L’info qui claque : Les GAFAM vendent-ils vraiment nos données ?

Pour prendre la définition Wikipédia :

 « GAFAM est l’acronyme des géants du Web - Google (Alphabet), Apple, Facebook (Meta), Amazon et Microsoft - qui sont les cinq grandes firmes américaines (fondées entre le dernier quart du 20^ième siècle et le début du 21^ièmesiècle) qui dominent le marché du numérique, parfois également nommées les Big Five, ou encore "The Five". Cet acronyme correspond au sigle GAFA initial, auquel le M signifiant Microsoft a été ajouté. »

À l’égard des données personnelles et informations sensibles, prenons l’exemple de Google :

Google dit très clairement sur leur site web "Nous ne vendons pas vos données personnelles à qui que ce soit". Ceci a été réitéré par le CEO de Google (Sundar Pichai) dans une publication de The New York Times le 7 mai 2019 ou il indique que "Google ne vendra jamais de données personnelles à de tierce parties".

Cela est vrai mais ce qu’ils font en réalité est certainement bien pire.

En effet, vos données personnelles ne sont pas vendues mais partagés gratuitement.

Ceci se fait par le biais de leur service de vente d’espace publicitaire (choses que vous voyez notamment dans la recherche Google ou sur YouTube, mais aussi dans les publicités tierce partie) où vos données personnelles et informations sensibles sont mis en avant afin de permettre un meilleur ciblage des publicités et ainsi augmenter la puissance de l’impact de ces derniers pour les entreprises qui vont acheter ces espaces de publicité.

 

Il existe des millions d’applications tierce partie qui essayent de vendre de l’espace publicitaire (par exemple, le site web de votre journal en ligne préféré ou votre application de météo sur votre smartphone) et énormément d’entreprises qui veulent acheter de l’espace publicitaire. Google agit majoritairement en tant que facilitateur permettant de les connecter.

 

Quand vous voyez une publicité sur un site web ou dans une application sur votre smartphone, les chances que Google est responsable de propulser la publicité qui est affiché sont très élevés.

Au premier chargement d’un site web, il y aura une ou plusieurs cases vides sur la page qui contiendront très rapidement des publicités. Il y a quelques fractions de seconde ou une vente aux enchères haute vitesse s’effectue pour cet espace/case de publicité, processus nommé Real-Time-Bidding ("RTB" ou "Mises en Temps Réel"), chose qui se fait pour chaque espace/case de publicité sur le site. Ces ventes aux enchères ne sont pas pour le positionnement de l’espace publicitaire sur la page mais pour votre consultation (on paye pour vos yeux).

De ce fait devient très important pour les entreprises qui veulent mettre en avant leur contenu de savoir à qui ces publicités seront affichés (et donc d’avoir accès à vos données personnelles et informations sensibles). Ces informations dressent votre profil individuel (qui incluent entre autre vos cookies, vos centre d’intérêts, votre âge, votre nom, votre géolocalisation et même l’application que vous êtes en train de consulter) pour que les entreprises puissent faire de meilleurs choix et définir le montant qu’ils souhaite payer pour mettre en avant leur publicité (chose qui s’effectue à l’aide d’algorithmes spécifiques et dédiés permettant d’estimer la rentabilité pour l’entreprise et le montant qu’ils souhaitent mettre en tant que leur mise pour cet enchère). Ces opérations s’effectuent dans un délai d’environ 50 à 100 millisecondes.

 

Les datas récoltés (vos données personnelles et informations sensibles) sont "collectés" grâce à du code spécifique qui existe sur les pages web et applications sur smartphones.

Nous sommes longtemps restés sans détails sur l’étendue des datas collectés et utilisés pour dresser les profils des utilisateurs. Toutefois, le Conseil Irlandais pour les Libertés Civiles a pu retrouver un document qui nous permets de savoir plus en détails l’étendu des datas collectés.

