Les données personnelles d’un Européen moyen sont partagées 376 fois par jour par des marchands de données en ligne. C’est ce que révèle une étude du Conseil irlandais pour les libertés civiles (ICCL). Pour les utilisateurs des États-Unis, ce chiffre s’élève même à 747 fois par jour, selon les chercheurs.

Chaque fois qu’une personne visite une page web, il y a une brève période durant laquelle la cette page collecte des données de l’utilisateur et son navigateur, et les partage ensuite avec des négociants de données en ligne. Ces informations sont utilisées par ces marchands de données pour trouver l’enchérisseur le plus pertinent qui figurera in fine sur l’espace publicitaire d’une page web. Le plus offrant obtient l’espace, et sa publicité apparaît sur la page web de l’utilisateur concerné. Cela se produit sur les ordinateurs, les applications pour smartphones et les navigateurs mobiles.

A cause de ce processus, il apparaît aujourd’hui que les données personnelles d’un l’Européen moyen sont partagées 376 fois par jour par ces marchants. Pour les Américains, les informations personnelles sont vendues en ligne en moyenne 747 fois par jour, car les lois européennes sur la protection de la vie privée sont beaucoup plus strictes que celles des États-Unis. Tout cela se passe à l’insu de l’utilisateur et sans son consentement. Les négociants de données les plus connus ne sont autres que Google, Facebook et Amazon.

Les revenus des publicités numériques permettent de garantir la gratuité de la plupart des services internet, se défendent-ils.

Données anonymes

Le secteur de la publicité affirme que les données personnelles échangées ne peuvent être utilisées pour identifier des personnes. En effet, les profils vendus ne contiennent que des adresses IP, des localisations (générales), des informations sur le matériel de l’appareil et d’autres propriétés « anonymes ». Les chercheurs affirment toutefois qu’une adresse IP est un élément couramment utilisé pour identifier les individus, et qu’elle n’est donc pas anonyme.

Des recherches récentes montrent également que les géants de la tech collectent les adresses électroniques des visiteurs sans leur permission et les utilisent comme « identifiants » uniques.

Menstruations

Narrative est un marché bien connu où les annonceurs peuvent acheter des informations sur les utilisateurs d’applications et de sites web. Récemment, Vice a révélé que les données des utilisateurs d’applications de suivi des menstruations étaient à vendre. Sur Narrative, il ne s’agissait pas d’informations à proprement parler sur les mentruations des femmes, mais sur les appareils qui téléchargeaient l’application, combinés aux identifiants uniques de leurs utilisateurs.

Un journaliste de Vice a ainsi acheté sur Narrative pour 100 dollars les données des utilisateurs de l’application Clue, qui permet de suivre le cycle menstruel. Après son achat, le journaliste a reçu une liste de plus de 5.500 utilisateurs uniques, sous la forme d’un identifiant publicitaire mobile unique, appelé MAID. Les MAID permettent au secteur de la publicité de suivre les activités d’un téléphone mobile spécifique, car chaque MAID est unique et permanent à chaque appareil.

Les négociants en données affirment que les MAID sont anonymes, mais il existe toute une industrie qui relie ces identifiants aux noms réels et aux adresses physiques des personnes.

Avortement

La crainte générale est que les données issues des applications menstruelles ou liées à celles-ci puissent être utilisées pour traquer les personnes soupçonnées de se faire avorter. En 2019, le plus haut responsable de la santé du Missouri a déclaré que l’État avait examiné les données des patientes du Planned Parenthood, une organisation qui milite en faveur de l’éducation sexuelle, l’accès aux soins de santé et la santé reproductive, à la recherche de celles qui avaient échoué dans leur avortement.

L’ICCL est actuellement engagée dans un procès avec le secteur de la publicité numérique. L’organisation décrit les activités des négociants en données comme une « fuite immense » de données personnelles, où les victimes n’ont jamais offert leur consentement.