Accueil > Archives > 2014 (nº 1727 à 1759) > 1755s, HS nº 58 « Un monde à vendre » (novembre-décembre 2014) > [Une vie en or]

Dossier : un monde à vendre

Une vie en or

l’explosion du marché des données personnelles
novembre 2014.

« Lorsqu’on ne s’étonne plus du traçage, de la vidéosurveillance ou de la conservation de données, c’est justement le signal qu’on est entré dans un monde orwellien.  »
Alex Türk, ancien président de la Commission nationale de l’informatique et des libertés (CNIL), 2007.



C’est sans doute une expérience qui t’es familière : tu recherches des objets sur le site internet d’une boutique en ligne. Quelques instants plus tard, tu visites le site d’un journal ou celui d’une association de sauvegarde des chatons dyslexiques et, dans un bandeau publicitaire, apparaît l’annonce d’une boutique qui te propose, étrangement, des produits du même type que ceux que tu viens de consulter. Je dis « étrangement » parce que cela fait toujours un drôle d’effet : l’effet rétrospectif d’avoir été suivi, épié, jaugé, puis abordé par un intrus gênant qui n’enlèvera pas son pied de la porte tant que tu n’auras pas acheté sa camelote.

Pourtant tout cela n’a déjà plus rien d’étrange : je sais, et nous savons tous — avec plus ou moins de précisions techniques et de lucidité — que chacun de nos comportements sur internet est suivi, analysé et utilisé par les experts du marketing appliquant à la lettre la formule magique : « surveiller plus pour cibler plus, cibler plus pour vendre plu »". En bon franglais, on appelle ça le tracking.

Les sociétés spécialisées dans le tracking collectent, en temps réel, toutes sortes d’informations générées par nos connexions quotidiennes : géolocalisation, cookies, contenus des médias sociaux, de nos agendas, de nos carnets d’adresses, transactions par carte bancaire… La totalité de notre vie connectée est transformée en un pack d’informations qui, une fois traitées sous forme de listes diverses et de profils, sont revendues à des analystes ou à n’importe quelle entreprise. En quelques années, ce petit trafic de données personnelles est devenu colossal : les géants américains comme Google, Facebook, Apple, et Amazon dominent aujourd’hui un marché de plusieurs dizaines de milliards d’euros.

Google et Facebook ont trouvé le bon filon pour accéder au plus grand nombre de données possible : elles proposent des services non payants et collectent en échange tout ce qui est tapé, cherché, posté, échangé via leurs services sur internet. Et la gratuité paie. Facebook génère à lui seul 1,5 milliards de dollars de bénéfices pour 1 milliard de profils, soit une moyenne 1,5 dollars par profil. Les liens sponsorisés (Adwords) proposés par Google via sa régie publicitaire lui ont rapporté 12,9 milliards de dollars de bénéfices pour la seule année 2012. Et ces profits ne sont pas prêts de ralentir : avec la réduction des coûts de stockage et de transfert de l’information associée à la possibilité d’analyse instantanée de masses de données de plus en plus importantes, le volume des données collectées et traitées dans le monde double tous les 6 mois.

Pour profiter de ce marché plein d’avenir, de nombreuses sociétés se créent partout dans le monde. En France, Netwave, vient de lever 3 700 000 euros en un an pour développer un « outil d’analyse situationnelle inductive basée sur un tracking des clics » capable de gérer des millions de connexions et de générer dix fois plus de recommandations en quelques heures. Cet outil baptisé Netwave Booster est doté d’un moteur à intelligence artificielle qui permet aux marques d’interagir avec l’internaute en 56 millisecondes. Jean-Luc Bernard, fondateur de Netwave, est très optimiste quant à l’avenir du tracking et travaille déjà à de nouveaux projets : « On sait aujourd’hui capter l’état d’esprit d’un internaute. On veut maintenant capter sa motivation ».

