Menu
× Accueil Supprimer un compte Blog En savoir plus
← Blog Comprendre les données Intermédiaire 17 min

Surveillance, data-brokers et publicité ciblée : l'ombre de la donnée

Surveillance, data-brokers et publicité ciblée : l'ombre de la donnée

Vous n'avez rien à cacher. C'est probablement ce que vous vous dites. C'est aussi ce que se disaient les 533 millions d'utilisateurs Facebook dont les données ont fuité en 2021. Et les 33 millions de Français touchés par le piratage de Viamedis et Almerys en février 2024 — numéros de sécurité sociale, mutuelles, états civils, dans la nature.

Le problème n'a jamais été d'avoir quelque chose à cacher. Le problème, c'est qu'un marché mondial de 250 milliards de dollars repose sur la collecte, l'échange et la revente de vos informations personnelles. Des entreprises dont vous n'avez jamais entendu le nom savent où vous habitez, ce que vous achetez, quels médicaments vous prenez, qui vous fréquentez. D'autres — étatiques, celles-là — exploitent ces mêmes flux pour surveiller des journalistes, des opposants, ou des populations entières.

"Si c'est gratuit, c'est que vous êtes le produit." La formule est devenue un cliché. Elle reste vraie. Mais elle est aussi incomplète : même quand vous payez, vos données circulent.

Le modèle économique de la surveillance : la publicité

Google, Meta : des régies publicitaires qui se déguisent en services

Google ne vend pas de la recherche. Meta ne vend pas du lien social. Ce sont des régies publicitaires. La recherche et le réseau social sont le moyen ; la publicité est la fin.

Le mécanisme est limpide. Vous utilisez Gmail, Google Maps, YouTube, Chrome. Chaque service collecte des données sur vous : vos recherches, vos trajets, vos centres d'intérêt, vos contacts. Ces données alimentent un profil publicitaire d'une précision chirurgicale. Les annonceurs paient Google pour afficher leurs publicités aux bonnes personnes, au bon moment, sur le bon écran. En 2024, Alphabet (maison mère de Google) a généré plus de 300 milliards de dollars de revenus — dont environ 80 % proviennent de la publicité.

Meta fonctionne sur le même modèle. Facebook, Instagram, WhatsApp, Messenger : quatre applications, 3,3 milliards d'utilisateurs actifs quotidiens, un volume de données comportementales sans équivalent. Chaque photo postée, chaque groupe rejoint, chaque lien cliqué affine votre profil. La publicité représente 97 % du chiffre d'affaires de Meta.

Ce modèle a une conséquence structurelle : l'intérêt de ces entreprises est que vous passiez le maximum de temps sur leurs plateformes. Plus vous scrollez, plus elles collectent, plus elles vendent. Les algorithmes de recommandation ne sont pas conçus pour vous informer ou vous divertir. Ils sont optimisés pour maximiser votre temps d'écran — et donc le volume de données qu'ils captent.

La publicité programmatique : aux enchères en 100 millisecondes

Quand vous chargez une page web qui affiche de la publicité, il ne se passe pas ce que vous imaginez. Il n'y a pas un commercial qui a négocié l'emplacement par téléphone. Il y a un processus entièrement automatisé, le RTB (Real-Time Bidding), qui se déroule en moins de 100 millisecondes — le temps d'un battement de paupière.

Voici ce qui se passe, concrètement, entre le moment où vous cliquez sur un lien et celui où la page s'affiche :

  1. Le site envoie une requête à une plateforme d'enchères (SSP — Supply-Side Platform)
  2. La plateforme transmet votre profil (localisation, historique de navigation, centres d'intérêt, appareil, heure) à des dizaines d'annonceurs potentiels
  3. Ces annonceurs soumettent une offre en temps réel via leur propre plateforme (DSP — Demand-Side Platform)
  4. Le plus offrant remporte l'emplacement. Sa publicité s'affiche.

