ce qu'elle regarde, ce qu'elle lit et avec qui (sic) elle vit", ainsi que "qui elle suit sur les médias sociaux, ce qu'elle achète en ligne et hors ligne, où elle achète, quand elle achète" et, c'est là le plus important, "pourquoi elle achète".

En utilisant toutes ces données, Sadoun explique que l'IA de Publicis peut prédire que Lola passera probablement à une marque de jus moins chère. Une fois que l'IA a fait ce choix, elle commence immédiatement à la cibler avec des publicités pour des options plus abordables.

C'est un exemple parfait de la personnalisation poussée — et potentiellement intrusive — de la publicité comportementale. Contrairement à la publicité contextuelle, qui vous cible en fonction du contexte (c'est le cas, par exemple, lorsque vous voyez une publicité pour une poussette de bébé lorsque vous naviguez sur un site destiné aux nouveaux parents, ou pour une nouvelle console de jeu lorsque vous êtes sur un forum de jeux), ces publicités fondées sur des données sont basées sur ce que vous faites à la fois hors ligne et en ligne. Ces publicités basées sur des données se fondent sur ce que vous faites à la fois hors ligne et en ligne.

Mais ce n'est pas le pire. Ayant recueilli des données aussi détaillées sur la grande majorité des internautes du monde entier, les courtiers en données ne sont pas des forteresses invincibles - ils sont tout aussi vulnérables aux fuites de données et aux mauvaises pratiques que n'importe quelle autre entreprise. Et il n'est pas nécessaire de chercher bien loin pour voir les risques. En fait, Epsilon a elle-même été victime de l'une des violations les plus coûteuses à ce jour.

L'histoire tumultueuse d'Epsilon

En avril 2011, Epsilon a révélé qu'elle avait été victime d'une violation massive de données. Bien que l'entreprise n'ait pas entièrement divulgué comment cela s'est produit, il s'agit probablement d'une attaque par hameçonnage (phishing) — où les pirates informatiques incitent les employés de l'entreprise à révéler des informations sensibles telles que les identifiants des développeurs. Les pirates ont ainsi eu accès à la base de données de courriels d'Epsilon et ont volé 250 millions d'enregistrements provenant de 75 de ses clients. Seuls des noms et des adresses électroniques ont été compromis, mais cela a suffi pour que les personnes concernées perdent environ 2 millions de dollars à cause de spams et d'autres escroqueries.

La violation a également porté un coup sévère à la réputation du courtier en données, qui aurait perdu 45 millions de dollars de chiffre d'affaires. En outre, l'entreprise a payé 127,5 millions de dollars dans le cadre d'un règlement avec le ministère américain de la justice et a dépensé 225 millions de dollars supplémentaires pour des audits, des contrôles et des frais juridiques. Initialement, il a été prévu que la violation pourrait coûter à Epsilon jusqu'à 4 milliards de dollars si les criminels avaient eu accès aux adresses électroniques et les avaient exploitées, en utilisant ces données au maximum pour recueillir davantage d'informations en vue d'attaques ultérieures. Bien que les dommages aient été inférieurs à ce montant, l'entreprise a tout de même dû débourser un centime.

Ce qui est peut-être encore plus accablant, c'est qu'il a été établi que l'entreprise avait sciemment vendu des données de consommateurs à des clients impliqués dans des systèmes frauduleux. Dans le cadre d'un accord conclu avec les autorités américaines en 2021, Epsilon a admis qu'entre juillet 2008 et juillet 2017, ses employés ont vendu des données sur plus de 30 millions de consommateurs à une opération d'envoi massif de courriers frauduleux. Cette opération a utilisé les données pour envoyer de fausses lettres de loterie "sweepstakes" et des courriels de sollicitation astrologique à des victimes peu méfiantes, souvent âgées. En 2024, deux employés d'Epsilon - un cadre supérieur et un directeur commercial - ont été condamnés à une peine de prison pour leur rôle dans cette escroquerie. Epsilon a été contrainte de payer 150 millions de dollars de pénalités et d'indemnités aux victimes. Plus de 218 000 victimes ont été escroquées pour un montant de plus de 23,7 millions de dollars, certaines d'entre elles ayant été ciblées à plusieurs reprises.

Ces affaires montrent que non seulement les courtiers en données obtiennent des informations sans précédent sur les individus grâce à diverses méthodes de suivi en ligne telles que le "web scraping", l'achat d'informations à d'autres entreprises, l'analyse de dossiers publics et les programmes de fidélisation, mais qu'ils manipulent aussi parfois mal ces données, ce qui peut avoir des conséquences graves et profondes.

Comment protéger votre vie privée des courtiers en données

Il est pratiquement impossible d'échapper à l'œil omniscient des courtiers en données. Cependant, si vous souhaitez limiter la quantité de données qu'ils peuvent collecter sur vous pour les vendre, la tâche est difficile, mais elle est tout de même à votre portée.

