SHIELD

Réalité de l'exposition

Brokers de données : la fuite que vous payez

Qui collecte vos données, comment, pourquoi c'est structurellement difficile à arrêter, et ce que vous pouvez raisonnablement faire.

Publié le 15 min de lecture Général

Dernière revue:

Serveurs de données en rangées dans un datacenter

Un courtier américain m’envoie un échantillon « gratuit » sur un de mes clients, pour me convaincre d’acheter le profil complet. Quarante-sept attributs prédictifs, dont un score de « probabilité de divorce sous 24 mois » calculé à partir de ses achats e-commerce et de la fréquence de ses trajets en VTC. Le client n’avait jamais autorisé qui que ce soit à analyser ses achats. Personne ne lui avait jamais rien demandé. Et le courtier me facturait l’accès à sa vie privée comme on facture un fichier Excel.

Angle de lecture

Le piège habituel

« Je n’utilise pas Facebook, donc on ne sait pas grand-chose sur moi. » Cette phrase, je l’entends en réunion au moins une fois par mois, et elle est fausse à un point qui désarçonne ceux qui la prononcent. La quasi-totalité des données qu’un data brokerEntreprise qui collecte, agrège et revend des données personnelles à grande échelle. détient sur vous ne vient pas des réseaux sociaux. Elle vient de partout ailleurs : la carte de fidélité du supermarché, le formulaire de garantie que vous avez renvoyé pour votre lave-vaisselle, l’application météo qui revend votre géolocalisation, le concours auquel vous avez participé en 2017, le registre du commerce, l’opérateur télécom dans certaines juridictions. Les réseaux sociaux sont l’arbre. Les brokers exploitent la forêt entière, et la forêt continue de pousser même si vous coupez l’arbre.

Le deuxième réflexe, plus sophistiqué, consiste à dire : « Le RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. me protège, j’ai un droit d’accès et d’effacement, donc je peux nettoyer. » C’est vrai sur le papier et largement illusoire en pratique. Le RGPD vous donne des droits opposables à un responsable de traitement identifié. Or l’industrie de la brokerage repose précisément sur l’opacité de la chaîne : vous ne savez pas qui détient votre profil, donc vous ne pouvez pas exercer un droit contre un acteur que vous ignorez. Et quand vous obtenez l’effacement chez l’un, votre profil est réinjecté trois mois plus tard depuis une source secondaire que le premier avait déjà revendue. Vous videz un seau percé.

Le troisième piège est commercial. On vous vend un abonnement à un service d’opt-outEntreprise qui collecte, agrège et revend des données personnelles à grande échelle. automatisé — Incogni, DeleteMe, Optery — et on vous laisse croire que la souscription clôt le sujet. Ces services ont une vraie valeur, j’y reviens longuement. Mais le discours marketing qui les entoure entretient exactement la même fiction que celle que je démonte dans Vos données sont déjà publiques : l’idée qu’il existe un état « propre » vers lequel on pourrait revenir. Cet état n’existe pas. Le bon cadrage n’est pas « supprimer mes données des brokers », objectif inatteignable, mais « réduire le bruit exploitable et accepter de vivre dans un état de fuite documenté ».

Qui sont les acteurs, et ce qu’ils savent vraiment

L’industrie de la data brokerage est ancienne, massive, et invisible pour le grand public. Le rapport de référence de la FTCRenseignement à partir de sources ouvertes (publiques) : réseaux sociaux, registres, archives. de 2014 — daté sur les chiffres, intemporel sur les mécanismes — recensait déjà des courtiers détenant plus de 700 milliards d’éléments de données agrégés. Dix ans plus tard, l’ordre de grandeur a explosé, pas diminué.

