Ces data-brokers qui font commerce de nos données personnelles

Par 17 mars 2017
Mots-clés : Smart city, Data, Europe
Data broker

Faisant commerce de nos données personnelles, les sociétés de data brokers sont l’objet de tous les fantasmes. Pourtant il est nécessaire, à l’heure du tout numérique, de saisir les implications économiques, sociétales et humaines de ce business fleurissant, dont on ne sait finalement pas grand-chose.

Seconde dimension de l’espace public, où transitent chaque jour des millions de données laissées par les utilisateurs, le cyberespace est très vite devenu un enjeu politique et économique majeur. S’il marque un renouveau des libertés individuelles et un dépassement des cadres normatifs traditionnels, c’est également un endroit sous haute surveillance. La numérisation des identités, des objets, des relations sociales et commerciales fait émerger un monde où chacun laisse des traces de sa présence et de son identité numérique. Ces données partagées en réseaux forment le cœur brûlant de la société 2.0. Elles sont les traces, les empreintes des informations laissées sur le Net ou sur son smartphone par toute une batterie de technologies qui les captent, les transforment, les stockent et les transmettent. La production exponentielle de données alimente aujourd’hui de nombreuses activités économiques et sont devenues l’objet de toutes les convoitises. Le marché de l’exploitation des données personnelles a explosé et fait rayonner des secteurs d’innovations comme le big data ou la smart city. Cette nouvelle matière première brute issue des utilisateurs mêmes semble s’être peu à peu imposée comme le fer de lance d’une révolution industrielle 3.0 qui tend à s’étendre et se perfectionner.

Aujourd’hui, à l’ère de la numérisation, le réel devient donc une formidable mine de données échangées sur des réseaux de plus en plus complexes. Penser une économie des données personnelles c’est donc penser un modèle de monétisation de ressources par essence gratuites et l’invention d’un nouvel écosystème dans sa globalité. S’appuyant sur Internet et les réseaux de communication issus du cyberespace, cette nouvelle économie entend bien faire de l’intermédiation, un métier porteur, au rôle central. Les premiers à s’être lancés dans l’économie du Big Data et avoir investi ce rôle d’intermédiateur sont évidemment les grandes plateformes comme Google et Facebook. Ce que l’on entend ici par intermédiation ce sont ces prestataires de services qui, lors d’un échange libre entre deux entités, s’interposent pour capter leurs données personnelles. Typiquement, quand je partage un like sur la page Facebook d’une marque, je donne au groupe des informations précieuses sur mes préférences commerciales. Il en est de même quand je fais une recherche sur Google.

Or, depuis quelques temps, parallèlement à ces mastodontes économiques et en partenariat avec eux, fleurissent des sociétés d’un genre nouveau, spécialisées justement dans l’intermédiation, et dont la raison sociale est d’acheter le maximum de données personnelles pour les revendre et donc réaliser des bénéfices records. Une spéculation sur une matière première gratuite particulièrement lucrative. Selon la dernière étude d’IDC, le chiffre d’affaire mondial issu des activités de Big Data serait estimé à plus de 187 milliards de dollars à horizon 2019, soit une augmentation de plus de 50% par rapport à 2015, où le CA annuel est chiffré à 122 milliard de dollars. Plus encore, Wikibon prédit un taux de croissance annuel de près de 14.4% pour le secteur. Alors, face à la croissance exponentielle de ce nouveau business, de nouveaux acteurs émergent, dans l’ombre ou dans la lumière, et entendent bien profiter de ces juteux débouchés. Mais faut-il avoir peur des data-brokers ? Peuvent-ils utiliser toutes nos données personnelles ? Quels nouveaux métiers et quelles nouvelles perspectives font-ils émerger ?

Notre-identite-numerique-laisse-des-traces

Qui sont les Data-Brokers ?

Agissant le plus souvent dans l’ombre, peu médiatisés, les data-brokers sont l’objet de tous les fantasmes. Pour le grand public, ce sont les Big Brother du Big Data, des entités presque mystiques oeuvrant dans l’ombre pour voler, soustraire et aspirer nos données personnelles par milliers. Des hackers organisés en grandes sociétés occultes, deux raisons pour le public donc de s’en méfier. Si ce constat n’est pas si éloigné de la réalité, il est cependant devenu nécessaire de démystifier leur statut et leurs activités et de comprendre qui sont vraiment ces chasseurs de données.