C’est en croisant toutes sortes de données à l’aide d’algorithmes de plus en plus sophistiqués que ces sociétés cherchent désormais à affiner leur connaissance des motivations des internautes. Certaines d’entre elles poussent même leur logique jusqu’à manipuler les données des utilisateurs : il s’agit, ni plus ni moins, de modifier ce qu’ils ont pu poster ou recevoir, de créer des situations virtuelles incongrues et d’épier la façon dont vont réagir les internautes devenus, à leur insu, les cobayes de l’expérience. Du 11 au 18 janvier 2012, Facebook a ainsi trafiqué les pages de profil d’utilisateurs anglophones pour étudier l’impact des émotions exprimées par leurs contacts. En modifiant le nombre et l’ordre de message positifs ou négatifs publiés sur la page de 600 000 utilisateurs choisis au hasard (et non avertis), Facebook a scientifiquement prouvé ce scoop du siècle : tu es un peu plus triste si un de tes amis te dit qu’il est triste. Concrètement, les résultats ont montré qu’un utilisateur postait plus de mots négatifs après que l’on ait enlevé un post positif de son fil d’actualité. L’étude, menée en partenariat avec deux université américaines et qui portait sur « la contagion émotionnelle », n’a pas convaincu la communauté scientifique. Elle a en revanche troublé pas mal d’internautes, à tel point que le chercheur qui en était responsable, Jeff Hancock, a été obligé de demander une protection policière. Facebook se justifie en soulignant que cette recherche est « compatible avec la politique d’utilisation des données à laquelle tous les utilisateurs doivent souscrire en créant un compte Facebook [note] ».

Sur le blog d’OkCupid.com, un des plus gros site de rencontres en ligne américain, Christian Rudder, son co-fondateur, décrit régulièrement les différentes expériences auxquelles se livre son entreprise. Dans un post intitulé : Nous expérimentons sur des êtres humains !, il a le mérite d’être clair : « Devinez quoi, tout le monde : si vous utilisez internet, vous êtes le sujet de centaines d’expériences, à tout moment, sur chaque site. C’est comme ça que le Web marche. »

D’autres sociétés spécialisées développent une autre approche pour traquer la motivation propre à l’internaute. Le suédois Tobii a mis au point une technologie de suivi du regard, communément appelée eye-tracking (le terme français, oculométrie, aurait pourtant l’avantage d’être phonétiquement assez évocateur…) Grâce à de petits capteurs, le regard d’un internaute peut être suivi quand il parcourt une page web. Une technique qui est notamment utilisée pour l’optimisation des sites web en fonction des zones vers lesquelles se porte naturellement l’attention, tout comme dans les interfaces de pilotage des écrans par le seul regard de l’internaute. L’eye-tracking commence dès aujourd’hui à se répandre avec la mise en vente des Google-glass ou des nouveaux smartphones proposés par Samsung ou Amazon qui « obéissent au doigt et à l’œil ».

Nos regards sur les écrans seront bientôt des données numériques, et donnent déjà naissance à une nouvelle économie : l’économie de l’attention.

Évidement, les commerces physiques, en concurrence avec des commerces en ligne de plus en plus compétitifs, s’inquiètent de ces nouveaux outils qui avantagent considérablement le commerce en ligne. Le pistage des clients est en effet beaucoup plus difficile à mettre en œuvre dans la vie physique (offline). Qu’à cela ne tienne ! Des entreprises américaines comme Shopper Track, Read Me ou Euclid Analytics ont mis au point des technologies de suivi des clients dans les magasins. Cela va du comptage des visiteurs dans un magasin à un moment donné (grâce à de petits dispositifs placés à l’entrée et la sortie des magasins), au suivi des clients via la connexion bluetooth de leur smartphone. Les services proposés par ces sociétés permettent, entre autres, d’optimiser la gestion du personnel et de gérer la mise en rayon des promotions.

