Un courtier en données ne connaît pas votre harceleur. Il s’en moque. Il vend votre adresse personnelle, votre numéro de téléphone, votre lieu de travail et vos habitudes quotidiennes à quiconque paie, et le bilan du secteur montre qu’il a très peu d’intérêt à poser des questions.
Ce n’est pas un problème hypothétique. Des cas où des données personnelles obtenues auprès de sites de recherche de personnes ont permis le harcèlement, le traquage et la violence ont été documentés par des journalistes, des chercheurs et des services de police. Le problème structurel est simple : ces services agrègent des informations publiquement disponibles et les vendent sous une forme qui nécessiterait autrement un temps et des compétences considérables pour être compilée. Ils abaissent la barrière pour trouver quelqu’un qui ne veut pas être trouvé.
Ce que fait réellement un courtier en données
Le terme « courtier en données » couvre un large éventail d’entreprises, mais la catégorie qui nous intéresse ici est celle des agrégateurs de données sur les consommateurs, des entreprises comme Spokeo, Whitepages, BeenVerified et des dizaines d’autres qui compilent des profils d’individus à partir de registres publics, des réseaux sociaux, de bases de données commerciales et de jeux de données achetés.
Un profil de courtier en données typique contient : nom complet, adresses actuelles et passées, numéros de téléphone, adresses e-mail, noms et coordonnées des proches, âge estimé, données foncières, et parfois l’historique professionnel ou les antécédents judiciaires. Ces informations sont vendues telles quelles ou proposées via des services d’abonnement accessibles à quiconque possède une carte de crédit.
Le marché principal est ostensiblement la vérification d’antécédents et la retrouvaille de contacts perdus. Les acheteurs réels sont plus variés, et le secteur n’a aucun mécanisme significatif pour filtrer les intentions.
Le lien avec le harcèlement
Le lien entre ces bases de données et le harcèlement est bien documenté au niveau des politiques publiques. La Federal Trade Commission américaine a publié plusieurs rapports sur les pratiques du secteur, notant l’absence de mécanismes de consentement significatifs et la difficulté de se désinscrire. Des chercheurs en vie privée dans des institutions universitaires ont démontré à maintes reprises avec quelle facilité un profil de recherche de personnes peut être assemblé en un outil de surveillance complet.
Le schéma spécifique de préjudice est simple : une personne tente de quitter une relation ou un emploi, déménage, change de numéro de téléphone. Sans ces services, reconstruire son anonymat physique est réalisable, difficile, mais réalisable. Avec eux, une adresse actuelle peut être trouvée en quelques minutes à partir d’une adresse précédente, via les listes de membres de la famille, ou via des registres fonciers mis à jour automatiquement lors de l’enregistrement d’une hypothèque.
Les associations contre la violence domestique ont explicitement signalé ce problème. La National Domestic Violence Hotline et des organisations similaires incluent des conseils de désinscription de ces services dans leurs ressources de planification de sécurité, une reconnaissance implicite que se retirer de ces bases de données fait désormais partie de la planification de la sécurité physique, et pas seulement de l’hygiène numérique.
Le vide réglementaire
Les États-Unis ne disposent d’aucune loi fédérale globale régissant l’activité des courtiers en données. Le California Consumer Privacy Act (CCPA) donne aux résidents californiens le droit de demander la suppression de leurs données auprès des entreprises qui dépassent certains seuils. Le RGPD de l’UE offre des protections plus larges en matière de « droit à l’effacement » pour les résidents européens. Mais pour la plupart des Américains, le seul mécanisme de suppression est le système de désinscription individuel maintenu par chaque courtier, souvent délibérément fastidieux, nécessitant des formats différents selon les sites, et parfois expirant après quelques mois.
Des chercheurs ont dénombré plus de 200 sites de recherche de personnes opérant aux États-Unis. Une campagne de désinscription manuelle, même exécutée parfaitement, prend des dizaines d’heures et n’offre qu’un soulagement temporaire. La plupart des demandes de désinscription ne se propagent pas aux licenciés de données en aval.
Ce que nécessiterait une réforme substantielle
La réglementation des courtiers en données n’est pas techniquement difficile. Elle nécessite un cadre juridique qui classe les profils personnels agrégés comme des données personnelles avec des droits correspondants, impose des mécanismes de désinscription ou d’inscription standardisés et universellement accessibles, et crée des mécanismes d’application avec de véritables conséquences.
L’opposition des lobbys est substantielle, le secteur affirme fournir des services précieux pour les vérifications d’antécédents, la détection des fraudes et la recherche de personnes, et le bilan législatif aux États-Unis a jusqu’ici produit des lois étatiques ciblées plutôt qu’une norme fédérale. Jusqu’à ce que cela change, la responsabilité de la suppression incombe aux individus, un formulaire de désinscription à la fois.
Pour toute personne ayant une raison spécifique de limiter son empreinte numérique, survivantes de violence domestique, personnes dans des situations de garde contentieuses, journalistes, personnalités publiques qui subissent du harcèlement ciblé, le cadre juridique actuel place le fardeau exactement au mauvais endroit.
Sources
- FTC : Politique technologique et recherche sur la vie privée, Courtiers en données , analyse réglementaire fondamentale du secteur des courtiers en données
- Auxier, Brooke et al. « Americans and Privacy », Pew Research Center, novembre 2019. pewresearch.org , données d’enquête sur les attitudes du public envers la collecte de données et les pratiques des courtiers
- Electronic Frontier Foundation : Vie privée , couverture continue de la réglementation sur la vie privée et des droits numériques