Au sommet, les agrégateurs majeurs. Acxiom, racheté par LiveRamp en 2018, maintient des profils sur environ 2,5 milliards de personnes, avec en moyenne près de 1 500 attributs par profil. Experian combine notation de crédit et brokerage. Oracle Data Cloud (anciennement Datalogix puis BlueKai) a longtemps été un pivot publicitaire avant qu’Oracle n’annonce son démantèlement progressif en 2022 — preuve, au passage, que même les géants reconfigurent leurs lignes data quand la pression réglementaire monte. LexisNexis Risk Solutions alimente l’assurance, le juridique, le secteur public. Epsilon et LiveRamp structurent le matching cross-device, c’est-à-dire la capacité à recoller votre identité entre votre téléphone, votre ordinateur et votre télévision connectée.

En dessous, les spécialistes. Les services de people search américains — Spokeo, Whitepages, BeenVerified, Radaris — qui agrègent registres publics et données commerciales pour vendre des rapports sur n’importe quel particulier, à 20 ou 30 dollars pièce. CoreLogic sur l’immobilier. Et la nébuleuse des courtiers européens, plus discrets parce que plus exposés au RGPD : Schober en Allemagne, divers acteurs de data management platform locaux qui revendent des segments d’audience sans jamais apparaître dans votre champ de vision.

Ce qu’ils détiennent se range en trois couches. Les données déclaratives d’abord : nom, adresses successives, téléphones, e-mails, date de naissance, composition du foyer, statut marital, enfants, revenus estimés, patrimoine inféré, propriété immobilière. Les données comportementales ensuite : historique d’achats reconstitué via les cartes de fidélité et les partenariats e-commerce, navigation web captée par les pixels marketing, géolocalisation approximative revendue par des applications mobiles qui n’ont aucune raison fonctionnelle de la collecter, habitudes de consommation média. Les scorings prédictifs enfin, et c’est là que ça devient désagréable : probabilité d’achat par catégorie, risque financier, stade de vie (déménagement imminent, naissance, départ en retraite), et oui, dans certains catalogues américains, des segments aussi intrusifs que « personne en deuil récent » ou « ménage en difficulté financière ».

Comment vos données arrivent là ? Par trois canaux. Les sources contractuelles : cartes de fidélité, formulaires web banals, applications mobiles gratuites, programmes de fidélité aériens et hôteliers, cases pré-cochées que personne ne décoche. Les partenariats : opérateurs télécom revendant des métadonnées agrégées selon la juridiction, fournisseurs d’accès, émetteurs de cartes qui revendent des agrégats de dépenses. Les sources publiques : registres légaux comme le BODACCPublication officielle française des annonces légales (créations, jugements, procédures collectives)., RCS via Pappers et Infogreffe, listes électorales selon les pays. Et une quatrième catégorie qu’aucun courtier sérieux n’assume mais qui existe : les bases de fuites repackagées sous le label « data enrichment », où des dumps issus de breaches viennent enrichir les profils légitimes.

Un point que je martèle en mission : la valeur d’un courtier ne tient pas à la donnée brute, qui est souvent banale, mais à la résolution d’identité. Recoller votre adresse e-mail de 2012, votre numéro de téléphone de 2019, votre adresse postale actuelle et l’identifiant publicitaire de votre téléphone en un seul profil unique, c’est cela le métier. Une donnée isolée ne vaut rien ; le graphe qui les relie vaut beaucoup, parce qu’il permet de vous suivre à travers les services, les appareils et le temps. C’est pour cette raison qu’un opt-out partiel — vous retirez l’e-mail mais laissez le téléphone — ne casse pas le profil : il suffit d’un identifiant pivot encore valide pour que le reste se recolle. Quand vous traitez votre exposition, raisonnez en identifiants pivots (e-mail, téléphone, adresse) et non en données isolées.

Le cadre légal, ou pourquoi c’est structurellement asymétrique

Le terrain juridique explique pourquoi le problème résiste. En Europe, le RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. vous donne un droit d’accès (article 15) et d’effacement (article 17). Sur le papier, c’est solide. En pratique, l’article 17 est assorti d’exceptions étendues — intérêt légitime du responsable de traitement, obligations légales de conservation, archives — et surtout, il suppose que vous sachiez à qui vous adresser. Les courtiers européens répondent, souvent au ralenti et au bord des délais légaux. Les courtiers américains opérant en Europe répondent quand ils estiment y être contraints, et la CNILAutorité française de protection des données, régulateur RGPD pour la France. n’a ni les moyens ni la juridiction pour les poursuivre tous.

