Nulle part où se cacher : Le profilage de nos données personnelles a de réelles conséquences sur nos vies privées
Pourquoi cette offre d’emploi n’est-elle jamais arrivée jusqu’à vous ? Pourquoi n’obtenez-vous pas ce crédit ? La faute à vos données personnelles. Au-delà du profilage publicitaire, elles sont désormais utilisées pour déterminer votre façon de travailler, votre profil psychologique ou si vous êtes trop dépensier. Il est temps de reprendre le contrôle.
En 2021, un vendredi, je suis entrée dans un hôtel d’Exeter, en Angleterre, à 17 heures, 57 minutes et 35 secondes. Le lendemain matin, j’ai conduit pendant neuf minutes pour me rendre à l’hôpital voisin. J’y suis restée trois jours. Le trajet de retour, qui dure normalement une heure quinze, m’a pris une heure quarante. Pourquoi cette vitesse ralentie ? Parce que je transportais mon nouveau-né à l’arrière.
Il ne s’agit pas d’un extrait de mon journal intime. C’est ce que Google sait du jour de la naissance de ma fille, rien qu’avec mon historique de géolocalisation. Et les données personnelles amassées par d’autres entreprises ce week-end-là leur permettent d’en savoir beaucoup plus encore. Netflix se souvient que j’ai regardé plusieurs comédies légères, dont Gilmore Girls et Comment se faire larguer en 10 leçons. Instagram a noté que j’avais liké un post sur l’accouchement déclenché et que je ne me suis pas reconnectée pendant une semaine.
Et alors ? Nous savons tous aujourd’hui que la moindre de nos activités en ligne est suivie et que les données collectées sont extrêmement détaillées et s’accumulent en continu. D’ailleurs, peut-être appréciez-vous que Netflix et Instagram connaissent si bien vos goûts et préférences. La manière dont vos données sont stockées et partagées évolue et votre activité en ligne peut être utilisée pour vous classer dans des catégories qui modifient radicalement votre vie. Il existe des moyens de reprendre le contrôle
“Il y a de quoi être horrifié”
Mais un nombre croissant d’enquêtes et de poursuites judiciaires révèlent un nouveau paysage de traçage en ligne dans lequel la portée des entreprises qui collectent des données est plus insidieuse que beaucoup d’entre nous ne le pensent. En y regardant de plus près, j’ai découvert que mes données personnelles pouvaient avoir une incidence sur tout, depuis mes perspectives d’emploi et mes demandes de prêt jusqu’à mon accès aux soins de santé. En d’autres termes, elles peuvent façonner ma vie quotidienne d’une manière dont je n’avais pas conscience. “Le problème est énorme et il y a toujours de nouvelles horreurs”, déclare Reuben Binns, de l’université d’Oxford.
On pourrait vous pardonner de penser qu’avec l’introduction d’une législation comme le Règlement général sur la protection des données (RGPD) – des règles de l’Union européenne mises en œuvre en 2018 qui donnent aux gens un meilleur accès aux données que les entreprises détiennent sur eux et limitent ce que les entreprises peuvent en faire – la confidentialité des données n’est plus un véritable problème. Vous pouvez toujours refuser les cookies si vous ne voulez pas être suivi, n’est-ce pas ? Mais lorsque je dis cela à Pam Dixon, du groupe de recherche à but non lucratif World Privacy Forum, elle se met à rire d’incrédulité. “Vous y croyez vraiment ?” me dit-elle.
Les gratteurs de données
Des centaines d’amendes ont été infligées pour violation du GDPR, notamment à Google, British Airways et Amazon. Mais les experts en données affirment qu’il ne s’agit là que de la partie émergée de l’iceberg. Une étude réalisée l’année dernière par David Basin de l’ETH Zurich, en Suisse, a révélé que 95 % des sites web pourraient enfreindre les règles du GDPR. Même l’objectif de la législation visant à faciliter la compréhension des données que nous acceptons de fournir n’a pas été atteint. Depuis l’entrée en vigueur de la législation, les recherches montrent que les accords de confidentialité sont devenus plus compliqués, et non moins. Et si vous pensiez que les bloqueurs de publicité et les réseaux privés virtuels (VPN) – qui masquent l’adresse IP de votre ordinateur – vous protégeaient, détrompez-vous. Nombre de ces services vendent également vos données.
Nous commençons à peine à saisir l’ampleur et la complexité du paysage de la traçabilité en ligne. Quelques grands noms – Google, Meta, Amazon et Microsoft – détiennent l’essentiel du pouvoir, explique Isabel Wagner, professeur associé de cybersécurité à l’université de Bâle, en Suisse. Mais derrière ces grands acteurs, un écosystème diversifié de milliers, voire de millions, d’acheteurs, de vendeurs, de serveurs, de traqueurs et d’analyseurs partagent nos données personnelles.
