Vos données personnelles sont précieuses, et elles sont au cœur d’un marché convoité régi par les data brokers. Des entreprises qui font leur beurre sur votre dos sans même que vous le sachiez.

BidSwitch, Bookyourdata, RocketReach, Swordfish… Des noms qui ne vous disent sans doute rien. Pourtant, il existe une possibilité que ces entreprises, elles, sachent beaucoup de vous. Comment ? Tout simplement parce qu’elles possèdent dans leurs bases de données des dizaines, voire des centaines d’informations vous concernant. Peu connues du grand public, ces sociétés sont appelées des data brokers (courtiers en informations).

Spécialisées dans la collecte et la revente d’informations personnelles, elles ont mis en place un modèle d’affaires qui peut porter atteinte à la vie privée des internautes. En 2019, Numerama avait d’ailleurs déjà soulevé le problème lié aux data brokers et leur mode opératoire nébuleux via une enquête en deux parties. Plus récemment, c’est Cash Investigation qui s’est emparé du sujet.

Les data brokers et leur fonctionnement commencent à sortir de l’ombre, et il est désormais possible, grâce au RGPD de reprendre la main sur ses données personnelles. Différents acteurs de la cybersécurité s’emparent aussi du sujet, à l’instar de Surfshark et de son service Incogni.

Qui sont les data brokers ?

Publicités ciblées, newsletters indésirables, appels de télévendeurs… Il y a fort à parier que ces interactions proviennent majoritairement de la revente de vos informations personnelles par un data broker.

Derrière ce terme se cache un ensemble de sociétés dont le but est de collecter le plus de données personnelles (jusqu’à 1 500 points par personne) pour en faire commerce. Dans leurs registres dorment des données aussi sensibles que votre adresse (mail ou postale), votre numéro de Sécurité sociale, votre âge ou encore vos habitudes d’achat en ligne. Ces données sont ensuite revendues à des sociétés qui vont les exploiter, notamment pour vous afficher de la publicité ciblée.

Chaque passage sur le net laisse des bribes d'informations personnelles à votre sujet, qui sont ensuite collectées par les Data Brokers // Source : Incogni
Chaque passage sur le net laisse des bribes d’informations personnelles à votre sujet, qui sont ensuite collectées par les data brokers // Source : Incogni

Afin de récupérer ces données, les data brokers recourent à plusieurs méthodes, la plus courante consistant à acheter des bases de données entières auprès d’autres sociétés. Il est par exemple très facile d’obtenir les profils des utilisateurs de Facebook, ou bien des relevés de transaction auprès d’une banque. Une pratique qui ne se limite pas au net, puisque certains établissements physiques peuvent aussi revendre leurs informations aux data brokers. Remplir un formulaire de carte de fidélité n’est donc pas un acte aussi anodin qu’il y paraît…

Existe-t-il un moyen d’agir contre les data brokers ?

Ce n’est pas parce que les data brokers exploitent vos données personnelles sans vergogne que vous ne pouvez rien faire. Bien au contraire même. Depuis 2018, le RGPD encadre strictement la circulation, le traitement et le stockage des données récoltées par des entreprises. Le droit à l’oubli a notamment été renforcé, permettant à chaque personne, sur simple demande, de faire supprimer ses données hébergées chez une société X ou Y.

Si ce dispositif légal permet effectivement de contrer les data brokers, et empêcher que vos données personnelles soient utilisées contre vous, son exécution se confronte toutefois à quelques obstacles. Ce qui rend la démarche pénible et extrêmement chronophage pour une personne lambda. Un véritable parcours du combattant qui débute tout simplement par l’identification des data brokers.

Il s’agit bien souvent de sociétés peu connues par le grand public. Il existe en outre des centaines de sociétés capables d’héberger vos données. Les débusquer et les contacter une par une est donc extrêmement chronophage. D’autant plus qu’il faut ensuite relancer les sociétés laissant traîner votre demande. Incogni estime qu’il faut généralement 300 heures à un individu normal pour accomplir cette tâche.

Sans être illégale, l'activité des Data Brokers flirte avec les limites du droit des personnes, en particulier pour tout ce qui touche à la vie privée // Source : Incogni
Sans être illégale, l’activité des data brokers flirte avec les limites du droit des personnes, en particulier pour tout ce qui touche à la vie privée // Source : Incogni

L’information et le temps sont des éléments clefs dans cette lutte contre les data brokers, et ce sont deux ressources qu’il est parfois difficile de réunir. Pour ne rien arranger, certains data brokers ne se privent pas d’effrayer les personnes qui demandent le retrait de leurs données, en espérant que le demandeur abandonne la procédure.

Comment Incogni vous aide à reprendre la main sur vos données personnelles

Pour vous aider à faire disparaître vos données personnelles des fichiers des data brokers, Incogni se propose d’effectuer toutes les démarches en votre lieu et place. Comment ? En vous demandant une délégation de pouvoir, qui lui permet d’agir en votre nom.

La délégation obéit à un cadre légal strict, limité à la mission que vous lui confiez, et uniquement elle. Ce mandant ne peut donc pas être détourné à d’autres fins, et prend fin une fois la mission effectuée.

Grâce à la délégation de pouvoir, Incogni pourra agir en votre nom pour contacter les Data Brokers // Source : Incogni
Grâce à la délégation de pouvoir, Incogni peut agir en votre nom pour contacter les data brokers // Source : Incogni

Grâce à cette délégation de pouvoir, Incogni peut ainsi en toute légitimité :

  • rechercher les data brokers susceptibles de posséder vos données ;
  • contacter les data brokers à votre place pour leur demander d’effacer vos données (s’ils les possèdent) ;
  • mettre en place les moyens nécessaires pour inciter les data brokers à effacer vos données s’ils rechignent ;
  • assurer un suivi régulier afin de s’assurer que vos données ne réapparaissent pas sur le net ou chez les data brokers.

Comment procède Incogni ?

Pour commencer, et de manière assez paradoxale au vu la mission que vous lui confiez, Incogni vous demandera quelques informations personnelles : nom et prénom, adresse postale, mail. Ces dernières lui servent à identifier les data brokers susceptibles de posséder vos données, et à dresser la liste des sociétés à contacter.

Après cette étape préliminaire, Incogni va envoyer une première salve de demandes de suppression de vos données personnelles, et attendre la réponse des data brokers. De votre côté, vous pouvez suivre la progression des différentes procédures par le biais d’un tableau de bord simplifié. Légalement, les sociétés contactées ont entre 30 et 45 jours pour s’exécuter et il est donc « normal » que le processus prenne un peu de temps.

Après un mois d'utilisation, seuls 19 des 80 Data Brokers contacté ont répondu aux requêtes d'Incogni // Source : Humanoid XP pour Numerama
Après un mois d’utilisation, seuls 19 des 80 data brokers contacté ont répondu aux requêtes d’Incogni // Source : Humanoid XP pour Numerama

En cas de non-réponse, voire de refus de la part d’une société, Incogni se charge alors d’envoyer des courriers de relance. Le service peut aussi, si le besoin s’en fait sentir, saisir la CNIL pour forcer les data brokers les plus récalcitrants à faire le nécessaire.

Si vous souhaitez profiter des services d’Incogni pour récupérer le contrôle de vos données personnelles, sachez que le service est disponible sous deux formes :

  • un abonnement mensuel, proposé à 11,49 euros ;
  • un abonnement annuel proposé à 69,48 euros, soit 5,79 euros par mois, ce qui représente une économie de 50 % par rapport à l’abonnement mensuel.