Les sites web des courtiers en données contiennent souvent un formulaire qui vous permet de refuser la collecte de données à des fins de publicité comportementale. Par exemple, Epsilon offre une option pour refuser la publicité basée sur les intérêts, c'est-à-dire la publicité basée sur votre historique de navigation. En outre, Publicis propose un lien qui vous permet de refuser que vos données personnelles soient vendues par l'entreprise ici. Après quelques recherches, nous avons trouvé un formulaire de refus pour les utilisateurs basés aux États-Unis sur le site web d'Acxiom. Toutefois, si vous n'êtes pas aux États-Unis et si vous souhaitez que vos données soient supprimées, vous devez envoyer un courrier électronique à Acxiom à une adresse spécifique au pays. Gardez toutefois à l'esprit que cela n'affectera pas les données déjà vendues à des spécialistes du marketing avant que vous ne fassiez votre demande.

S'opposer à la collecte et à la vente de données en contactant individuellement chaque courtier en données n'est pas une mince affaire. Vous devrez souvent consacrer une bonne partie de votre temps à trouver le bon formulaire. Et même dans ce cas, il ne s'agit pas d'une solution complète : la probabilité d'atteindre chaque courtier en données (et il y en a des centaines) est faible, et la prise en compte de la plupart d'entre eux nécessitera des recherches approfondies et une bonne dose de patience.

Si vous ne voulez pas faire tout ce travail difficile vous-même, il existe des sociétés qui nettoieront ces écuries d'Augean pour vous, mais à titre onéreux. Parmi les noms les plus populaires, citons Incogni, Privacy Bee, DeleteMe, Aura, Optery et DeleteMyInfo.

Le processus d'extinction de votre trace en ligne est une épreuve douloureuse. Cependant, le fait de ne pas laisser de traces aussi importantes dès le départ facilitera les choses. Voici quelques stratégies pour vous aider à minimiser votre présence en ligne :

• Limitez ce que vous partagez sur les médias sociaux : Évitez de partager des informations personnelles sensibles, telles que votre date de naissance ou votre adresse. Ces informations sont souvent utilisées à des fins d'identification ou de sécurité et peuvent être facilement exploitées.

• Définissez vos comptes de médias sociaux sur le mode "privé" : À moins que vous ne soyez un influenceur des médias sociaux, vous n'aurez que des avantages à ce que vos comptes soient fermés au public. Grâce aux paramètres, vous pouvez restreindre la visibilité de vos comptes aux seuls amis et membres de la famille en qui vous avez confiance.

• Évitez les loteries et les quiz en ligne : Ces activités apparemment inoffensives recueillent souvent plus de données personnelles que vous ne le pensez. Il vaut mieux les éviter si vous voulez préserver votre vie privée.

• Soyez sélectif dans le choix des applications que vous téléchargez : Ne téléchargez des applications qu'à partir de sources fiables. Les applications inutiles peuvent non seulement encombrer votre appareil, mais aussi collecter et partager des données. Veillez à désinstaller les applications que vous n'utilisez plus.

• Utilisez une adresse électronique temporaire ou un alias pour les inscriptions et les interactions ponctuelles : Au lieu d'utiliser votre adresse électronique principale pour chaque inscription, envisagez de créer une adresse électronique temporaire ou jetable pour les situations où vous ne souhaitez pas partager votre adresse électronique principale. Vous protégerez ainsi votre boîte de réception des spams et éviterez que vos données personnelles ne soient liées à des comptes inutiles. Certains services comme AdGuard Mail proposent des alias qui renvoient vers votre vraie boîte de réception, ce qui vous permet de les filtrer plus tard si nécessaire.

• Évitez d'ouvrir des courriels provenant de sources non identifiées : Soyez prudent avec les courriels provenant d'expéditeurs inconnus. Ils peuvent contenir des tentatives d'hameçonnage, des logiciels malveillants ou d'autres liens nuisibles. Ne cliquez jamais sur des liens ou ne téléchargez pas de pièces jointes provenant d'e-mails inconnus, même s'ils semblent légitimes à première vue.

• Utilisez des navigateurs respectueux de la vie privée et des outils de blocage des publicités : Des navigateurs comme Brave ou Mozilla Firefox sont conçus pour bloquer les traqueurs et protéger votre vie privée. Associez-les à des applications de blocage des publicités ou à des extensions comme le Bloqueur AdGuard pour protéger davantage vos activités en ligne contre le pistage et réduire le nombre de publicités indésirables.

• Masquez votre adresse IP et cryptez vos données avec un VPN : Un VPN (Virtual Private Network) est un excellent outil pour améliorer la protection de votre vie privée en ligne. Il masque votre véritable adresse IP et crypte votre trafic internet, ce qui rend plus difficile le suivi de votre activité par les sites web et les tiers. L'utilisation d'un VPN permet également de sécuriser vos données, en particulier lorsque vous naviguez sur un réseau Wi-Fi public.