Au cœur de ce que l’on appelle le Big Data, brûle le feu sacré de la donnée. Un nouvel or noir convoité par de nouveaux chercheurs d’or. Parmi elles les plateformes d’intermédiation bien sûr mais aussi de nouvelles sociétés, appelées data-brokers, qui captent les données laissées par les utilisateurs sur la toile, les croisent et les analysent pour les revendre à de riches clients ou d’éminentes organisations publiques. Celles-ci s’en servent ensuite pour cibler leurs clients et ainsi leur proposer des produits ou des offres mieux adaptées à leurs besoins, envies ou habitudes. Il s’agit donc d’un troisième niveau de captation de la donnée. Par exemple, sur Facebook, un utilisateur renseigne son amour pour les yaourts nature. Facebook, plateforme d’intermédiation, va capter ces données et pouvoir lui proposer des publicités adaptées. Mais il va pouvoir également les vendre aux sociétés de data-brokers. Une nouvelle strate commerciale en plein développement. La société américaine Datalogix par exemple, traque les datas issues des transactions bancaires transitant par les sites de commerce en ligne ou chez les commerçants et magasins physiques. Ces données amassées sont ensuite vendues à des groupes comme Facebook ou Google pour les aider à mieux cibler leurs offres publicitaires. C’est donc un véritable écosystème de la donnée où dialoguent plateformes d’intermédiation, data brokers et autres clients publics ou privés.

Mais contrairement aux plateformes d’intermédiation, les data broker ne dispensent aucun service pour ses utilisateurs. Quand par exemple Facebook met à disposition un service de réseau social duquel par la suite il extrait les données, les data brokers eux se contentent de récupérer des données brutes sans fournir un service en échange. La majorité des sociétés d’extraction et d’exploitation de data sont en effet des spécialistes du marketing des données. Il ne s’agit pas que d’un commerce de données, les data brokers vendent aussi des analyses complètes issues d’un croisement de données qu’elles ont récoltées en amont. Ces produits d’analyse se présentent sous forme de rapports ou de classements, de repères de géolocalisation ou de graphiques cibles, qui, chaque fois, sondent quantitativement les tendances de différents marchés. Mais qu’est ce qui les différencie fondamentalement des sociétés de conseil et de consulting qui, elles aussi collectent les données quantitatives et dressent des rapports détaillés d’opinions ou de tendances ?

Les deux travaillent en amont sur le traitement de données en vue de conseiller les clients sur des tendances ou états des marchés existants. Mais deux points fondamentaux les distinguent. D’abord, l’expertise. Les sociétés de conseil basent leur travail sur une enquête, un travail de fond pour sonder les courants d’opinions, l’état de l’art et les tendances directement issues de la société. C’est un travail d’investigation sur le terrain qui mêle quantitatif et qualitatif sublimé par une véritable analyse de fond et expertise. Les data brokers eux sont d’avantages assimilables à des marchands de données, des fournisseurs. Ils achètent ou récoltent des données qu’ils vendent souvent tel quel à leurs clients. Ce qui nous amène au deuxième point de divergence : le consentement. Les façons de récolter les données sont radicalement opposées. Quand celles que récoltent les cabinets de conseils traditionnels sont consenties par les répondants, les données extraites par les data brokers, elles, échappent le plus souvent au libre consentement des utilisateurs. Et là est le côté sombre de l’activité. En effet, les data brokers tendent le plus souvent à s’allier aux plateformes d’intermédiation, comme avec Facebook pour donner un exemple frappant assez récent, pour récolter ces données. C’est donc un mode indirect de récupération de données personnelles qui échappe le plus souvent à la conscience des utilisateurs. C’est aussi, par le biais des Conditions Générales d’Utilisation, dont on sait que trop rébarbatives elles ne sont que très peu lues, que ces sociétés arrachent le consentement des utilisateurs.