Tout cela, en moins d'un dixième de seconde. L'Irish Council for Civil Liberties a documenté en 2022 que les données d'un internaute européen moyen sont partagées avec des centaines d'entreprises publicitaires — jusqu'à 747 fois par jour. Chaque partage est une fuite de données que vous n'avez ni vue, ni autorisée consciemment.

Le RTB est le moteur invisible de l'internet gratuit. C'est aussi une machine à disséminer vos données personnelles à grande échelle.

Le saviez-vous ? En 2023, une enquête de l'ICCL a révélé que le RTB génère 294 milliards de transmissions de données personnelles par jour en Europe et aux États-Unis. Chaque transmission contient des informations détaillées : localisation GPS, sites visités, inférences sur la santé, la sexualité, les opinions politiques. Ce volume dépasse, de loin, toute base de données étatique.

À retenir :

  • Google et Meta tirent l'essentiel de leurs revenus de la publicité ciblée — pas des services que vous utilisez
  • Le RTB dissémine vos données auprès de centaines d'acteurs en temps réel, sans que vous en ayez conscience
  • Chaque seconde passée sur un service gratuit alimente le profil publicitaire que ces plateformes revendent

Les data-brokers : les revendeurs de l'ombre

Qu'est-ce qu'un data-broker ?

Un data-broker (courtier en données) est une entreprise dont le métier est de collecter, agréger et revendre des informations sur des individus. Pas un réseau social. Pas un moteur de recherche. Une entreprise spécialisée, souvent inconnue du grand public, qui constitue des profils à partir de sources multiples et les commercialise auprès d'annonceurs, d'assureurs, de banques, de recruteurs — ou de n'importe qui prêt à payer.

Les sources sont variées : registres publics, programmes de fidélité, achats en ligne, données de géolocalisation, historiques de navigation, fichiers des réseaux sociaux. Un data-broker typique combine des dizaines de sources pour constituer des profils qui contiennent plusieurs milliers de points de données par individu.

Les noms les plus connus aux États-Unis : Acxiom (rebaptisé LiveRamp), Experian, Epsilon, Oracle Data Cloud (fermé en 2023 sous pression réglementaire), LexisNexis. Acxiom revendiquait en 2018 des profils sur plus de 2,5 milliards de consommateurs dans le monde — soit un tiers de l'humanité.

Un marché à 250 milliards de dollars

Le marché mondial des data-brokers est estimé entre 250 et 300 milliards de dollars par an en 2026. Pour donner un ordre de grandeur : c'est plus que le PIB de la Finlande.

Ce marché est opaque par nature. Les data-brokers ne vendent pas directement aux consommateurs. Ils opèrent en B2B, dans un écosystème que le grand public ne voit jamais. Vous ne recevrez jamais une facture d'Acxiom ou d'Experian — mais les données qu'ils revendent déterminent les publicités que vous voyez, le prix de votre assurance auto, et parfois votre capacité à obtenir un crédit.

En France, le marché est moins documenté mais bien réel. Des courtiers comme Criteo (leader français de l'adtech, coté au Nasdaq), Weborama ou Médiamétrie occupent des segments de ce marché. Les fichiers de la grande distribution (cartes de fidélité Carrefour, Leclerc, Casino) contiennent des historiques d'achat d'une précision redoutable — et ces données sont exploitées commercialement.

Cambridge Analytica : quand le profilage manipule la démocratie

En mars 2018, le Guardian et le New York Times révèlent l'affaire Cambridge Analytica. Les faits : entre 2014 et 2015, un chercheur de l'université de Cambridge diffuse un quiz de personnalité sur Facebook. 270 000 personnes y participent. Mais l'application siphonne aussi les données des amis de ces participants — au total, 87 millions de profils Facebook aspirés sans consentement.

Ces données sont transmises à Cambridge Analytica, une société de consulting politique. L'entreprise les exploite pour constituer des profils psychographiques et cibler des électeurs avec des messages personnalisés lors de la campagne présidentielle américaine de 2016 (Donald Trump) et du référendum sur le Brexit.

