Data brokers et petites combines
Les poussées de cyberinsécurité vécues ces derniers mois, avec encore les exemples de Free et Microsoft plus récemment, ceux de la Caisse des Dépôts et Auchan plus tôt, entrainent régulièrement la question des données volées. On peut les retrouver étonnement dans des bases bien légales, entre autres données plus ou moins légalement acquises. Une enquête, que le Monde avait mené en partenariat avec plusieurs médias internationaux, publiée en février, révèle les pratiques des courtiers en données et les risques pour les Etats et les personnes, donc en l’occurrence, vous et moi.
L’enquête a été lancée suite à l’obtention d’un échantillon de la base de données de l’entreprise de courtage en données Datastream Group. Plus de 47 millions d’appareils mobiles dans 137 pays du monde pour la journée du 2 juillet 2024, dont un million en France. Au total, 380 millions de coordonnées géographiques, à la précision variable, collectées par 39 499 applications, figurent dans ce fichier.
La constitution de ce type de fichier par les courtiers se fait via plusieurs biais. La première voie et la plus directe est le partage de la donnée directement par l’application productrice. Le partage peut aussi être fait par une des briques logicielles de cette application, les « SDK » (pour « Software Development Kit »). Ces briques mises à disposition des éditeurs d’applications, gratuites généralement, pour faciliter le développement, rémunèrent leur concepteur en transmettant les données produites par l’application, parfois à l’insu de cette dernière.
Un autre moyen de constituer une base de données passe par les régies publicitaires instantanées. Certaines applications utilisent le système des chères en temps réel (dit RTB, pour « real-time bidding ») en proposant des encarts disponibles et les données de l’utilisateur ciblé. Le meilleur enchérisseur au cours d’une transaction quasi instantanée remporte le droit de diffuser son message. Cependant, les données transmises ne sont plus contrôlées.
Les données collectées au sein de ces gigantesques bases permettent de profiler avec précision. Selon les contextes et les objectifs du traitement, les conséquences sont critiques. L’enquête révèle la possibilité, via les données publicitaires, de suivre un utilisateur présumé homosexuel à Doha, où cette orientation est condamnée, ou des agents des services de renseignement allemands. Evidemment le RGPD est censé nous protéger contre ces pratiques, mais souvent se pose dans la pratique la réalité du consentement et des conditions de celui-ci. Outre l’incompréhensibilité recherchée des conditions d’utilisation et de collecte de données, la liste des partenaires de l’application n’est pas plus claire ou explicite.
Et visiblement, qu’il y ait consentement ou non, la dissémination des données n’est pas prête de s’arrêter. « Le circuit peut être très long entre la source et l’utilisateur final de ces données à caractère personnel. S’il y a un acteur qui présente des défauts de conformité n’importe où dans la chaîne, alors le ver est dans le fruit et il n’est pas toujours évident de retrouver le “péché originel” », commente Tony Martin, chef du service des contrôles de la CNIL. La Commission cherche bien à contrôler et des acteurs ont déjà fait l’objet de sanctions sur leurs méthodes de collecte de données, mais le combat est encore long. Le Monde lui-même a retrouvé des données pour ses utilisateurs dans le fichier Datastream, sans jamais avoir eu de contact avec eux.
Inscrivez-vous à notre newsletter DDET (Des Données et des Territoires), le média qui synthétise l’actualité du numérique et des données, produit par les praticiens de la transformation numérique.