Ce document appelé le "taxonomie d’audience de l’IAB" (à savoir que l’IAB est l’un des deux entreprises qui définit les standards de l’industrie du RTB, l’autre entreprise étant Google-même) décompose comment les personnes sont catégorisés dans le système, à savoir :

• Votre religion,
• Votre secteur d’activité (par exemple, si vous travaillez dans le domaine de la défense),
• Vos habitudes de jeux d’argent en ligne,
• Votre rapport avec/opinion sur le cannabis,
• Votre état de santé (santé mental, santé physique, type de médicaments consommées/utilisés, cancer, …),
• Les montants de vos comptes en banque,
• Le temps restant sur vos hypothèques (si vous en avez),
• Ce que vous lisez, écoutez et regardez,
• Des inférences sur vos préférences sexuelles,
• Vos opinions politiques,
• Votre localisation physique (pouvant aller même jusqu’aux coordonnées GPS de votre positon actuelle),
• Et bien plus encore !

Par exemple, le code de catégorisation 357 vous indique comme étant une personne avec un enfant ayant des besoins spéciaux à sa charge.

Ceci est maintenu à jour à chaque instant que nous sommes "en ligne" et connectés à internet.

 

Ces datas ne sont pas vendus à une partie/entreprise spécifique, elles sont diffusées ouvertement et gratuitement, et certaines entreprises choisissent de les collecter librement.

Il ne s’agit pas uniquement de Google (même si Google est considéré comme étant l’un des plus gros acteurs du fait qu’ils ont le plus de succès à se faire indemniser pour les informations qu’ils publient/diffusent). Beaucoup le font, dont même des entreprises aux noms dont on n’a jamais entendu parler.

En revenant sur les autres membres du GAFAM, Amazon, Facebook et Microsoft ont aussi leurs propres moyens pour récolter ces datas et leurs propres systèmes RTB dont nous n’allons pas en parler ici (pour ne pas allonger d’avantage cet article). Les entreprise coté receveur/acheteur de ces datas ont aussi leurs propres systèmes.

Une chose dont ils ont tous est une liste de "acheteurs autorisés", entreprises auxquels ils admettent vendre les datas.

 

Pour Google, cette liste des "acheteurs autorisés" contient 4698 entreprise américaines et 1058 entreprises européennes.

Microsoft ne publie pas ouvertement sa liste, mais a récemment acquis "Xander", un gros acteur de l’échange publicitaire, qui a plus de 1600 entreprise sur sa liste.

 

Ces entreprises "acheteurs" vont des revendeurs de publicités aux purs collecteurs de data, avec tous les degrés possibles entre ces deux extrémités de cette échelle entre-deux. Ces entreprises échangent aussi les datas entre eux.

Il en résulte que des milliers d’entreprises ont vos datas et les transmettent à des milliers d’autres, et ce toutes les secondes.

Par exemple, l’entreprise Ventel aux États-Unis collecte et assemble ces datas afin de former des cartes de localisation des personnes avec les parcours et trajets effectués. Ces nouvelles "cartes" d’informations sont ensuite vendus aux agences militaires, agences d’intelligence, organismes de taxation, … (et ceci n’est que pour les ventes connus aux États-Unis).

 

Les datas sont aussi vendus en Chine et en Russie, et ainsi les entreprises qui achètent ces données peuvent savoir ce qui vous faites et regardez en ligne en temps réel, au moment même que vous consultez un contenu. Ces datas peuvent ensuite être reliés aux données de géolocalisation pour savoir où vous êtes/étiez au moment d’avoir consommé ces contenus.

 Il s’agit de la plus grande brèche dans l’histoire de la data qui se répète tous les jours.

 Le grand point à la source de ce problème est le fait que nous, en tant qu’utilisateurs, acceptons explicitement la collecte et le partage de nos données en acceptant des termes et conditions d’utilisation qui nous informent de ce fait.

 Malheureusement les politiques de confidentialité sont à notre encontre car en réalité elles ne font que protéger les entreprises qui les mettent en place.

 

 En conclusion, et après cet exposé assez explicite sur Google, est-ce que les GAFAM vendent nos données ?

Non, ils collectent nos données, les diffusent et d’une manière ils en sont récompensés, mais du point de vue purement technique ils ne les vendent pas… Ce qui est probablement pire !

Nous n’avons parlé que des GAFAM, mais d’autres collectent aussi vos données personnelles et informations sensibles, dont le nouveau « réseau social » TikTok  qui est le pire d’eux tous en termes de datas collectés à votre insu (mais ceci est sujet pour un autre article).

Alors qu’est-ce qu’on en pense ?