Qu’est-ce que tout cela signifie pour l’utilisateur lambda que je suis ? Pour le savoir, je me suis rendu chez HestiaLabs à Lausanne, en Suisse, une start-up fondée par Paul-Olivier Dehaye, mathématicien et lanceur d’alerte clé dans le scandale de l’utilisation des données de Facebook par la société de conseil politique Cambridge Analytica. Cette société a utilisé des données personnelles pour influencer l’élection de Donald Trump à la présidence des États-Unis en 2016. L’enquête de Dehaye sur Cambridge Analytica a montré de manière frappante à quel point l’influence des entreprises qui achètent et vendent des données est profonde. Il a créé HestiaLabs pour changer cela.
Votre téléphone suit votre position même si les données mobiles sont désactivées
Avant d’arriver, j’ai demandé mes données personnelles à diverses entreprises, un processus plus compliqué qu’il ne devrait l’être à l’ère du RGPD. Je rencontre Charles Foucault-Dumas, le chef de projet de HestiaLabs, au siège de l’entreprise, un modeste espace de co-working situé en face de la gare de Lausanne. Nous nous asseyons et téléchargeons mes fichiers dans son portail sur mesure.
Mes données s’étalent devant moi, visualisées sous la forme d’une carte de tous les endroits où je suis allé, de tous les posts que j’ai aimés et de toutes les applications qui ont contacté un annonceur. Dans les lieux que je fréquente régulièrement, comme la crèche de ma fille, des centaines de points de données se transforment en taches semblables à de la peinture. À l’adresse de mon domicile, il y a une énorme cible impossible à manquer. C’est fascinant. Et un peu terrifiant.
L’une des plus grandes surprises est de savoir quelles applications de mon téléphone contactent des entreprises tierces en mon nom. Le plus grand délinquant de la semaine dernière, qui a contacté 29 entreprises, est un navigateur web que j’utilise parce qu’il se décrit comme “la protection de la vie privée avant tout”. Mais pratiquement toutes les applications de mon téléphone, d’un service d’épicerie à un bloc-notes virtuel, étaient occupées à contacter d’autres entreprises pendant que je vaquais à mes occupations.
En règle générale, une entreprise qui souhaite vendre un produit ou un service s’adresse à une agence de publicité, qui se met en relation avec des plates-formes chargées de la diffusion des publicités, qui utilisent des échanges de publicités, lesquelles sont reliées à des plates-formes d’offre, qui placent les publicités sur les sites web des éditeurs. Chaque fois que vous ouvrez un site web ou que vous survolez momentanément un message sur un média social, cette machine – dont la valeur est estimée à 150 milliards de livres sterling par an – se met en marche.
Que partageaient exactement ces entreprises à mon sujet ? Pour le savoir, il faudrait que je fasse des demandes auprès de chacune d’entre elles. Et même avec celles que j’ai contactées avec l’aide de HestiaLabs, ce n’est pas toujours clair.
Prenons l’exemple d’Instagram. Il m’a fourni des données montrant qu’il a enregistré 333 “intérêts” en mon nom. Certains d’entre eux sont très éloignés de la réalité : le rugby, le festival Burning Man, la promotion immobilière, et même “femme à chats”. Lecteur, je n’ai jamais eu de chat. Mais d’autres sont plus justes, et un certain nombre d’entre elles, sans surprise, sont liées au fait que je suis devenue parent, qu’il s’agisse de marques comme Huggies et Peppa Pig ou de sujets comme le sevrage pour bébés.
Je me demande comment ces données ont pu affecter non seulement mes achats, mais aussi la vie de ma fille. Son amour pour le cochon rose de dessin animé est-il vraiment organique, ou ces vidéos nous ont-elles été “servies” grâce aux informations qu’Instagram a transmises à mon sujet ? Est-ce que les posts sur le sevrage dirigé par les bébés se sont retrouvés partout dans mon fil d’actualité – et ont donc influencé la façon dont ma fille a été initiée à la nourriture – par hasard, ou parce que j’avais été ciblée ? Je n’ai pas accès à cette chaîne de causes et d’effets, et je ne sais pas non plus comment ces divers “intérêts” ont pu me catégoriser pour d’éventuels spécialistes du marketing.
