Les data brokers, ou courtiers en données, transforment des fragments de vie quotidienne en profils revendables. Leur activité reste souvent invisible : une personne peut ne jamais avoir créé de compte chez eux, tout en figurant dans leurs bases avec son adresse, ses proches, ses habitudes d’achat, certains centres d’intérêt, des données publiques ou des catégories déduites.
Le danger ne tient pas seulement à une donnée isolée. Il vient du croisement : registres publics, applications mobiles, achats, formulaires, réseaux sociaux, historiques de navigation et fichiers revendus par d’autres intermédiaires peuvent former un portrait très intime. Pour l’utilisateur, le plus inquiétant est l’asymétrie : l’industrie sait beaucoup, tandis que la personne concernée ignore souvent qui détient quoi, pourquoi et comment le corriger.
Une industrie qui travaille souvent sans contact direct avec vous
Dans son rapport de référence publié en 2014, la Federal Trade Commission définit les data brokers comme des entreprises dont l’activité principale consiste à collecter des informations personnelles depuis diverses sources, puis à les agréger, les analyser et les partager. Les usages peuvent aller du marketing à la vérification d’identité ou à la détection de fraude.
Le rapport insiste sur un point essentiel : les courtiers étudiés collectaient, manipulaient et partageaient de nombreuses informations sans interagir directement avec les consommateurs. Beaucoup de personnes ne savent donc pas que ces dossiers existent. Certaines données peuvent être exactes, d’autres obsolètes ou déduites, mais elles circulent quand même dans un marché où l’origine d’un élément devient difficile à retracer.
D’où viennent les données sensibles ?
La FTC distingue trois grandes familles de sources : les sources gouvernementales, les sources publiquement disponibles et les sources commerciales. Les registres publics peuvent inclure des informations immobilières, des licences professionnelles, des décisions de justice, des faillites ou certains actes d’état civil selon les pays et juridictions. Les sites de recherche de personnes compilent aussi des informations comme les adresses actuelles et passées, les proches, les biens immobiliers ou certains dossiers publics.
Les sources publiques en ligne jouent également un rôle : profils sociaux visibles, blogs, annuaires, articles ou informations publiées sans restriction d’accès. Une donnée publiée dans un contexte précis peut ensuite être réutilisée ailleurs, associée à d’autres éléments, puis vendue dans un rapport ou un segment marketing.
Les sources commerciales sont plus discrètes mais très puissantes. La FTC décrit des données issues de détaillants, catalogues, abonnements, sites d’inscription, transactions agrégées ou enquêtes marketing. Elles peuvent porter sur le type de produit acheté, le montant, la date ou le moyen de paiement. Certaines catégories d’achat peuvent révéler indirectement un niveau de revenu, une situation familiale, une préoccupation de santé ou une vulnérabilité.
Localisation, santé, religion : pourquoi le risque devient personnel
La localisation est l’une des données les plus intrusives. Dans l’affaire X-Mode Social et Outlogic, la FTC a indiqué que des données de localisation précises pouvaient servir à suivre les visites de personnes dans des lieux sensibles, notamment des cliniques médicales, des cliniques de santé reproductive, des lieux de culte ou des refuges pour victimes de violences domestiques. L’autorité a souligné que la géolocalisation peut révéler où une personne vit, avec qui elle passe du temps, quels soins elle recherche et où elle pratique sa religion.
L’affaire InMarket montre un autre mécanisme : l’agrégation de données de localisation avec des points d’intérêt publicitaires pour créer des segments d’audience. La FTC cite des catégories comme “parents of preschoolers”, “Christian church goers” ou “wealthy and not healthy”. Même lorsque l’objectif affiché est publicitaire, ces catégories peuvent exposer des informations très personnelles sur la famille, la religion, la santé supposée ou le niveau social.
Le profilage ne se limite pas à la publicité
Le rapport de la FTC montre que les data brokers peuvent créer des segments qui paraissent anodins, comme les propriétaires de chiens ou les amateurs d’activités d’hiver, mais aussi des catégories plus sensibles. Le rapport cite notamment “Expectant Parent”, “Diabetes Interest” ou “Cholesterol Focus”. Ces étiquettes ne sont pas des diagnostics médicaux, mais elles peuvent influencer la manière dont une personne est ciblée, évaluée ou exploitée commercialement.
Le risque est aussi physique. Les sites de recherche de personnes peuvent vendre des rapports contenant l’adresse, d’anciennes adresses, l’âge, des proches ou des informations de propriété. La FTC avertit que cela pose un problème particulier pour les personnes victimes de harcèlement ou de violences domestiques, qui ne veulent pas que leur lieu de vie ou celui de leur famille soit facilement accessible.
