AIO APEX
Privacy & Data

L’industrie des courtiers en données fait enfin face à une véritable réglementation — Ce que cela signifie pour vous

Partager:
L’industrie des courtiers en données fait enfin face à une véritable réglementation — Ce que cela signifie pour vous

L’industrie de 300 milliards de dollars qui a échangé votre vie sans vous demander

Les data brokers — des entreprises qui achètent, agrègent et vendent des informations personnelles à l’insu des personnes concernées — exploitent une industrie de 300 milliards de dollars depuis des décennies sans quasiment aucune responsabilité. Cela a changé en 2024 et 2025. La FTC a promulgué sa première règle exécutoire concernant les data brokers, le Delete Act (SB 362) de Californie est entré en vigueur en janvier 2026, et les régulateurs européens ont infligé une amende de 150 millions d’euros à un réseau publicitaire français pour avoir vendu des données de localisation sans consentement RGPD. L’ère du commerce de données personnelles sans conséquences touche à sa fin — mais pas assez vite, et non sans failles.

Ce que les data brokers font réellement avec vos informations

Le modèle économique est simple : collecter des données de toutes les sources disponibles, les combiner en profils complets, et vendre l’accès à ces profils aux annonceurs, assureurs, employeurs, forces de l’ordre et campagnes politiques. Les sources sont bien plus vastes que la plupart des gens ne l’imaginent.

  • Registres publics : propriété immobilière, documents judiciaires, inscriptions électorales, licences professionnelles
  • Programmes de fidélité : historique d’achat des cartes de récompenses des détaillants, qui permet de déduire les revenus, l’état de santé et le mode de vie
  • SDK d’applications : les applications mobiles intègrent du code tiers qui collecte des données de localisation et des identifiants d’appareil — souvent avec un consentement enfoui dans des conditions d’utilisation de 40 pages
  • Données de transactions par carte de crédit : vendues en agrégat par les processeurs de paiement, révélant les habitudes de dépenses chez différents commerçants
  • Signaux de localisation : coordonnées GPS provenant d’applications météo, d’outils de navigation et de jeux mobiles, horodatées et stockées indéfiniment

Un profil type de data broker sur un adulte américain contient : nom complet, adresses actuelles et passées, numéros de téléphone (y compris non répertoriés), revenu estimé du foyer, affiliation politique dérivée des dons enregistrés, et conditions de santé déduites des achats de médicaments sur ordonnance, d’aides à la mobilité ou de produits alimentaires spécifiques. Ces profils sont mis à jour en continu et vendus à quiconque est prêt à payer.

Les principaux acteurs et qui les utilise

Le marché des data brokers est dominé par une poignée de grandes entreprises, chacune avec une spécialisation différente :

  • Acxiom / LiveRamp : Acxiom maintient des profils sur environ 2,5 milliards de personnes dans le monde. LiveRamp, sa filiale, est la plateforme dominante de « résolution d’identité » — elle relie les données hors ligne aux identifiants publicitaires numériques afin que les marques puissent cibler des individus sur différents appareils. Clients principaux : entreprises de biens de consommation courante et annonceurs du secteur de la vente au détail.
  • Experian : Surtout connu comme bureau de crédit, la division services marketing d’Experian vend des données comportementales et démographiques totalement séparées de ses fichiers de crédit. Elle fournit des données pour les campagnes de publipostage, les modèles de souscription d’assurance et le ciblage de produits financiers.
  • LexisNexis Risk Solutions : Se concentre sur la vérification d’identité, la détection de fraude et les vérifications d’antécédents. Ses données sont utilisées par les banques, les compagnies d’assurance et les agences gouvernementales, y compris les forces de l’ordre — un pipeline qui a attiré une attention significative de l’ACLU.
  • Oracle Data Cloud (désormais partie d’Oracle Advertising) : Agrège les données d’achat des détaillants et les données de consommation médiatique des éditeurs. Sert principalement les campagnes publicitaires des grandes entreprises. Oracle a annoncé son intention de mettre fin à son activité de données tierces en 2024 sous la pression réglementaire, bien que ses partenariats de données premières se poursuivent.
  • Epsilon : Propriété du groupe publicitaire français Publicis, Epsilon exploite le graphe d’identité CORE ID et se concentre sur les données des programmes de fidélité. Sa clientèle principale comprend les constructeurs automobiles, les services financiers et les entreprises de télécommunications.
  • Spokeo et BeenVerified : Courtiers « d’annuaire de personnes » destinés aux consommateurs. N’importe qui peut payer 20 à 30 $ par mois pour consulter les adresses, numéros de téléphone, proches et antécédents professionnels d’une personne par son nom. Ces services sont fréquemment utilisés dans des cas de harcèlement, un fait documenté dans plusieurs plaintes de procureurs généraux d’État.