Mais ces services restent relativement chers, et ne sont pas à la portée de tous les commerçants. C’est pourquoi la société Euclid Analytics, basée en Californie, a fait le choix de les proposer gratuitement. Du petit restaurant au grand magasin, tous les commerces peuvent recevoir gratuitement des informations sur leur clientèle : fréquentation, temps passé dans le magasin, clients récurrents, tendances au fil du temps… La pose de capteurs ou de matériel perfectionné n’est même pas nécessaire : un seul boîtier, relié à une simple connexion wifi sur la plateforme en ligne d’Euclid, suffit pour surveiller ses clients via leurs smartphones, dont l’accès au Wi-Fi gratuit est activé [note] .

Évidemment, cette offre n’est pas tout à fait désintéressée : en proposant ce service gratuitement, Euclid favorise une très large dissémination de sa technologie (ce qui lui donne un avantage non négligeable sur ses concurrents)… et surtout utilise en retour toutes les données récoltées par ses clients pour son propre compte [note] .

Les applications de ces technologies de suivi ne se cantonnent pas aux magasins. Le Levi’s Stadium de San Francisco applique ce que les américains appellent l’hospitality management : les supporters sont tracés dans le stade grâce à l’accès gratuit au Wi-Fi, pour mieux les "guider" vers les toilettes où il n’y a pas de queue… et surtout vers les stands où il reste des hot-dogs. Comme toujours dans le domaine du marketing, les États-Unis ont une avance certaine sur les européens, et de nombreux stades sont déjà équipés de cette technologie.

Mais la France va bientôt pouvoir en profiter. Vincent-Baptiste Closon, directeur marketing de l’Olympique Lyonnais, s’en réjouit d’avance dans un interview à FrenchWeb : « Le stade des Lumières – dont la livraison est prévue pour fin 2015/début 2016 – sera le premier en France a être équipé pour faire du marketing sportif à partir des données. 500 bornes Wi-Fi seront installées dans ce stade de 58000 places pour permettre jusqu’à 2 5000 connexions simultanées grâce à un partenariat technologique avec Orange. Des promotions individualisées seront envoyées sur les smartphones des supporters, ils pourront commander des maillots ou des sandwichs depuis leur place, revoir des buts à la demande pendant le match [note] ».

Pour le moment cette technologie est encore chère, mais il est tout à fait envisageable qu’une multitude d’autres lieux puissent en être équipés dans un futur proche.

Tout comme le suivi des clics de l’internaute, le suivi physique du consommateur est donc désormais exploitable à grande échelle.

Mais pour mieux prévoir le comportement du client, il reste à savoir ce qu’il pense. L’industrie du marketing y travaille depuis des années. Des entreprises comme Procter&Gamble ou Unilever au États-Unis ont mis au point des ordinateurs de simulation 3D, pour tester la mise en rayon de nouveaux produits couplée avec de l’eye-tracking. Cette technique, utilisée depuis le début des années 90, permet aux industriels de s’approcher au plus près de ce que les consommateurs testés pensent, et d’adapter le design de leurs produits en conséquence.

Cette technique, longtemps chère et complexe à mettre en œuvre, est aujourd’hui en passe de devenir abordable. Sur le salon Ceatec de Tokyo 2014, le japonais Fujitsu propose désormais de mesurer le parcours des yeux d’un client sans nécessairement l’équiper d’un dispositif dédié. Grâce à de petits capteurs intégrés aux rayons d’un magasin, il propose de calculer l’attention que portent les clients aux différents produits. Le suivi du regard des clients est modélisé sur des écrans qui affichent en quasi direct les « points chauds », correspondants aux endroits fixés le plus longtemps par les yeux : paquet vert ou paquet bleu, tête de gondole comme-ci ou comme-ça, les analystes et les marchands n’ont plus aucun doute sur vos préférences.