Sans surprise, ces sociétés sont nées et ont prospéré d’abord aux Etats Unis. L’une des plus influentes s’appelle Acxiom et fournit des données et des statistiques pour des sociétés de marketing et de détection de la fraude. Elle posséderait d’après la Federal Trade Commission environ 700 million de données sur les consommateurs à travers le monde, lui permettant de dégager un revenu de près de 850 millions d’euros en 2016. La société américaine n’exerce pas uniquement aux Etats-Unis, sa filiale Acxiom Europe agit sur tout le continent européen. D’après son directeur, l’entreprise aurait « collecté jusqu’à 600 données par foyer sur 6 millions de foyers français ». Un business qui nous impacte donc directement.

Les différences de traitement des données

Du Big au Smart Data, le circuit commercial de la donnée

Comment monétiser la donnée ? On l’a dit, la donnée est une information gratuite, un simple flux qui n’a pas de valeur en soi. Dès lors il s’agit de capitaliser la donnée. Substituer de la valeur sur un bien immatériel gratuit et libre n’est pas si évident. Tout est une question de transformation algorithmique. Aujourd’hui, le principal vecteur de valeur pour la donnée réside dans sa capacité à influer sur les décisions ou à donner une information précieuse. C’est dans cette analyse approfondie de la data, le croisement des renseignements qu’elle fournit, et dans les perspectives stratégiques qu’elle laisse entrevoir que réside la nouvelle valeur de la donnée. On observe alors une mutation substantielle du secteur du Big data vers le Smart Data. Quand le premier se contentait le plus souvent de récolter  massivement des données utilisateurs pour produire des analyses quantitatives de grande échelle, le second lui se concentre sur l’analyse des seules données utiles au client. Le travail d’extraction de la valeur informationnelle de la data est le même, seule la méthodologie diffère. La croissance exponentielle du marché du Big data a ainsi mis en perspective les difficultés liées à une surabondance de données. La reconfiguration du business qui embrasse la smart data n’a donc plus besoin de recueillir des masses de données. Se concentrant uniquement sur les données pertinentes, le marché fait évoluer la valeur de la donnée. C’est pourquoi, les données n’ont pas toutes la même valeur. De quoi bouleverser le business des data-brokers.

Car ceux-ci ne transforment pas eux-mêmes les données, mais les vendent au poids. Ce sont  ses clients qui se chargent de cette opération. Le marché de la data ne leur échappe pas pour autant et reste un formidable vivier de bénéfice brut. Dans leur ouvrage Datanomics, les nouveaux business models des données, Louis-David Benyayer et Simon Chignard dégagent trois différentes valeurs attenantes à la donnée intrinsèque, c’est à dire brute, non transformée. La « valeur marchande », c’est-à-dire le prix d’une donnée relativement à l’offre et à la demande, « la valeur de levier », l’agrégation des données dans une collection permettant de faire augmenter les prix, et enfin la valeur d’actif stratégique qui s’attache plus au niveau d’expertise que permet la récolte de cette donnée. A partir de cette analyse il n’est donc pas tout à fait juste de dire que la data n’a pas de prix, qu’elle est gratuite et sans valeur. Il n’est pas non plus juste de dire que face à l’émergence des smart data, le business des brokers est amené à se réduire considérablement. L’horizon qui se profile est donc plus nuancé, les data brokers vont devoir réorienter leur marché et leurs perspectives de développement. Car ce qui donne de la valeur à une donnée isolée c’est avant tout les réseaux et l’environnement économique qui l’entoure. Pour résumer, la donnée n’est rien sans marché. L’activité des data brokers participe donc aussi à faire persister et à renforcer la valeur de toutes nos données et approfondir ainsi le marché dont elles font l’objet. Un commerce de la data, qui a encore de beaux jours devant lui, en ce qu’il répond aux demandes d’une société insatiable, et qui tend, de la smart city aux objets connectés, à faire de la donnée le ciment principal de sa prospérité.

L'identité numérique, le sacré coeur de notre moi virtuel

La maîtrise de nos données personnelles, une question de droit humain

Il ne faut pas oublier que le cœur de cet énorme business est l’utilisateur lui-même, en ce qu’il est le fournisseur principal et originel des données. Dès lors, la question, tout à fait fondamentale de la valeur des data, ne doit pas être étudiée uniquement sous un prisme économique. Car la donnée revêt surtout et avant tout une valeur intime et « identitaire », qui, elle, est inestimable. Car toutes les données laissées par l’utilisateur, mises ensemble en un tout compact, forment ce que l’on appelle l’identité numérique. Cette identité de substitution ne s’applique que dans le cyberespace, c’est ce qui permet d’identifier l’utilisateur et d’établir un profil plus ou moins renseigné de ses préférences et de sa personnalité. Et c’est exactement ce que recherchent les data broker. Dans cette logique, plus que broker et faire commerce de simples données, ces sociétés cherchent donc à capter, catégoriser et vendre notre identité numérique. C’est pourquoi il est essentiel de questionner le caractère public ou privé, personnel ou partagé des data. Cela pour permettre, peut-être, ultérieurement, des systèmes efficaces de protection des données personnelles. Si je suis mes données, la protection de celles-ci relève bien du droit humain.

