Atlantico : Aux États-Unis, les données personnelles issues des activités des internautes se vendent et se revendent comme une marchandise de luxe. Que représente aujourd'hui ce marché ?

Jean-Paul Pinte : Aux États-Unis, les données personnelles sont des biens commerciaux comme les autres.

Après le Patriot Act en 2001, puis le Freedom Act en 2015, le gouvernement a promulgué le Cloud Act (Clarifying Lawful Overseas Use of Data Act) en mars 2018. Une décision qui a une nouvelle fois fait grincer des dents de l’autre côté de l’Atlantique.

Le Patriot Act a octroyé de très larges pouvoirs aux agences de renseignements. La section 215 a particulièrement retenu l’attention. Cet article leur permettait en effet d’obtenir de la part d’un tribunal secret (FISA) un mandat obligeant les opérateurs de téléphonie à fournir l’intégralité des métadonnées téléphoniques de leurs clients américains.

En juin 2015, le Congrès américain a souhaité faire passer une nouvelle loi. Le Freedom Act devait mettre un terme à la collecte massive de données par la NSA (agence nationale de sécurité) et son programme d’écoutes téléphoniques dévoilé par Edward Snowden. Mais cette loi préserve pourtant la capacité des services de renseignement à obtenir les métadonnées stockées chez les opérateurs téléphoniques, en faisant des demandes au cas par cas.

À la suite de l’élection de Donald Trump, le Congrès des États-Unis est revenu sur un règlement que la FCC souhaitait appliquer afin de protéger les clients des FAI contre la libre utilisation de leurs données personnelles. Les États-Unis se présentent ainsi tel un véritable eldorado pour les commerçants de données personnelles et comme l’un des pays au monde où le droit au respect de la vie privée en ligne est le moins bien garanti.

En octobre 2016, la FCC (Federal Communications Commission) avait validé un règlement visant à soumettre les fournisseurs d’accès à internet (FAI) des États-Unis à de nouvelles obligations afin de protéger la vie privée et les données personnelles de leurs abonnés. Ce texte prévoyait que les opérateurs tels qu’AT&T, Verizon ou Comcast devraient obtenir le consentement exprès de leurs clients (système de l’opt-in) pour pouvoir partager ou vendre leurs informations de navigation et autres données personnelle

Cette réglementation de l’administration Obama n’aura pas résisté à l’élection de Donald Trump. Alors qu’elle n’était pas encore entrée en vigueur, elle a été abrogée par le Sénat le 23 mars 2017, puis par la Chambre des représentants le 28 mars 2017, et remplacée par une nouvelle loi promulguée par le président Trump le 4 avril 2017.

Au cœur du système économique actuel sont les data brokers, ces courtiers qui recueillent et revendent les données. Parmi eux, Acxiom, acteur discret mais dont les revenus se comptent en centaines de millions de dollars. Le géant du secteur affirme disposer en moyenne de 1500 informations différentes sur plus de 200 millions d’Américains.

Une enquête de l’émission 60 minutes cite l’exemple d’un autre courtier, Take 5 Solutions qui possède également des sites internet sur la parentalité ou la santé. A chaque fois qu’une personne consulte l’un de ces sites, elle donne donc sans le savoir des informations sur elle-même, ensuite exploitées par Take 5 Solutions. Dans ce marché, les adresses e-mails ou les déplacements (donnés grâce aux smartphones) sont des denrées très recherchées. Et une femme enceinte vaut plus qu’un citoyen lambda puisque les publicitaires s’attendent à ce qu’elle change de mode de vie et s’intéresse à de nouvelles marques.