Avec la multiplication des capteurs et des objets connectés, les données n’émanent plus seulement de nos ordinateurs, mais de la vie « réelle ». Après les téléphones portables, les GPS dans les voitures (bientôt obligatoires), les pass de transport, les cartes d’accès électroniques de toutes sortes, les cartes bancaires et autres applications smartphone, nos déplacements, nos regards, nos attirances et nos hésitations dans la vie off-line sont en train d’être convertis en données numériques.

Ces données, croisées avec celles émanant des puces RFID, permettent dès aujourd’hui des applications inédites. Les objets équipés de codes barres, les puces implantées sous la peu des animaux d’élevages ou de compagnie, les puces intégrées aux documents d’identité ou à toutes sortes de supports, dialoguent déjà avec d’énormes bases de données reliées au monde online. Cette extension d’Internet à des choses et à des lieux du monde physique a un nom : l’Internet des objets (IdO), considéré comme la troisième évolution de l’Internet. Bienvenue dans le Web 3.0.

Le monde réel va bientôt ressembler au monde numérique, générant des milliards de données que des entreprises vont pouvoir s’échanger à prix d’or.

Mais ne vous inquiétez pas, vous pouvez désormais vous aussi participer à ce grand bizness du traquage généralisé : il vous suffit de monnayer vos données vous-mêmes ! La startup Datacoup propose ainsi de rémunérer les utilisateurs des réseaux sociaux en échange d’un accès libre à leurs profils sociaux (Facebook, Twitter…) et à l’historique de leurs achats par carte bancaire. L’internaute peut sélectionner les données qu’il souhaite ou non communiquer. La rémunération est mensuelle et dépend du nombre de données échangées. Elle peut atteindre les 8 $ par mois. Et Datacoup ne s’arrêtera pas là : elle a déjà annoncé qu’elle allait diversifier les sources de données que les utilisateurs pourront lui vendre. Elle proposera bientôt d’acheter les données émanant de terminaux de tracking physiques tels le bracelet FitBit, une montre connectée de plus en plus utilisée par les sportifs professionnels ou amateurs, qui intègre un GPS, un podomètre, un accéléromètre, une estimation de la distance parcourue et du nombre de calories brûlées, ainsi qu’un cardiofréquencemètre optique indiquant la fréquence cardiaque de l’utilisateur. Comme l’annonce fièrement Datacoup sur la page d’accueil de son site internet : « Introducing the world’s first personal data marketplace » (Voici le premier marché des données personnelles dans le monde).

Ce nouveau marché ne manquera pas d’aiguiser les appétits des entreprises de marketing qui déploieront à coup sûr de nouveaux trésors d’inventivité. Elles pourront par exemple utiliser les données de l’internaute pour mettre en avant des produits non seulement adaptés à ses goûts et à son niveau de vie, mais aussi à son état de santé, ou à tout un tas d’autres critères sélectionnés par les pro du marketing. Le libre choix orienté et la décision d’achat programmée par des algorithmes deviendront peut-être la règle dans l’avenir.

Ce marché consenti des données personnelles permettra en tout cas d’estimer la valeur que chacun de nous donne à sa confidentialité.

Des esprits grincheux s’alarment du total manque de contrôle de cette exploitation industrielle des données personnelles, notamment en ce qui concerne la protection de la vie privée.

Des associations de défense de la vie privé et certaines institutions publiques ne trouvent pas très fair-play que, dans la plupart des cas, nos données soient exploitées sans notre consentement. Mais elles craignent surtout que les collectes des données non contrôlées ne soient utilisées pour discriminer les individus, et réduire leur liberté.

Les acteurs du marché justifient ce pompage industriel et non consenti par le fait que cette collecte est indispensable au fonctionnement et à l’amélioration des services qu’ils proposent. Ils se disent tous par ailleurs « très concernés » par la confidentialité des données et la vie privée de leurs clients, et promettent une anonymisation absolue des données récoltées. Tout est mis en œuvre, assurent-ils, pour effacer, brouiller, coder les données personnelles sensibles. Anonymisation très difficile à vérifier et, de l’avis de tous les spécialistes, très facile à détourner : un très grand nombre de données apparemment anonymes peuvent redevenir personnelles après traitement. C’est ce qu’on appelle la ré-identification.