Aux États-Unis, il n’existe pas de loi fédérale équivalente. Le paysage est un patchwork d’États. Le California Consumer Privacy Act (CCPA), renforcé par le CPRA, ouvre un droit d’opt-out, et l’agence californienne a déployé en 2026 le mécanisme DROP (Delete Request and Opt-out Platform), qui permet une demande de suppression unique propagée à tous les courtiers enregistrés dans l’État — une vraie avancée structurelle. Le Vermont impose un registre obligatoire des data brokers, ce qui rend au moins la liste publique. Ailleurs aux États-Unis, la protection fédérale est quasi nulle. Le reste du monde varie du tout au tout : le Brésil (LGPD) est aligné sur le RGPD mais peu appliqué, la Chine (PIPL) est aligné en surface avec une finalité étatique différente, et de larges zones d’Asie, d’Afrique et d’Amérique latine n’offrent aucun recours pratique.

La conséquence opérationnelle est nette : vos données circulent dans des juridictions où vous n’avez aucun levier, et l’effacement que vous obtenez dans une juridiction n’a aucun effet dans les autres. C’est pour cela que le bon objectif n’est pas la suppression — illusoire à l’échelle mondiale — mais la réduction du débit dans les juridictions où vous avez prise, et l’acceptation documentée du reste.

La bonne approche : réduire le bruit, pas viser le zéro

La bascule pragmatique tient en une phrase : vous ne supprimerez pas vos données du marché, vous réduirez le volume de données fraîches et exploitables qui y entrent, et vous ferez le ménage là où c’est juridiquement possible. C’est une logique de débit, pas d’effacement définitif.

Concrètement, trois leviers fonctionnent. Le premier est l’opt-out chez les agrégateurs majeurs, fait à la main, une fois, sérieusement. Acxiom, Experian, Oracle, LexisNexis, Epsilon proposent tous des formulaires de désinscription — souvent enfouis, parfois pénibles, mais réels et imposés par la pression réglementaire américaine et européenne. Couper la tête de la chaîne réduit la rediffusion vers les acteurs secondaires qui s’alimentent chez eux. Aux États-Unis, le registre du Vermont et le mécanisme DROP de l’agence californienne (CPPA), qui permet depuis 2026 une demande de suppression centralisée auprès des courtiers enregistrés, sont des points d’entrée structurants même pour un Européen dont les données ont transité par des plateformes américaines.

Le deuxième levier est l’automatisation par abonnement, pour la longue traîne des dizaines de courtiers secondaires que vous n’iriez jamais traiter individuellement. C’est le rôle d’Incogni, DeleteMe, Optery. Soyons honnêtes sur ce qu’ils font et ne font pas. Incogni (édité par Surfshark) couvre environ 180 à 220 courtiers, envoie des demandes RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. et CCPA automatisées, ne touche ni aux bases de fuites ni aux registres publics, et coûte autour de 7 à 8 euros par mois en formule annuelle. DeleteMe (Abine) s’appuie sur des opérateurs humains, couvre une trentaine de courtiers à dominante américaine, et facture plus cher. Optery revendique la plus large couverture (250+ courtiers) avec une transparence appréciable : ils vous montrent, profil par profil, le statut de chaque demande et fournissent des captures d’écran de l’exposition trouvée puis supprimée. Pour un Européen, Optery ou Incogni font le travail ; DeleteMe est pertinent surtout pour les profils à forte empreinte américaine.

Le troisième levier est le travail manuel non délégable, celui qu’aucun abonnement ne fera à votre place : couper le robinet à la source. Désactiver la géolocalisation dans les applications qui n’en ont pas besoin, révoquer les partages marketing des cartes de fidélité, fermer les comptes dormants des cinq dernières années, refuser systématiquement les cases de revente. C’est ce travail qui réduit le flux de données fraîches. Les opt-out traitent le stock ; la discipline d’hygiène traite le flux. Les deux sont nécessaires, et l’abonnement ne dispense pas du second.