Il est pratiquement impossible de démêler l’écheveau complexe des transactions de données dans l’ombre. Les données personnelles sont souvent répliquées, divisées puis introduites dans des algorithmes et des systèmes d’apprentissage automatique. Par conséquent, selon M. Dixon, même avec une législation telle que le GDPR, nous n’avons pas accès à toutes nos données personnelles. “Nous avons affaire à deux strates de données. Il y a celles qui peuvent être trouvées”, dit-elle. “Mais il y a une autre strate que vous ne pouvez pas voir, que vous n’avez pas le droit légal de voir – aucun d’entre nous ne l’a.”
Profilage personnel
Des rapports récents en donnent un aperçu. En juin, une enquête de The Markup a révélé que ce type de données cachées est utilisé par les publicitaires pour nous classer en fonction de nos convictions politiques, de notre état de santé et de nos profils psychologiques.
Pourrais-je être considérée comme une “mère accro au portable”, une “indulgente”, une “facilement dégonflée” ou une “éveillée” ?Je n’en ai aucune idée, mais je sais qu’il s’agit là de catégories utilisées par les plateformes publicitaires en ligne. Il est troublant de penser que je suis stéréotypée de manière inconnue.
Une autre partie de moi se demande si cela a vraiment de l’importance. Je peux comprendre l’intérêt d’une publicité qui tient compte de mes préférences, ou d’ouvrir mon application de cartographie et, par exemple, de voir apparaître des restaurants et des musées qui pourraient m’intéresser ou que j’ai déjà visités. Mais croyez-moi, il y a peu de façons de faire grimacer un expert en données plus rapidement qu’avec la désinvolture de ce compromis.
D’une part, l’utilisation de ces données va bien au-delà de la vente de publicité, explique M. Dixon. Quelque chose d’apparemment anodin comme le fait de faire ses courses dans des magasins discount (signe d’un revenu plus faible) ou d’acheter des articles de sport (indication que vous faites de l’exercice) peut avoir une incidence sur tout, de l’attrait de votre candidature à l’université au montant de votre assurance maladie.
“Il ne s’agit pas d’une simple publicité”, précise M. Dixon. “Il s’agit de la vie réelle.”
La législation récente aux États-Unis a mis en lumière certaines de ces entreprises. Le Vermont’s 2018 Data Broker Act, par exemple, a révélé que les courtiers en données enregistrés dans l’État – mais qui sont également actifs ailleurs – vendent des informations personnelles à des propriétaires et des employeurs potentiels, souvent par l’intermédiaire de tierces parties.
En juillet, le Bureau américain de protection financière des consommateurs a appris que cette deuxième strate cachée de données comprenait également des informations utilisées pour établir un “score de consommation”, employé de la même manière qu’un score de crédit.
“Les choses que vous avez faites, les sites web que vous avez visités, les applications que vous utilisez, tout cela peut alimenter des services qui vérifient si vous êtes un locataire convenable ou qui décident des conditions à vous offrir pour un prêt ou une hypothèque”, explique M. Binns.
À HestiaLabs, je me rends compte que j’ai moi aussi été concrètement affectée, non seulement par les publicités que je vois, mais aussi par la façon dont les algorithmes ont digéré mes données. Dans les “inférences” de LinkedIn, je suis identifié à la fois comme “n’étant pas un leader humain” et “n’étant pas un leader senior”. Et ce, bien que j’aie dirigé une équipe de 20 personnes à la BBC et que j’aie été rédacteur en chef de plusieurs sites de la BBC auparavant – des informations que j’ai moi-même introduites dans LinkedIn. Comment cela peut-il affecter mes opportunités de carrière ? Lorsque j’ai posé la question à LinkedIn, un porte-parole m’a répondu que ces déductions n’étaient pas utilisées “de quelque manière que ce soit pour informer les suggestions de recherche d’emploi”.
Cessez d’appeler cela des médias sociaux – ces entreprises ne se soucient pas de ce que nous voulons.”
Malgré cela, nous savons, grâce à des poursuites judiciaires, que des données ont été utilisées pour exclure les femmes des annonces d’emploi dans le secteur de la technologie sur Facebook. En conséquence, le propriétaire de la plateforme, Meta, a cessé d’offrir cette option aux annonceurs en 2019. Mais les experts en données affirment qu’il existe de nombreuses solutions de contournement, comme le fait de ne cibler que les personnes ayant des intérêts stéréotypés masculins. “Ces préjudices ne sont pas visibles pour les utilisateurs individuels à ce moment-là. Ils sont souvent très abstraits et peuvent se produire longtemps après”, explique M. Wagner.
