SOLÈNE REVENEY / LE MONDE

 

Chaque seconde, des millions de données personnelles s’échangent sur le marché de la publicité en ligne. Issues des applications installées sur les smartphones, elles sont parfois assorties d’une géolocalisation précise. Et permettent donc le pistage, parfois à quelques mètres près, de millions d’utilisateurs de mobiles.

Ce marché publicitaire, où les données personnelles des mobinautes s’échangent et se vendent, prospère la plupart du temps sans que les premiers concernés en soient conscients. Et profite des angles morts des lois relatives aux données personnelles, en particulier le règlement général sur la protection des données (RGPD), adopté de haute lutte par l’Union européenne (UE) en 2016.

Une nouvelle enquête sur les courtiers en données personnelles, menée par le quotidien belge L’Echo, la rédaction spécialisée allemande Netzpolitik.org, la radio néerlandaise BNR, la radio allemande BR et Le Monde, montre que personne n’est épargné par cette industrie hors de contrôle. Pas même celles et ceux qui sont censés concevoir et appliquer le droit européen des données personnelles.

Plusieurs cadres de l’UE identifiés

Le Monde et ses partenaires ont eu accès à des échantillons de ces données concernant la Belgique, proposés gratuitement par un courtier pour faire montre de ses capacités : ils comportent plus de 2,5 millions d’identifiants publicitaires – chaque téléphone en a un, auquel sont associées les données personnelles comme la géolocalisation –, soit l’équivalent de plus de 20 % de la population belge. Les données sont présentées comme couvrant une période de quelques jours en octobre 2024.

Ces échantillons montrent à nouveau le caractère intrusif de ces données. Nous avons identifié 264 identifiants publicitaires géolocalisés au sein du bâtiment Berlaymont, quartier général de la Commission européenne à Bruxelles, et 756 au siège bruxellois du Parlement européen. En analysant leurs allées et venues, nous avons identifié plusieurs dizaines d’adresses pouvant appartenir à des membres des institutions européennes.

Une bonne partie de ces adresses correspondent à des immeubles de plusieurs logements. D’autres sont celles de maisons individuelles, dont certaines comportaient sur la sonnette ou la boîte aux lettres des patronymes correspondant à ceux de salariés des institutions de l’UE : dans la quasi-totalité de ces cas, leurs occupants n’ont pas souhaité répondre à nos questions, ni donner suite à la lettre expliquant notre démarche laissée dans leur boîte aux lettres.

 

Finalement, nous avons pu confirmer que cinq de ces adresses étaient celles d’officiels actuels des institutions européennes ou qui les avaient récemment quittées, dont trois de premier plan. L’un d’entre eux travaille même à un poste très sensible au sein de l’UE. Aucun n’a souhaité s’exprimer publiquement.

« Après avoir pris connaissance de l’enquête, la Commission européenne a diffusé de nouvelles consignes à ses équipes sur les paramétrages publicitaires des appareils personnels et professionnels », a fait savoir l’exécutif européen, sollicité par les médias partenaires. L’institution dit aussi sa « préoccupation » concernant ce « commerce des données de géolocalisation de citoyens et d’officiels de la Commission ». Alors même qu’un toilettage du RGPD se profile, elle renvoie la balle aux autorités nationales de protection des données chargées de « déterminer si les lois de l’UE en matière de données personnelles ont été enfreintes ».

Comme le révèlent par ailleurs les enquêtes de nos partenaires, plus d’un millier de téléphones sont géolocalisés au sein du siège de l’Organisation du traité de l’Atlantique Nord (OTAN), à Bruxelles, ainsi qu’au grand quartier général des puissances alliées en Europe, son quartier général, situé à Mons (Belgique). Un journaliste de L’Echo, un des partenaires de cette enquête, figure aussi dans l’échantillon de données. Preuve que les hauts fonctionnaires européens ne sont pas les seuls à être concernés, loin de là.

Echec du cadre légal

Comment ces données se sont-elles retrouvées en notre possession ? Au commencement, il y a une application anodine, de météo ou de jeu en ligne par exemple. Pour afficher des publicités en son sein ou pour remplir certaines fonctions, comme le décompte des visiteurs, elle intègre des blocs de code informatique. Ces composants peuvent récupérer des données diverses sur l’utilisateur du mobile, dont sa géolocalisation précise lorsque l’utilisateur l’active.

Ces éléments, rattachés à un identifiant publicitaire unique, sont ensuite envoyés et échangés sur des places de marché publicitaires. La plupart fonctionnent comme des enchères : l’entreprise prête à dépenser le montant le plus important pour voir sa publicité affichée sur un téléphone situé à un endroit précis, ou correspondant à des caractéristiques déduites de son activité, remporte la mise.

Certains de ces acteurs revendent ces données. Et, pour convaincre de potentiels acheteurs, proposent des échantillons. C’est sur de tels extraits concernant la Belgique que Le Monde, L’Echo, BNR, BR et Netzpolitik.org ont travaillé.

Le droit européen des données personnelles – le RGPD et la directive « vie privée et communications électroniques » – a placé l’individu et ses droits au centre du jeu, notamment en faisant du consentement la condition permettant l’exploitation des données personnelles à des fins publicitaires. Le fait que des responsables de l’UE puissent être aussi facilement pistés – très vraisemblablement sans leur accord – souligne, si besoin était, l’échec du cadre légal actuel.

 

En effet, difficile de parler de consentement lorsqu’il est impossible pour l’utilisateur d’une application de savoir exactement à qui ses données vont être fournies en bout de chaîne ; ou bien quand ce destinataire est une société listée parmi des centaines d’autres au bas d’interminables conditions d’utilisation. Face à ce phénomène, les autorités de protection des données semblent dépassées. Le complexe maquis d’entreprises de cet écosystème, disparaissant et reparaissant sans cesse, rend dérisoires leurs sanctions, qui ne peuvent viser qu’une entreprise à la fois et à l’issue d’une longue enquête.

Sans doute faut-il revoir en profondeur le cadre légal de la publicité en ligne. C’est ce que pense, par exemple, l’autorité berlinoise chargée de la protection des données. Dans son rapport concernant 2024, elle estime que « compte tenu des faiblesses de la solution du consentement dans le domaine du suivi publicitaire en ligne, une régulation plus claire du pistage et du profilage allant au-delà de l’interdiction figurant dans le Digital Services Act [qui interdit des publicités en ligne reposant sur certaines données sensibles] serait souhaitable ».