L'affaire a provoqué une onde de choc mondiale. Mark Zuckerberg a été auditionné par le Congrès américain et le Parlement européen. Facebook a écopé d'une amende de 5 milliards de dollars de la FTC — la plus lourde jamais infligée à une entreprise tech à l'époque. Cambridge Analytica a fait faillite.

La leçon est brutale : les données collectées par les plateformes ne servent pas qu'à vendre des chaussures. Elles peuvent servir à manipuler des élections.

Le saviez-vous ? Le lanceur d'alerte de l'affaire Cambridge Analytica, Christopher Wylie, avait 24 ans quand il a contribué à créer le système de profilage psychographique. Il a décrit les profils utilisés comme des "armes de guerre informationnelle".

À retenir :

  • Un data-broker collecte et revend vos données sans que vous le sachiez — c'est son modèle d'affaires
  • Le marché mondial dépasse 250 milliards de dollars. Des milliers de points de données par individu sont commercialisés
  • L'affaire Cambridge Analytica a montré que le profilage de masse peut servir à manipuler des processus démocratiques

La fin des cookies tiers : un vrai changement ou un trompe-l'oeil ?

Le cookie tiers, un mouchard en voie de disparition

Depuis les années 2000, le cookie tiers est le principal outil de pistage publicitaire sur le web. Quand vous visitez un site, ce ne sont pas seulement les serveurs de ce site qui déposent un cookie sur votre navigateur. Des dizaines de traceurs tiers — réseaux publicitaires, data-brokers, plateformes d'analytics — en déposent aussi. Ces cookies les suivent de site en site, reconstituant votre parcours de navigation en temps réel.

Safari (Apple) bloque les cookies tiers par défaut depuis 2020. Firefox (Mozilla) depuis 2022. Google Chrome, qui représente environ 65 % du marché des navigateurs, a annoncé leur suppression en 2020... puis l'a repoussée en 2021, 2023, 2024, avant de proposer en 2025 un modèle hybride où l'utilisateur choisit. Un calendrier qui n'a rien de surprenant quand on sait que la publicité ciblée via cookies représente une part substantielle des revenus de Google.

Privacy Sandbox et Topics API : le pistage nouvelle génération

Google ne supprime pas le ciblage publicitaire. Il le remplace. Le projet Privacy Sandbox vise à substituer aux cookies tiers un ensemble d'API intégrées au navigateur Chrome. La plus connue, Topics API, fonctionne ainsi : Chrome analyse localement votre historique de navigation, en déduit vos centres d'intérêt (sports, cuisine, voyages...) et transmet ces "topics" aux annonceurs sans révéler votre identité.

Sur le papier, c'est mieux : pas de pistage individuel intersite, pas de profil centralisé chez un tiers. En pratique, les critiques sont nombreuses. L'Electronic Frontier Foundation note que Topics API maintient le principe d'un navigateur qui observe votre comportement pour servir de la publicité. Le W3C (organisme de standardisation du web) a refusé d'adopter Privacy Sandbox comme standard, et Mozilla a publiquement critiqué l'approche.

Le danger, c'est le déplacement du pouvoir. Avec les cookies tiers, le pistage était distribué entre des centaines d'acteurs. Avec Privacy Sandbox, il serait centralisé dans Chrome — un navigateur contrôlé par la plus grande régie publicitaire du monde.

Les bannières de consentement : du droit au dark pattern

Depuis le RGPD (2018) et la directive ePrivacy, tout site européen doit recueillir votre consentement avant de déposer des cookies non essentiels. D'où l'omniprésence des bannières "Accepter / Refuser".

En théorie, vous avez le choix. En pratique, les dark patterns sont partout. Le bouton "Accepter tout" est vert, large, visible. Le bouton "Refuser" est gris, petit, parfois caché derrière un lien "Paramétrer". Certains sites exigent que vous décochiez manuellement 300 partenaires. D'autres rendent le refus si laborieux que la plupart des utilisateurs cèdent par lassitude.