Le California Delete Act (SB 362) : La loi sur la vie privée la plus importante aux États-Unis dont vous n’avez pas entendu parler

Signé en octobre 2023, le California Delete Act est entré en vigueur en janvier 2026. Il exige que chaque data broker enregistré auprès de la California Privacy Protection Agency (CPPA) honore les demandes de suppression soumises via un mécanisme unique et centralisé de désinscription — ce qui signifie que les consommateurs peuvent supprimer leurs données de tous les courtiers couverts par une seule soumission, au lieu de naviguer sur des centaines de portails de désinscription individuels.

La loi s’applique à toute entreprise qui « collecte et vend sciemment à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’a pas de relation directe ». Cela couvre la majeure partie de l’industrie. Cependant, les exemptions sont significatives :

  • Les agences d’évaluation du crédit opérant en vertu du Fair Credit Reporting Act (Equifax, Experian, TransUnion) sont largement exemptées
  • Les entreprises de vérification d’antécédents ayant des objectifs commerciaux légitimes — sélection de personnel, vérification locative — conservent de larges exemptions
  • Les institutions financières couvertes par le Gramm-Leach-Bliley Act sont exemptées pour les données utilisées dans les produits financiers

La CPPA est tenue de construire le mécanisme centralisé de suppression, avec une mise en application débutant en 2026. Les amendes pour non-conformité atteignent 200 $ par consommateur par jour, ce qui crée une exposition financière significative pour les grands courtiers détenant des millions de profils.

L’application de la FTC : L’affaire Kochava et le règlement X-Mode

La Federal Trade Commission a passé des années à publier des rapports sur les data brokers sans pouvoir d’application. Cela a changé sous l’autorité de la Section 5 de la FTC Act concernant les pratiques déloyales, et l’agence a commencé à traiter la vente de données de localisation comme intrinsèquement nuisible.

En 2022, la FTC a poursuivi Kochava, une société d’analyse mobile, pour avoir vendu des données de localisation précises pouvant être utilisées pour identifier des individus visitant des cliniques d’avortement, des centres de traitement des addictions et des refuges pour victimes de violence domestique. L’affaire a établi que la vente de données de localisation sensibles sans consentement constitue une pratique commerciale « déloyale », indépendamment du fait que les consommateurs aient techniquement accepté la collecte de données dans les conditions d’utilisation d’une application. Le litige est en cours à la mi-2026.

En janvier 2024, la FTC a conclu un accord avec X-Mode Social (rebaptisé Outlogic) pour 4,95 millions de dollars — le premier règlement de l’histoire de la FTC concernant un data broker impliquant des données de localisation. X-Mode avait vendu des données de localisation précises à des contractants militaires américains et des agences gouvernementales, y compris des données pouvant identifier des sites religieux, des rassemblements politiques et des établissements médicaux. Le règlement exigeait la suppression de toutes les données et interdisait à l’entreprise de vendre des informations de localisation sensibles sans consentement explicite.

La FTC a également proposé une procédure réglementaire formelle qui classerait les données de localisation et les données de santé comme catégoriquement « sensibles », exigeant un consentement explicite avant la collecte ou la vente — une norme bien plus élevée que la pratique actuelle de l’industrie consistant à se désinscrire si on le trouve.

Application de l’UE : L’article 9 du RGPD a enfin du mordant

Le Règlement général sur la protection des données de l’UE interdit nominalement la vente de données personnelles sensibles sans consentement explicite depuis 2018. L’application a été lente jusqu’en 2024, lorsque les régulateurs ont tourné leur attention vers la chaîne d’approvisionnement de la technologie publicitaire.

L’autorité française de protection des données (CNIL) a infligé une amende de 150 millions d’euros à un réseau publicitaire français pour avoir vendu des données de localisation provenant d’applications mobiles à des annonceurs sans obtenir un consentement conforme au RGPD. L’affaire portait sur l’interprétation de l’article 9 — qui couvre les données de santé, politiques, religieuses et biométriques — comme s’appliquant aux caractéristiques déduites des schémas de localisation, et pas seulement aux catégories sensibles collectées directement.

La Commission irlandaise de protection des données (DPC), qui supervise la plupart des opérations de la Silicon Valley dans l’UE en raison des sièges irlandais des entreprises, a ouvert des enquêtes sur les SDK publicitaires mobiles opérant dans l’UE. Étant donné que la DPC irlandaise a historiquement été critiquée pour sa lenteur d’application, ces enquêtes représentent une escalade significative. Les amendes du RGPD peuvent atteindre 4 % du chiffre d’affaires annuel mondial, ce qui, pour les grands data brokers, crée un risque financier existentiel.