Comme le précise un rapport du Sénat d’avril 2014 : « L’historique de recherche d’un individu est très identifiant : beaucoup de recherches portent sur des services offerts à proximité, ce qui permet, par recoupement, d’approcher l’adresse possible de l’intéressé. Les choix de recherche fournissent aussi des informations sur l’âge, la profession, les goûts ou préférences d’une personne : tous éléments indirectement identifiants. » Le représentant de l’institut national de la recherche en informatique et en automatique (INRIA), Claude Kirchner, a été très clair lors de son audition au Sénat : « aucune technique d’anonymisation n’est en théorie infaillible ».

Il n’est d’ailleurs pas nécessaire que vos données soient ré-identifiées pour vous définir en tant qu’individu. Si l’on connaît votre âge, le lieu où vous habitez, votre salaire, vos goûts, vos soucis de santé, et vos choix politiques, est-il besoin de connaître votre nom ?

Des lois de protection des données existent. Mais les sociétés qui stockent et vendent les informations vous concernant opèrent souvent sur plusieurs continents et sont soumises à de multiples juridictions. Les États-Unis par exemple ne disposent pas d’une autorité indépendante dédiée à la protection des données et privilégient la régulation volontaire ou la régulation contractuelle. Les consommateurs mécontents attaquent les sociétés en recourant à des class actions [note] . En Europe la loi est plus stricte et la collecte des données personnelles ne peut se faire, en théorie, que sous certaines conditions et avec un but légitime. La France a crée dès 1978, la CNIL (La Commission nationale de l’informatique et des libertés) qui encadre de façon encore plus strictes l’utilisation de ces éléments. En 2011 elle a condamné Google à une amende de 100.000 euros au sujet de la collecte massive de données réalisées par ses Google cars photographiant les rues pour la fonction Street View de son Google Maps. En janvier 2014, à l’issue de près de deux années d’instruction concernant sa politique de confidentialité sur internet, elle sanctionnait à nouveau le géant américain à l’amende maximale de 150.000 euros. Mais ces sommes sont dérisoires pour un groupe qui réalise un chiffre d’affaires de 60 milliards de dollars par an, et Google continue de collecter des données comme elle l’entend…

Pour faire face à ce genre de problème, l’Europe a adopté en mars 2014 un nouveau règlement général sur la protection des données (GDPR). L’idée est d’étendre systématiquement les contrôles aux entreprises étrangères qui traitent les informations personnelles de citoyens de l’Union européenne. Avec des pénalités dissuasives de l’ordre de 2 % du chiffre d’affaires. Mais les lobbies et les armadas de juristes payés par les sociétés qui collectent ou traitent les données sont puissants, et les moyens mis à disposition des régulateurs encore très insuffisants.

Pour le moment, des promesses sont faites aux autorités, des codes de bonnes conduites sont adoptés, des textes d’information sont affichés sur les sites internet ou dans les magasins.

Ces mesures ne suffisent pas à calmer les inquiétudes des associations de défense de la vie privée — que d’aucuns jugent quelque peu paranoïaques — qui continuent de clamer qu’on pourrait s’y prendre autrement, et prétendent même qu’on pourrait purement et simplement interdire la collecte de certaines données. Qu’on pourrait contraindre les sociétés, aussi puissantes soient-elles, à organiser leur traçabilité, au même titre que la traçabilité alimentaire. Qu’on pourrait aider massivement les développeurs de services non surveillés. Qu’on pourrait concilier navigation sur internet et protection de la vie privée en mettant les intelligences aujourd’hui au service du marketing, au service de la sauvegarde de la vie privée des individus. Ils s’entêtent à répéter qu’il suffirait de la volonté politique pour s’en donner les moyens.