Un mot sur le piège du remède pire que le mal : certains courtiers de type people search vous proposent une suppression… contre la création d’un compte chez eux, avec vérification d’identité par pièce officielle. Vous leur donnez alors plus de données que ce qu’ils détenaient. Ne fournissez jamais une pièce d’identité à un courtier pour exercer un opt-out ; le RGPD n’exige une vérification proportionnée que dans des cas limités, et un courtier sérieux se contente d’une confirmation par e-mail.

Ce que ça implique concrètement

Angle de lecture

Pour vous, en tant que personne

Vous avez probablement laissé une traînée de données chez des dizaines de courtiers que vous ne connaissez pas, accumulée sur dix à vingt ans. Vous n’allez pas la faire disparaître. Vous allez réduire le bruit et couper l’alimentation. Trois priorités, actionnables cette semaine, pour moins de 200 euros sur l’année.

  1. Faites l’opt-out manuel des cinq agrégateurs majeurs — Acxiom, Experian, Oracle, LexisNexis, Epsilon. Comptez une heure trente, formulaire par formulaire, avec un suivi des confirmations dans un simple tableau. C’est gratuit, et c’est le geste qui a le meilleur rapport effort/impact parce qu’il coupe la tête de la chaîne de rediffusion.

  2. Souscrivez un service d’opt-out automatisé pour la longue traîne — Incogni ou Optery selon votre tolérance au prix, 100 à 150 euros par an. Ne le voyez pas comme une solution, mais comme un abonnement de ménage récurrent : il renvoie les demandes tous les trimestres parce que les courtiers vous réinjectent. Vérifiez son rapport d’exposition une fois par trimestre, dix minutes.

  3. Coupez le robinet à la source. Dans les réglages de votre téléphone, passez en revue les autorisations de localisation et coupez-les pour toute application qui n’en a pas un besoin évident. Décochez les partages marketing de vos cartes de fidélité (Carrefour, FNAC, Sephora, et les autres). Fermez les comptes que vous n’avez pas utilisés depuis cinq ans. C’est gratuit, et c’est ce qui empêche vos données futures d’alimenter le marché.

Le reste est une discipline annuelle, pas un sprint. Bloquez une demi-journée par an pour rejouer ces trois gestes. C’est suffisant pour 95 % des profils.

Pour vous, RSSI / DSI / dirigeant

Les brokers sont l’angle mort de votre programme de protection des données. Vous protégez ce que vous traitez ; eux exploitent ce que vos collaborateurs et vos dirigeants laissent fuir, sans que vous ayez la moindre prise. Trois points pour intégrer cette réalité dans votre cadrage.

1. L’exposition de vos personnes-clés via les brokers est une donnée d’entrée de votre threat model, pas un sujet RH collatéral. Les courtiers et les services de people search permettent de reconstituer, pour quelques dizaines d’euros, les adresses domicile, numéros personnels, composition familiale et patrimoine estimé de vos dirigeants. C’est le carburant du spear-phishingPhishing ciblé sur une personne précise, construit à partir de son profil OSINT. et du social engineeringManipulation humaine pour obtenir des informations ou des actions, contournant les défenses techniques. ciblé. Conséquence directe : ajoutez une ligne « broker exposure » à l’audit d’exposition annuel du COMEX et des fonctions sensibles (juridique, M&A, finance, R&D), au même titre qu’un pentest applicatif.

2. Votre conformité RGPD ne mesure pas votre exposition réelle. Une organisation parfaitement conforme — registre des traitements à jour, DPO nommé, NIS 2Directive européenne (2022/2555) qui étend les obligations cybersécurité aux entreprises essentielles et importantes. en cours — peut avoir l’intégralité de son COMEX vendable chez une dizaine de courtiers. Ce sont deux tableaux de bord distincts. Conséquence directe : distinguez explicitement, en gouvernance, l’indicateur de conformité (couverture juridique) et l’indicateur d’exposition opérationnelle (ce qui est achetable sur vos personnes). Ce second tableau est presque toujours absent, ou pire, confié à une solution marketing qui se contente de reformater des données publiques.