La CNIL a sévi. En décembre 2021, elle a infligé 150 millions d'euros à Google et 60 millions à Facebook pour avoir rendu le refus des cookies plus difficile que l'acceptation. Depuis janvier 2022, la CNIL exige un bouton "Refuser tout" aussi accessible que le bouton "Accepter tout". Les contrevenants s'exposent à des sanctions.

Le combat n'est pas gagné pour autant. Une étude de 2023 (Université de Bochum) a montré que 90 % des bannières de cookies en Europe restent non conformes au RGPD, de manière plus ou moins subtile.

À retenir :

  • Les cookies tiers disparaissent progressivement, mais les alternatives (Privacy Sandbox) ne suppriment pas le ciblage — elles le déplacent
  • Les bannières de consentement sont souvent conçues pour vous pousser à accepter (dark patterns)
  • La CNIL impose un bouton "Refuser tout" aussi visible que "Accepter tout" — vérifiez avant de cliquer

Surveillance étatique : quand les États aussi vous observent

Snowden (2013) : le déclic

Le 6 juin 2013, le Guardian publie les premières révélations d'Edward Snowden, ancien sous-traitant de la NSA (National Security Agency). Les documents dévoilent l'existence de programmes de surveillance de masse : PRISM (accès direct aux serveurs de Google, Facebook, Apple, Microsoft), XKeyscore (recherche dans l'ensemble des communications internet mondiales), Tempora (interception des câbles sous-marins par le GCHQ britannique).

L'ampleur est sans précédent. La NSA collectait les métadonnées téléphoniques de centaines de millions d'Américains. Elle interceptait les communications de chefs d'État alliés — Angela Merkel, François Hollande, Dilma Rousseff. Elle avait accès, via des accords secrets avec les opérateurs télécoms, à une fraction massive du trafic internet mondial.

Snowden a fui aux États-Unis, trouvé refuge en Russie et reste inculpé d'espionnage. Son acte a pourtant changé la donne : il a forcé un débat public mondial sur la surveillance de masse et accéléré l'adoption du chiffrement de bout en bout par les messageries (WhatsApp, Signal).

Pegasus : l'espionnage sur mesure

En 2021, un consortium de journalistes coordonné par Forbidden Stories révèle l'ampleur de l'utilisation de Pegasus, un logiciel espion développé par NSO Group, entreprise israélienne. Pegasus peut être installé à distance sur un smartphone — sans que la cible clique sur quoi que ce soit (attaque "zero-click"). Une fois installé, il accède à tout : messages, photos, localisation GPS, micro, caméra.

La liste des cibles identifiées : des journalistes (dont des collaborateurs du Monde, de Mediapart), des militants des droits humains, des avocats, des chefs d'État (Emmanuel Macron figurait sur la liste des numéros ciblés). Des dizaines de gouvernements ont acquis Pegasus : Maroc, Arabie saoudite, Hongrie, Mexique, Inde, Azerbaïdjan...

NSO Group affirme ne vendre qu'à des États pour la lutte antiterroriste. Les faits documentés montrent un usage systématique contre des opposants politiques, des journalistes et la société civile.

En novembre 2021, les États-Unis ont placé NSO Group sur leur liste noire commerciale. Apple a porté plainte. Mais le marché des logiciels espions n'a pas disparu : des concurrents (Intellexa/Predator, Candiru, QuaDream) occupent le même créneau.

Palantir : le big data au service du renseignement

Palantir Technologies, fondée en 2003 par Peter Thiel (cofondateur de PayPal) avec un financement initial de la CIA (via In-Q-Tel), est spécialisée dans l'analyse de données massives. Ses logiciels — Gotham (renseignement) et Foundry (entreprises) — permettent de croiser des milliards de données hétérogènes : relevés téléphoniques, transactions bancaires, images satellite, fichiers administratifs.

La CIA, la NSA, la DEA, le FBI, l'armée américaine sont clients. En France, la DGSI utilise Palantir depuis 2016 pour le renseignement antiterroriste — un contrat qui a suscité des débats sur la souveraineté numérique. Lors de la pandémie de COVID-19, le NHS britannique a signé un contrat avec Palantir pour gérer les données de santé, provoquant une polémique sur la confidentialité des données médicales.