À mesure que les données collectées sur notre vie quotidienne prolifèrent, la liste des préjudices signalés par les journaux ne cesse de s’allonger. Des applications de suivi de l’ovulation – ainsi que des messages textuels, des courriels et des recherches sur le web – ont été utilisées pour poursuivre des femmes ayant avorté aux États-Unis depuis que l’arrêt Roe v Wade a été annulé l’année dernière. Des prêtres ont été démasqués pour avoir utilisé l’application de rencontres gay Grindr. Un officier militaire russe a même été traqué et tué lors de sa course matinale, prétendument grâce à des données accessibles au public provenant de l’application de fitness Strava. La protection des données est censée prévenir bon nombre de ces préjudices. “Mais il y a manifestement une énorme lacune dans l’application de la loi”, déclare M. Binns.
Le problème réside en partie dans le manque de transparence. De nombreuses entreprises s’orientent vers des modèles “préservant la vie privée”, qui divisent les points de données d’un utilisateur individuel et les dispersent sur de nombreux serveurs informatiques, ou les cryptent localement. Ironiquement, cela rend plus difficile l’accès à ses propres données et la recherche de l’utilisation qui en a été faite.
Pour sa part, M. Dehaye, de HestiaLabs, est convaincu que ces entreprises peuvent et doivent nous rendre le contrôle. “Si vous consultez un site web en ce moment même, en quelques centaines de millisecondes, de nombreux acteurs sauront qui vous êtes et sur quel site vous avez mis des chaussures dans un panier d’achat il y a deux semaines. Lorsque l’objectif est de vous montrer une publicité pourrie, ils sont capables de résoudre tous ces problèmes”, explique-t-il. Mais lorsque vous faites une demande de protection de la vie privée, ils se disent : “Oh, merde, comment on fait ça ?”.
Il ajoute : “Mais il existe un moyen d’utiliser cette force du capitalisme qui a résolu un problème dans une industrie de plusieurs milliards de dollars pour vous – et non pour eux”.
J’espère qu’il a raison. En marchant dans Lausanne après avoir quitté HestiaLabs, je vois un homme qui s’attarde devant un magasin de couteaux, son téléphone rangé dans sa poche. Une femme élégante porte un sac Zara dans une main, son téléphone dans l’autre. Un homme devant le commissariat de police parle avec enthousiasme dans son appareil.
Pour moi, et probablement pour eux, il s’agit de brefs moments oubliables. Mais pour les entreprises qui récoltent les données, ce sont des opportunités. Ce sont des signes de dollars. Et ce sont des points de données qui pourraient ne jamais disparaître.
Reprendre le contrôle
Grâce aux conseils de M. Dehaye et des autres experts que j’ai interrogés, lorsque je rentre chez moi, je vérifie mes applications et je supprime celles que je n’utilise pas. Je supprime également certaines de celles que j’utilise mais qui sont particulièrement désireuses de contacter des entreprises, en prévoyant de ne les utiliser que sur mon ordinateur portable. (J’ai utilisé une plateforme appelée TC Slim pour me dire quelles entreprises mes applications contactent). J’installe également un nouveau navigateur qui (semble-t-il) accorde la priorité à la protection de la vie privée. Selon M. Wagner, les applications et les navigateurs open source et à but non lucratif peuvent constituer des choix plus sûrs, car ils ne sont guère incités à collecter vos données.
Je commence également à éteindre mon téléphone plus souvent lorsque je ne l’utilise pas. En effet, votre téléphone suit généralement votre position même lorsque les données mobiles et le Wi-Fi sont désactivés ou que le mode avion est activé. De plus, en me connectant à mes préférences Google, je refuse d’enregistrer l’historique de mes positions, même si la nostalgie – pour l’instant – m’empêche de demander la suppression de toutes mes données antérieures.
Nous pouvons également réinitialiser notre relation avec le suivi en ligne en changeant notre façon de payer, explique Mme Dixon. Elle suggère d’utiliser plusieurs cartes de crédit et d’être “très prudent” quant au portefeuille numérique que nous utilisons. Pour les achats susceptibles de créer un signal “négatif”, comme ceux effectués dans un magasin discount, il est préférable d’utiliser de l’argent liquide, si possible. M. Dixon conseille également de ne pas utiliser d’applications ou de sites web liés à la santé, si possible. “Ce n’est tout simplement pas un espace clair et sûr”, dit-elle.
En réalité, quelles que soient les mesures que vous prenez, les entreprises trouveront toujours de nouveaux moyens de contourner le problème. “C’est un jeu où l’on ne peut que perdre”, affirme Mme Dehaye. C’est pourquoi la solution ne dépend pas des individus. “Il s’agit d’un véritable changement de société.
En réunissant suffisamment de voix individuelles, M. Dehaye pense que nous pouvons changer le système – et que tout commence par la demande de vos données. Dites aux entreprises : “Si vous vous dérobez, notre confiance est perdue””, dit-il. “Et dans ce monde de données, si les gens ne font pas confiance à votre entreprise, vous êtes mort.