3. Vous pouvez financer un broker monitoring de niveau dirigeant pour le prix d’une journée de consultant. Les abonnements Optery/DeleteMe en version « business » ou « family » couvrent plusieurs identités pour quelques centaines d’euros par an et par personne. Conséquence directe : pour un COMEX de dix personnes, un budget de l’ordre de 2 000 à 4 000 euros annuels couvre l’opt-out automatisé et le monitoring. C’est marginal face à votre ligne EDR, et ça traite un vecteur que votre DLPSolution qui détecte et bloque les fuites de données sensibles (mails, fichiers, presse-papiers). et votre CASBSolution qui s'interpose entre les utilisateurs et les apps cloud pour appliquer des politiques de sécurité. ne voient pas du tout.

Erreurs qu’on voit tout le temps

  • Souscrire un abonnement d’opt-out et considérer le sujet clos. L’opt-out traite le stock ; sans couper l’alimentation (géoloc, cartes de fidélité, formulaires), vous payez pour vider un seau qui se remplit en continu.
  • Fournir une pièce d’identité à un courtier pour « accélérer » la suppression. Vous lui donnez plus de données que ce qu’il détenait. Un opt-out légitime ne réclame jamais de passeport.
  • Ignorer les agrégateurs majeurs et ne traiter que la longue traîne. Couper Acxiom ou LexisNexis a plus d’impact que de désinscrire dix people search secondaires qui se réalimentent chez eux.
  • Oublier les courtiers européens et hors-portée. Le focus américain des services grand public laisse des angles morts en Allemagne, en France et hors UE, où certaines de vos données circulent sans aucun recours pratique.
  • Confondre suppression et déréférencement. Obtenir un retrait Google (droit à l’oubliArticle 17 du RGPD : droit à l'effacement de ses données personnelles sous conditions.) ne supprime rien chez le courtier : la donnée reste vendable, elle est juste moins visible dans une recherche grand public.

Checklist actionnable

  • N1 Faire l'opt-out manuel des 5 agrégateurs majeurs (Acxiom, Experian, Oracle, LexisNexis, Epsilon) et tracer chaque confirmation
  • N1 Souscrire un service d'opt-out automatisé adapté au profil (Incogni ou Optery pour l'Europe, DeleteMe si forte empreinte US)
  • N2 Désactiver la géolocalisation des applications qui n'en ont pas un besoin fonctionnel évident
  • N2 Décocher les partages marketing / revente des cartes de fidélité et fermer les comptes inactifs des 5 dernières années
  • N2 Ne jamais fournir de pièce d'identité à un courtier pour exercer un opt-out
  • N3 Pour profil exposé : commander un rapport people search américain sur soi pour mesurer l'exposition réelle
  • N3 Pour organisation : ajouter une ligne 'broker exposure' à l'audit d'exposition annuel du COMEX et suivre le taux de réapparition à 90 jours
  • N3 Pour profil US : demande de suppression via le registre Vermont et le mécanisme DROP de la CPPA californienne

Pour aller plus loin

Le rapport de la FTC de 2014, Data Brokers: A Call for Transparency and Accountability, reste la cartographie de référence des mécanismes de l’industrie, même si ses chiffres ont vieilli. Pour suivre l’évolution réglementaire, le registre du Vermont et le mécanisme DROP de l’agence californienne (CPPA) documentent en clair la liste des courtiers enregistrés et les procédures de suppression centralisée — utiles même depuis l’Europe. Côté pratique RGPD, la CNIL détaille les recours en matière de prospection et de revente de données. Toutes ces sources figurent dans le frontmatter. Pour le cadrage stratégique d’ensemble, voir Vos données sont déjà publiques et, pour les gestes concrets en aval, L’audit d’exposition et Le droit à l’oubli.

Sources et lectures complémentaires

Articles liés