Palantir aurait contribué à la localisation d'Oussama Ben Laden en 2011, en croisant des données de renseignement hétérogènes. L'entreprise n'a jamais confirmé ni démenti.

Surveillance étatique en 2026 : la carte du monde

Chine. Le système de crédit social, expérimenté depuis 2014, attribue un score aux citoyens en fonction de leur comportement : paiement des factures, respect du code de la route, publications en ligne, fréquentations. Un score bas peut entraîner l'interdiction de prendre l'avion, le train, ou d'inscrire ses enfants dans certaines écoles. Couplé à un réseau de 600 millions de caméras de surveillance et à la reconnaissance faciale, c'est le dispositif de contrôle social le plus étendu jamais déployé.

Russie. Le système SORM (System of Operative-Investigative Measures) impose aux opérateurs télécoms de donner un accès direct au FSB (services de renseignement) à l'ensemble des communications. Depuis l'invasion de l'Ukraine, la censure internet s'est intensifiée : VPN interdits, accès à Facebook et Instagram bloqué, loi imposant la localisation des données sur des serveurs russes.

Europe. On se croit à l'abri. C'est en partie vrai — le RGPD offre un cadre protecteur unique au monde. Mais la surveillance existe aussi. La reconnaissance faciale est testée dans plusieurs villes (Nice en France, lors du carnaval 2019). Le règlement européen sur l'IA (AI Act, 2024) interdit la reconnaissance faciale en temps réel dans l'espace public sauf exceptions (terrorisme, criminalité grave) — mais ces exceptions sont larges. Et plusieurs pays européens disposent de lois de surveillance étendues : la loi Renseignement en France (2015), l'Investigatory Powers Act au Royaume-Uni (2016).

Le saviez-vous ? Clearview AI, start-up américaine, a constitué une base de reconnaissance faciale en scrapant plus de 30 milliards de photos sur le web (réseaux sociaux, sites d'information, annuaires). Sans consentement, en violation du RGPD. La CNIL lui a infligé une amende de 20 millions d'euros en 2022. L'entreprise n'a pas payé — elle n'a pas de bureau en France. La base de données existe toujours.

À retenir :

  • La surveillance de masse n'est pas une théorie complotiste — Snowden l'a documentée avec des preuves irréfutables
  • Pegasus montre que des logiciels espions de niveau militaire sont utilisés contre des civils : journalistes, avocats, politiques
  • L'Europe est mieux protégée (RGPD, AI Act) mais pas immunisée — la reconnaissance faciale et les lois de surveillance existent aussi chez nous

Piratage et ransomwares : quand vos données deviennent une arme

Ransomwares : un hold-up numérique en pleine expansion

Un ransomware (rançongiciel) est un logiciel malveillant qui chiffre les données d'un système informatique et exige une rançon pour les déchiffrer. Le principe est simple : vos fichiers sont pris en otage. Payez, ou perdez tout.

Le coût mondial des ransomwares est estimé à plus de 20 milliards de dollars par an en 2026. Ce chiffre inclut les rançons payées, les coûts de remédiation, les pertes d'exploitation et les dommages réputationnels.

Les cibles ne sont plus seulement les entreprises. Les hôpitaux, les collectivités locales, les mutuelles sont devenus des proies privilégiées — parce qu'ils détiennent des données sensibles, parce que leurs systèmes sont souvent vétustes, et parce que l'urgence de rétablir le service pousse à payer.

France — attaques marquantes :

  • CHU de Corbeil-Essonnes (août 2022) : système d'information paralysé pendant des semaines, données patients diffusées sur le dark web. Rançon demandée : 10 millions de dollars. Non payée.
  • CHU de Rennes (juin 2023) : données administratives et médicales exfiltrées
  • Mairie de Lille (mars 2023) : 1,7 To de données volées, services municipaux perturbés pendant des mois
  • Viamedis et Almerys (février 2024) : piratage des opérateurs du tiers payant, 33 millions de Français concernés. Données exposées : état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur. La CNIL a ouvert une enquête et rappelé les droits des personnes concernées.