Ce que cela signifie concrètement dès maintenant

La réglementation a un effet mesurable mais incomplet sur l’industrie. Les data brokers ont commencé à honorer plus activement les demandes de suppression — non par bonne volonté, mais parce que les audits de la CPPA et la surveillance de la FTC rendent la non-conformité coûteuse. Les portails de désinscription qui exigeaient auparavant un courrier physique et des documents notariés sont désormais accessibles en ligne.

Cependant, le problème structurel fondamental persiste : la suppression n’est pas permanente. Les data brokers exploitent des pipelines automatisés de re-collecte qui puisent en continu dans les registres publics, les SDK d’applications et les partenaires de données. Un profil supprimé aujourd’hui peut être reconstruit en 30 à 90 jours à partir de nouveaux points de données. C’est pourquoi les services de suppression pour consommateurs nécessitent des abonnements continus plutôt que des nettoyages ponctuels.

Outils pour réellement supprimer vos données

Trois services dominent le marché de la suppression de données pour les consommateurs :

  • DeleteMe (129 $/an pour une personne) : Soumet manuellement des demandes de désinscription à plus de 750 data brokers pour le compte des utilisateurs, avec une soumission trimestrielle pour rattraper les profils réapparus. Couvre Spokeo, BeenVerified, Whitepages, Intelius et la plupart des grands courtiers d’annuaires de personnes. Ne couvre pas les bureaux de crédit.
  • Privacy Bee (197 $/an) : Couverture plus large que DeleteMe, revendiquant plus de 200 sites de courtiers supplémentaires. Inclut une extension de navigateur qui signale les demandes de partage de données en temps réel. L’efficacité est rapportée à environ 60–80 % de succès de suppression — les profils chez certains courtiers sont techniquement impossibles à supprimer en raison d’exemptions légales.
  • Kanary (99 $/an) : Se concentre sur la rapidité de suppression et fournit un tableau de bord montrant quels courtiers ont renvoyé des profils et l’état de la suppression. Liste de courtiers plus petite que les concurrents mais balayage initial plus rapide.

Aucun de ces services ne peut supprimer vos données des agences d’évaluation du crédit, des bases de données des forces de l’ordre, des fournisseurs de vérification d’antécédents opérant sous les exemptions du FCRA, ou des registres publics gouvernementaux (documents judiciaires, registres fonciers, listes électorales). Pour ceux-ci, vous devriez poursuivre le scellement des dossiers par des processus juridiques — coûteux et spécifiques à chaque juridiction.

Où l’industrie se réoriente

Face à la pression réglementaire, les plus grands data brokers ne quittent pas le secteur — ils rebaptisent leurs produits comme « respectueux de la vie privée ». Trois stratégies dominent :

  • Ciblage par cohorte : Au lieu de vendre des profils individuels, les courtiers vendent l’accès à des segments d’audience définis par le comportement — « personnes ayant visité des concessions automobiles au cours des 30 derniers jours » — sans exposer d’identifiants individuels. L’API Topics de Google, qui a remplacé les cookies tiers dans Chrome, est la version la plus visible de cette approche.
  • Partenariats de données premières : Les courtiers se positionnent comme intermédiaires entre les marques disposant de données clients premières, facilitant le matching d’audience sans transfert de données. Le réseau de données de fidélité d’Epsilon et la plateforme de collaboration de données de LiveRamp fonctionnent sur ce modèle.
  • Clean rooms : Environnements de calcul respectueux de la vie privée où deux entreprises peuvent analyser des audiences qui se chevauchent sans que l’une ne voie les données brutes de l’autre. InfoSum et Habu (acquise par LiveRamp) sont les principaux fournisseurs. Les clean rooms sont techniquement plus respectueuses de la vie privée mais permettent toujours les mêmes résultats de ciblage comportemental — elles obscurcissent le mécanisme, pas le résultat.

Ce que vous devriez faire dès maintenant

La réglementation avance lentement. Les mesures pratiques que vous pouvez prendre dès aujourd’hui pour réduire votre exposition aux data brokers :

  • Désinscrivez-vous des ventes de données CCPA : Chaque site web conforme à la loi californienne doit proposer un lien « Ne pas vendre ni partager mes informations personnelles ». Utilisez-le pour chaque
privacygdprdata-brokerspersonal-dataccpa
Partager:
L’industrie des courtiers en données fait enfin face à une véritable réglementation — Ce que cela signifie pour vous | AIO APEX