Les plus grands courtiers en données exercent un lobbying plus agressif à Washington. Une enquête récente de The Markup a révélé que 25 de ces entreprises avaient dépensé 29 millions de dollars en lobbying en 2020, rivalisant avec les efforts de Facebook ou de Google. C'est pourquoi il est plus urgent que jamais que les législateurs et les régulateurs considèrent cette industrie comme un élément clé de la protection de la vie privée des Américains et de la réduction des dommages causés par l'industrie à l'étranger. Sans garanties, cette vente de données ne fera que continuer à menacer la démocratie. La législation fédérale sur la protection de la vie privée devrait considérer toutes les entreprises qui vendent des données comme faisant partie de l'économie du courtage de données, et pas seulement celles qui vendent des données à des tiers. Les lois locales et étatiques sur les archives publiques devraient également tenir compte de la violence du partenaire intime et des risques de doxing que ces informations soient grattées et publiées sur l'internet mondial. La pratique non réglementée du courtage de données est incroyablement dangereuse et de plus en plus nuisible - et les décideurs ne peuvent plus l'ignorer.

La firme Acxiom se targue d'avoir des données de 2,5 milliards utilisateurs dans le monde. Quelles sont les risques d'une telle main-mise ? Cela représente-t-il une menace pour la démocratie comme le disent beaucoup de défenseurs des libertés ?

Acxiom, la société de l’Arkansas prétend disposer de données sur 2,5 milliards de personnes dans le monde. Et aux États-Unis, si quelqu'un est intéressé par cette information, il n'y a pratiquement aucune restriction sur sa capacité à acheter et à l'utiliser ensuite.

Entrez dans le secteur du courtage de données, l’économie de plusieurs milliards de dollars qui consiste à vendre les détails intimes des consommateurs et des citoyens. Une grande partie du discours sur la confidentialité a à juste titre pointé du doigt Facebook, Twitter, YouTube et TikTok, qui collectent directement les informations des utilisateurs. Mais un écosystème beaucoup plus large d'achat, de licence, de vente et de partage de données existe autour de ces plates-formes. Les sociétés de courtage de données sont des intermédiaires du capitalisme de surveillance - achetant, regroupant et reconditionnant des données auprès de diverses autres entreprises, le tout dans le but de les vendre ou de les distribuer davantage.

Le courtage de données est une menace pour la démocratie. Sans de solides garanties nationales de confidentialité, des bases de données entières d'informations sur les citoyens sont prêtes à être achetées, que ce soit pour des sociétés de prêt prédatrices, des organismes chargés de l'application de la loi ou même des acteurs étrangers malveillants. Les projets de loi fédéraux sur la protection de la vie privée qui n'accordent pas suffisamment d'attention au courtage de données ne parviendront donc pas à s'attaquer à une énorme partie de l'économie de la surveillance des données et laisseront les droits civils, la sécurité nationale et les frontières public-privé vulnérables dans le processus.

Les grands courtiers en données, comme Acxiom, CoreLogic et Epsilon, vantent le détail de leurs données sur des millions, voire des milliards de personnes. CoreLogic, par exemple, publie ses informations immobilières et immobilières auprès de 99,9% de la population américaine. Acxiom fait la promotion de plus de 11 000 «attributs de données», des informations sur les prêts automobiles aux préférences de voyage, sur 2,5 milliards de personnes (tout cela pour aider les marques à se connecter avec les gens de manière «éthique», ajoute-t-il). Ce niveau de collecte et d'agrégation de données permet un profilage remarquablement spécifique.

Besoin de diffuser des annonces ciblant les familles pauvres des zones rurales? Consultez l'ensemble de données «Rural and Barely Making It» d'un courtier de données. Ou que diriez-vous du profilage racial de la vulnérabilité financière? Achetez l'ensemble de données "Ethnic Second-City Strugglers" d'une autre entreprise. Ce ne sont là que quelques-uns des titres troublants capturés dans un rapport du Sénat de 2013 sur les produits de données de l’industrie, qui n’ont fait qu’augmenter depuis. De nombreux autres courtiers annoncent leur capacité à identifier des sous-groupes sur des sous-groupes d'individus grâce à des critères tels que la race, le sexe, l'état matrimonial et le niveau de revenu, toutes des caractéristiques sensibles dont les citoyens ne savaient probablement pas qu'elles finiraient dans une base de données, et encore moins mises en vente.