TikTok : réseau social ou outil de renseignement ?

TikTok est détenu par ByteDance, entreprise chinoise. La question qui occupe les gouvernements occidentaux depuis 2020 : les données des utilisateurs sont-elles accessibles au gouvernement chinois ?

En 2023, le PDG de TikTok, Shou Zi Chew, a été auditionné par le Congrès américain. La même année, la Commission européenne et plusieurs gouvernements (France, Pays-Bas, Belgique) ont interdit TikTok sur les téléphones professionnels de leurs fonctionnaires. En 2024, les États-Unis ont voté une loi imposant à ByteDance de vendre TikTok sous peine d'interdiction — le processus était encore en cours de contestation judiciaire début 2026.

TikTok affirme stocker les données des utilisateurs européens en Europe (projet "Clover", data centers en Irlande et en Norvège) et avoir mis en place un audit indépendant. Les sceptiques notent que la loi chinoise sur le renseignement (2017) oblige toute entreprise chinoise à coopérer avec les services de renseignement sur demande.

La vérité est que personne, en dehors de ByteDance, ne peut affirmer avec certitude ce qui se passe avec les données. C'est précisément le problème : l'opacité est incompatible avec la confiance.

À retenir :

  • Les ransomwares coûtent plus de 20 milliards de dollars par an et frappent des hôpitaux, des mutuelles, des collectivités
  • 33 millions de Français ont été touchés par le piratage Viamedis/Almerys en 2024
  • TikTok cristallise les tensions géopolitiques autour de la donnée — avec des questions sans réponse définitive

Se protéger : les outils existent

Gestes techniques à la portée de tous

La protection totale n'existe pas. Mais réduire significativement votre exposition est accessible sans compétence technique particulière.

Navigateurs et moteurs de recherche. Firefox (avec les protections renforcées activées) ou Brave bloquent nativement les traceurs et cookies tiers. Côté moteur de recherche, DuckDuckGo et Qwant (français) ne construisent pas de profil publicitaire. Les résultats sont parfois moins pertinents que Google — c'est le prix de la vie privée.

Bloqueurs de publicité. uBlock Origin est le standard : open source, léger, efficace. Il bloque les publicités, les traceurs et une partie significative des scripts de pistage. Attention : Google restreint progressivement les bloqueurs de publicité sur Chrome (passage au Manifest V3). Firefox reste le navigateur le plus accueillant pour les adblockers.

VPN (Virtual Private Network). Un VPN chiffre votre connexion internet et masque votre adresse IP. Il ne vous rend pas anonyme (le fournisseur VPN voit votre trafic), mais il empêche votre fournisseur d'accès et les réseaux Wi-Fi publics de surveiller votre navigation. Fournisseurs de confiance : Mullvad (suédois, accepte le paiement en espèces), ProtonVPN (suisse, version gratuite). Évitez les VPN gratuits sans modèle de revenus transparent — s'ils ne vendent pas d'abonnement, ils vendent probablement vos données.

Messageries chiffrées. Signal est la référence : chiffrement de bout en bout, code source ouvert, protocole audité. WhatsApp utilise le même protocole de chiffrement, mais appartient à Meta — ce qui implique la collecte de métadonnées (qui parle à qui, quand, combien de temps).

Tor. Le réseau Tor anonymise votre connexion en la faisant transiter par plusieurs relais chiffrés. Utilisé par des journalistes, des lanceurs d'alerte et des dissidents. Le navigateur Tor est gratuit et légal. Navigation plus lente, certains sites le bloquent — mais c'est l'outil d'anonymat le plus robuste disponible publiquement.

Gestes juridiques : exercer vos droits RGPD

Les outils techniques limitent la collecte future. Pour les données déjà collectées, c'est le droit qui prend le relais.