Mais qu’est ce qui fait qu’une donnée est personnelle ? Aussi, si ces data me sont personnelles, m’appartiennent-elles pour autant ? Fabrice Rochelandet, dans son article Economie des données personnelles et de la vie privée, établit une classification des données laissées sur la toile reposant sur une distinction générale entre données objectives et données subjectives. Cette classification permet donc de mieux comprendre le véritable caractère personnel, au sens propre du terme, des data. Les données objectives sont toutes celles qui concernent l’identification et le contact, le signalement, mais aussi les données sociodémographiques et les données juridiques et financières. Les données subjectives regroupent quant à elles les préférences et les centres d’intérêts, les opinions religieuses et syndicales, les données comportementales, les données géographiques et les données relationnelles. Pour autant, ces données individuelles deviennent personnelles lorsqu’elles permettent une identification de la personne de sa singularité dans un groupe social donné. C’est évidemment le cas des données objectives mais aussi des données subjectives qui, en établissant un profil trop personnalisé ou croisé aux données objectives, finissent par identifier la personne. Ces données sont alors liées à la vie privée et relèvent donc de la protection qui y est rattachée.

C’est en tout cas la position de la CNIL en France qui interprète strictement l’article 2 de la loi « Internet et libertés » qui énonce : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou tout autre personne ». Elle vérifie ainsi le respect de cinq principes fondamentaux relatifs au traitement des données personnelles. Pour être légal, la collecte et le traitement de données doivent être consentis par les utilisateurs, avoir des finalités respectueuses des droits et libertés des individus, être nécessaires, proportionnés et sécurisés. C’est donc sous le prisme des libertés individuelles et du respect de la vie privée que se porte les recommandations de la CNIL en la matière. Pour autant, au vu de l’ampleur du marché, de ses perspectives de développement et ses possibles répercutions sur les utilisateurs, il est plus que jamais nécessaire d’encadrer ce marché de la donnée et de questionner ses modèles de gouvernance.

Les voix commencent en ce sens peu à peu à s’élever. Si en Europe, les organismes publics veillent au respect des libertés individuelles, le Parlement européen ayant notamment adopté un règlement général sur la protection des données applicable dès 2018 , il n’en va pas de même aux Etats Unis. C’est pourtant là où fleurissent et exercent les sociétés de data broker les plus influentes. Les associations Electronic Frontier Fondation, Amnesty International, Color of Change et le Centre pour la Democratie et la Technologie, ont unis leurs voix pour interpeller directement les data broker sur cette question. La gouvernance des data doit être transparente mais aussi et surtout respectueuse des droits humains. A l’heure du Muslim Ban, ces associations appellent ces sociétés à se soulever contre la surveillance gouvernementale et à refuser de transmettre aux organismes publics des données pouvant identifier directement les personnes pour préserver les droits humains de base. « Nous ne permettrons pas que nos données puissent être achetées et utilisées en violation des droits humains des musulmans et des immigrants des Etats Unis. Si nous ne pouvons pas garantir que ces données ne soient pas utilisées à de  tels but, nous devons refuser de les fournir ». Dans sa lutte contre la politique discriminatoire de Donald Trump, cet appel sans concession fait surtout la lumière sur les risques effectifs qui pèsent sur le traitement de nos données et sur la responsabilité de premier plan des data brokers. C’est pourquoi il est nécessaire, plus que jamais, d’encadrer ce marché, de responsabiliser ces sociétés et de renverser le paradigme. Rendre le bénéfice des données à l’humain plutôt que de vendre l’humain au bénéfice. Car protéger mes datas c’est avant tout garantir la dignité de mon moi numérique.

Mentions légales © L’Atelier BNP Paribas