La sécurité nationale peut également être concernée. Une étude de Duke University consacrée aux données de militaires américains indique que des informations sensibles sur des militaires actifs, leurs familles et des vétérans pouvaient être obtenues auprès de courtiers, y compris des données non publiques, individuellement identifiables, liées à la santé, aux finances ou aux pratiques religieuses. L’équipe de recherche dit avoir acheté certaines données pour seulement 0,12 dollar par enregistrement.
Pourquoi il est si difficile de reprendre le contrôle
Le marché fonctionne par revente et enrichissement successifs. La FTC note que sept des neuf courtiers étudiés achetaient ou vendaient des informations entre eux. Une donnée peut donc passer d’un formulaire à un partenaire, puis à un courtier, puis à un autre acteur qui la combine avec d’autres informations. Pour la personne concernée, retrouver la source initiale peut devenir presque impossible.
C’est aussi pour cela qu’un retrait ponctuel ne règle pas toujours tout. Sur les sites de recherche de personnes, la FTC explique que l’opt-out peut empêcher la vente de certaines informations existantes, mais ne supprime pas les registres publics d’origine. Des données peuvent réapparaître si une base est mise à jour ou si elles sont récupérées ailleurs.
Comment se protéger concrètement
La première bonne pratique consiste à réduire les données inutiles. Il faut vérifier les permissions des applications, surtout la localisation, les contacts, les photos et l’accès en arrière-plan. Une application météo, un jeu ou un service de coupons n’a pas toujours besoin de suivre la position en continu. Sur téléphone, il est aussi utile de limiter ou réinitialiser l’identifiant publicitaire.
Côté navigation, la FTC recommande de supprimer les cookies et l’historique si l’on veut réduire les publicités basées sur l’activité passée, de régler les paramètres de confidentialité du navigateur, de limiter le partage de localisation et d’examiner les permissions des applications et réseaux sociaux. Les bloqueurs de publicité ou de traqueurs peuvent aider, même s’ils ne bloquent pas tout.
Il faut aussi compartimenter ses usages : une adresse email pour les achats et newsletters, une autre pour la banque, la santé et l’administration ; des mots de passe uniques ; l’authentification à deux facteurs ; et le refus des formulaires qui rendent l’acceptation de la prospection plus visible que le refus. La CNIL a sanctionné en 2025 la société CALOGA dans un dossier portant notamment sur la prospection et la transmission de données sans base légale valable, avec des collectes liées à des jeux-concours ou tests de produits.
En France et dans l’Union européenne, les droits RGPD sont essentiels : droit d’accès, rectification, opposition, effacement, limitation, portabilité, déréférencement et droits liés au profilage. Ces demandes peuvent être adressées aux organismes qui utilisent les données. Elles ne font pas disparaître tout l’écosystème, mais elles permettent de contester, corriger ou limiter certains traitements.
Conclusion : moins de traces, moins de profilage
Les data brokers prospèrent parce que chaque action numérique ou administrative peut devenir une pièce de profil : achat, application, adresse, formulaire, publication publique, localisation ou donnée issue d’un registre. La protection parfaite n’existe pas, mais chaque barrière réduit la précision des profils et le risque d’exploitation.
La règle pratique est simple : donner moins, séparer ses usages, refuser les permissions inutiles, nettoyer régulièrement les sites de recherche de personnes, surveiller ses comptes, utiliser ses droits et se méfier des formulaires qui transforment une participation anodine en consentement commercial. La vie privée ne se protège plus seulement par le secret ; elle se protège par la réduction systématique de ce qui peut être collecté, recoupé et revendu.
Sources
- Federal Trade Commission — Data Brokers: A Call for Transparency and Accountability, mai 2014
- Federal Trade Commission — rapport PDF Data Brokers, mai 2014
- FTC — Order prohibiting X-Mode Social and Outlogic from selling sensitive location data, 9 janvier 2024
- FTC — Order will ban InMarket from selling precise consumer location data, 18 janvier 2024
- FTC Consumer Advice — What To Know About People Search Sites That Sell Your Information
- FTC Consumer Advice — How Websites and Apps Collect and Use Your Information
- Duke University — Data Brokers and the Sale of Data on U.S. Military Personnel, novembre 2023
- CNIL — Les droits pour maîtriser vos données personnelles
- CNIL — Courtiers en données : sanction de 80 000 euros à l’encontre de CALOGA, 27 mai 2025