Le RGPD vous donne des droits concrets :

  • Droit d'accès : demander à toute entreprise quelles données elle détient sur vous
  • Droit de suppression : exiger l'effacement de vos données
  • Droit d'opposition : refuser le traitement de vos données à des fins de prospection commerciale
  • Droit à la portabilité : récupérer vos données dans un format exploitable pour les transférer ailleurs

Ces droits ne sont pas décoratifs. Les entreprises ont un mois pour répondre. En cas de refus ou de non-réponse, vous pouvez saisir la CNIL — qui dispose désormais de moyens de sanction dissuasifs.

Le problème, c'est la friction. Identifier le bon interlocuteur (DPO, formulaire de contact, adresse postale), rédiger la demande, relancer si nécessaire : la plupart des gens abandonnent avant d'avoir commencé. C'est précisément cet obstacle que Fairmi supprime.

À retenir :

  • Firefox + uBlock Origin + DuckDuckGo : un trio de base qui réduit drastiquement le pistage
  • Signal pour les messages, un VPN de confiance sur les réseaux publics, Tor pour l'anonymat
  • Les outils techniques ne suffisent pas — exercer vos droits RGPD est nécessaire pour les données déjà collectées

Les dystopies ne sont plus de la fiction

En 1949, George Orwell publie 1984. Le roman décrit un régime totalitaire où chaque citoyen est surveillé par des "télécrans" et où la Novlangue réduit la pensée à ce que le pouvoir autorise. En 1999, Matrix imagine un monde où les humains vivent dans une simulation, exploités comme source d'énergie par des machines. En 2002, Equilibrium met en scène une société qui interdit les émotions et brûle les oeuvres d'art. En 2011, Black Mirror commence à diffuser des épisodes qui semblent de moins en moins fictifs à chaque saison.

Ces oeuvres posaient une question théorique. Elle est devenue concrète.

Le crédit social chinois, c'est 1984 avec une infrastructure numérique. Pegasus, c'est la surveillance ciblée que même Orwell n'avait pas imaginée — pas un télécran dans chaque pièce, mais un mouchard dans chaque poche. Les deepfakes et la désinformation algorithmique, c'est la Novlangue augmentée par l'intelligence artificielle. Le profilage publicitaire de masse, c'est la manipulation douce du comportement, sans coercition visible.

La question n'est plus "cela peut-il arriver ?" Elle est : "où placer la ligne ?"

L'IA amplifie le dilemme. Les modèles de langage génèrent du texte indiscernable de l'écriture humaine. Les systèmes de reconnaissance faciale identifient un visage parmi des milliards. Les algorithmes prédictifs anticipent des comportements avant qu'ils ne se produisent. Ces technologies ne sont ni bonnes ni mauvaises. Elles sont puissantes. Et le pouvoir, sans contre-pouvoir, dérive toujours.

Le contre-pouvoir, ici, c'est le droit — le RGPD, l'AI Act — et l'action individuelle. Savoir que ces mécanismes existent, c'est le premier pas. Exercer ses droits, c'est le deuxième.

En résumé

L'économie des données personnelles repose sur trois piliers qui se renforcent mutuellement :

  1. La publicité ciblée : Google, Meta et des milliers d'intermédiaires revendent votre attention, profilée par des milliards de points de données, via des enchères en temps réel
  2. Les data-brokers : un marché de 250 milliards de dollars qui agrège, recoupe et commercialise vos informations — souvent à votre insu
  3. La surveillance : étatique (NSA, Pegasus, crédit social chinois) ou criminelle (ransomwares, piratage), elle exploite les mêmes infrastructures de données

Face à cela, des protections existent. Techniques (Firefox, uBlock Origin, Signal, VPN). Juridiques (RGPD, AI Act, sanctions CNIL). Individuelles : refuser les cookies, limiter les services gratuits, exercer ses droits.

Aucune de ces protections n'est suffisante seule. Combinées, elles changent le rapport de force.

FAQ

Qu'est-ce qu'un data-broker et comment obtient-il mes données ?