Ces entreprises acquièrent souvent les informations par le biais d’achats, de licences ou d’autres accords de partage avec des tiers. Oracle, par exemple, « possède et travaille avec » plus de 80 courtiers en données, selon un rapport du Financial Times 2019, regroupant des informations sur tout, des achats des consommateurs au comportement sur Internet. Cependant, de nombreuses entreprises récupèrent également des données consultables publiquement sur Internet, puis les regroupent pour les vendre ou les partager. Les sites Web de « recherche de personnes » entrent souvent dans cette dernière catégorie - compilant des dossiers publics (dépôts de propriété, documents judiciaires, enregistrements de vote, etc.) sur des personnes, puis laissant n'importe qui sur Internet rechercher leurs informations.

Toutes ces pratiques incontrôlées portent atteinte aux droits civils. Les entreprises qui se vantent de détenir des milliers de points de données sur des millions ou des milliards de personnes - le tout pour les vendre à quiconque achète - représentent elles-mêmes l'agrégation d'un pouvoir de surveillance effréné. Ceci est particulièrement dangereux pour les moins puissants.

Comme des siècles de surveillance aux États-Unis l’ont indéniablement démontré, l’impact du stockage des renseignements personnels des individus se répercutera le plus durement sur les personnes déjà opprimées ou marginalisées: les pauvres, les communautés noires et brunes, les populations autochtones, les personnes LGBTQ +, les immigrants sans papiers. Les sites Web de « recherche de personnes » en particulier peuvent publier des adresses et ainsi permettre la violence ou le doxing entre partenaires intimes. Les fortes incitations financières à vendre des données, avec des limitations pratiquement inexistantes, donnent à ces entreprises toutes les raisons de partager leurs données avec d'autres, y compris celles qui les utilisent à des fins nuisibles.

Les forces de l'ordre achètent déjà des données auprès de courtiers. Le Department of Homeland Security, y compris les sous-agences chargées de mettre les enfants dans des cages, ont acheté des données de localisation de téléphones portables sur des millions d'Américains, des informations sur l'adresse du domicile pour soutenir les expulsions et des données sur les services publics à domicile pour les enquêtes, entre autres. Le Federal Bureau of Investigation a également acheté des données de localisation de téléphones portables auprès du courtier en données Venntel. Ces pratiques contournent la responsabilité démocratique : les agences achètent les informations sans mandat et, ce faisant, peuvent contourner les interdictions imposées aux entreprises de transmettre des données directement aux forces de l'ordre. De plus, les données peuvent même ne pas être exactes. Une enquête menée par The Markup a identifié des dizaines de cas aux États-Unis au cours de la dernière décennie où des personnes se sont vu refuser un logement parce que les sociétés de dépistage utilisaient de mauvaises informations, souvent achetées à des courtiers en données ou extraites de sites Web de courtiers de recherche de personnes. Les citoyens sont également rejetés des emplois en raison de vérifications des antécédents fondées sur des données incorrectes.

La vente non réglementée de bases de données massives d'informations sur les citoyens - et l'agrégation et la publication non réglementées de ces informations en ligne - sape également la sécurité nationale. C'était l'un des éléments manquants du débat politique sur TikTok.

Si le gouvernement américain est préoccupé par le fait que les puissances autoritaires étrangères établissent des profils détaillés sur les citoyens, ou même simplement sur le personnel gouvernemental, la capacité des courtiers en données à vendre, partager ou publier des ensembles de données intimes sur les Américains sans pratiquement aucune restriction devrait également être une préoccupation urgente. Les puissances étrangères pourraient acheter ces données via des sociétés écrans ou les voler par piratage. Il pourrait ensuite être utilisé pour diffuser des annonces électorales microtarifiées. Il pourrait être utilisé pour informer les opérations de contre-espionnage ou identifier des personnes d'intérêt dans le monde des affaires. Les groupes criminels pourraient même utiliser ces informations pour cibler des politiciens ou des juges.