On pourrait. Mais on ne le fera pas.

Les énormes quantités de données personnelles, les Big Data, sont devenues le carburant d’une industrie florissante, pourvoyeuse d’emplois et d’applications extraordinaires dans tous les champs de l’économie. Les sciences dures comme les sciences sociales sont en train de mettre au point des applications des Big Data dans tous les domaines. Génétique, astronomie, gestion des routes et des hôpitaux, enseignement, police, fonctionnent déjà grâce à l’exploitation de montagnes de données . Et ce n’est que le début. Il a été estimé que 90% des données jamais générées dans le monde ont été créées au cours des deux dernières années.

« Data is the new oil » (Les données sont un nouveau pétrole) déclarait en 2006 Clive Humby, mathématicien et créateur de la Clubcard de Tesco. Cette célèbre carte de fidélité a permis à ce géant anglais de la grande distribution, de récolter 40 téraoctets de données sur les habitudes de consommation de ces clients. Données revendues en partie à des entreprises comme Procter & Gamble, Orange ou Coca-Cola. Quand il fait référence au pétrole, Clive Humby sait de quoi il parle : pour exploiter les données récoltées par son invention il a créé une entreprise "d’extraction de données" qui l’a fait devenir multimillionnaire en 15 ans.

Les Etats eux-même ont bien compris qu’une 4e révolution industrielle est en marche. En 2012 l’administration Obama a annoncé la création d’une agence baptisée Initiative de recherche et de développement Big Data afin d’encourager les progrès dans l’analyse et la collecte de données complexes. « Cette initiative promet d’aider à accélérer le rythme des découvertes en sciences et en ingénierie, de renforcer notre sécurité nationale, et de transformer l’enseignement et l’apprentissage. » Sur le site internet de la Maison Blanche, le titre de la page annonçant la création de cette agence est on ne peut plus clair : « Big Data is a Big Deal » (Les Données de Masse sont une Grosse affaire).

Que pèsent les demandes de confidentialité et de protection de la vie privée face aux énormes bénéfices que génèrent et génèreront de plus en plus l’exploitation des Big Data ?

Jusqu’ici, pas grand chose.

D’autant que les entreprises qui collectent nos données ont un autre avantage non négligeable : elles peuvent fournir toutes leurs récoltes aux agences gouvernementales comme la NSA et la DCRI.

L’État s’en sert pour assurer notre sécurité et nous protéger. Il peut aussi s’en servir pour se protéger. Ou pour réprimer l’opposition et imposer l’obéissance. Comme le dit Glenn Grenwald, le risque est là : « d’engendrer l’arme d’intrusion étatique la plus extrême et la plus répressive qu’on ait jamais connue. [note] »

Les Big Data, comme le pétrole en son temps, sont en train de bouleverser notre rapport au monde. Et comme pour le pétrole, leur utilisation massive ne sera pas sans conséquences. Nous mesurons aujourd’hui les dégâts du « tout pétrole » sur notre environnement et notre santé. Les dégâts potentiels de l’exploitation non contrôlée des Big Data seront d’un autre ordre. Il ne serait pas inutile de les anticiper et d’ouvrir un débat qui, pour le moment, est laissé aux mains des scientifiques et des commerçants. Qui ne mettent pas un grand empressement à partager leurs connaissances.

Jusqu’ici, seules quelques voix s’élèvent pendant que les serveurs se remplissent.

Il serait temps que nous, utilisateurs forcenés ou occasionnels d’ordinateurs, téléphones et autres engins connectés, qui nous laissons agréablement bercer depuis des années par les mirifiques apports de la technique, sortions de notre passivité pour combattre les dangers que cette même technique aux mains du marché et des États nous fait courir à tous.

Anne Merlieux (groupe Kropotkine)


http://monde-libertaire.fr/?article=Une_vie_en_or