Un data-broker (courtier en données) est une entreprise qui collecte des informations personnelles à partir de sources multiples — registres publics, programmes de fidélité, historiques d'achat, données de navigation, réseaux sociaux — puis les agrège en profils et les revend à des annonceurs, des assureurs ou d'autres entreprises. Des acteurs comme Acxiom, Experian ou Criteo opèrent sur ce marché. Le RGPD vous donne le droit d'accès pour savoir si un data-broker détient des données sur vous.

Les cookies tiers vont-ils vraiment disparaître ?

Safari et Firefox les bloquent déjà par défaut. Google Chrome, qui représente 65 % du marché, a repoussé leur suppression à plusieurs reprises et propose désormais un modèle hybride. Mais la fin des cookies tiers ne signifie pas la fin du ciblage publicitaire : des alternatives comme la Privacy Sandbox ou le ciblage contextuel prennent le relais. Le pistage change de forme, pas de nature.

Comment me protéger des ransomwares ?

Les gestes essentiels : maintenir vos logiciels à jour (les ransomwares exploitent des failles connues), sauvegarder régulièrement vos données sur un support déconnecté, ne pas ouvrir de pièces jointes d'expéditeurs inconnus, utiliser un antivirus à jour, activer l'authentification à deux facteurs sur vos comptes. En cas d'attaque, ne payez pas la rançon — rien ne garantit la restitution de vos données — et signalez l'incident sur cybermalveillance.gouv.fr.

Pegasus peut-il être installé sur mon téléphone ?

Techniquement oui, mais en pratique, Pegasus vise des cibles de haute valeur : journalistes, opposants politiques, avocats. Le logiciel exploite des failles "zero-day" (inconnues des éditeurs) et peut s'installer sans action de la victime. Maintenir votre téléphone à jour réduit le risque. Pour vérifier une éventuelle infection, l'outil MVT (Mobile Verification Toolkit) développé par Amnesty International est disponible en open source.

Comment savoir si mes données ont fuité ?

Le site Have I Been Pwned recense les fuites de données connues. Entrez votre adresse email : si elle apparaît dans une fuite, changez immédiatement le mot de passe du service concerné et activez l'authentification à deux facteurs. Pour les fuites françaises (Viamedis, France Travail...), la CNIL publie des recommandations spécifiques sur son site.

Le RGPD me protège-t-il contre la surveillance étatique ?

Partiellement. Le RGPD encadre le traitement des données personnelles par les entreprises et les administrations. Mais les activités de renseignement relèvent de régimes juridiques distincts (en France : la loi Renseignement de 2015, contrôlée par la CNCTR). Le RGPD a toutefois un effet indirect : en imposant des normes élevées de protection, il limite les données disponibles pour la surveillance et renforce la culture du respect de la vie privée.

Reprenez le contrôle face à la surveillance des données

Chaque bannière de cookies acceptée sans lire, chaque application installée sans vérifier les permissions, chaque service "gratuit" utilisé quotidiennement alimente un système qui transforme votre vie privée en matière première.

Vous ne pouvez pas démanteler ce système seul. Mais vous pouvez en sortir partiellement, données par données, droit par droit. Le RGPD vous en donne le pouvoir. Fairmi vous en donne les moyens : sélectionnez les entreprises qui détiennent vos données, choisissez le droit que vous voulez exercer, et la demande est envoyée pour vous. Accès, suppression, opposition — sans jargon, sans avocat, sans modèle de lettre à rédiger.

Exercer mes droits maintenant ->

Dans la même série

Intermédiaire

Bases de données et big data : comment vos données sont organisées

Qu'est-ce qu'une base de données ? Définition simple, big data, les 5V, data scientists et corrélations. Comment les entreprises structurent et exploitent vos informations personnelles.

16 min
Initié

Des GAFAM aux Magnificent 7 : pourquoi le pouvoir a changé de mains

GAFAM, NATU, BATX, Magnificent 7 : comment les géants du numérique se sont recomposés en 8 ans, pourquoi Nvidia a remplacé Facebook au sommet, et ce que ça change pour vos données.

17 min