Vous le savez, nous le savons, navigation web et marchandisation des données personnelles vont de pair. La rédaction revient sur les acteurs et les mécanismes de la collecte de données pour vous aider mieux protéger votre vie privée en ligne.
Avant de mettre en place des mesures efficaces contre le pistage, la collecte et le traitement des données personnelles, il faut identifier le « qui », le « pourquoi » et le « comment » de l’équation. Les entités incriminées sont nombreuses, mais on peut les regrouper dans trois grandes catégories : les fournisseurs d’accès à Internet, les sites web et annonceurs, auxquels on peut aussi associer les courtiers en données, acteurs intermédiaires qui agrègent et revendent des profils issus de multiples sources, et les GAFAM, dont les méthodes de profilage ne se limitent plus au dépôt de cookies et s’appuient aussi sur des techniques côté serveur. Tous y trouvent des intérêts différents, qu’il s’agisse de prévention au regard de la sécurité nationale, ou d’alimenter un business model bien huilé. Il existe bien évidemment des méthodes pour en limiter les pratiques abusives et faire respecter votre droit à la vie privée.
Consultez → Comparatif des meilleurs VPN
Qui collecte vos données privées ?
Les FAI
Porte d’entrée sur le web, les fournisseurs d’accès à Internet ont accès à la quasi-totalité métadonnées liées à vos connexions et à vos flux, sans accéder au contenu chiffré en HTTPS. Adresse IP, dates et heures des connexions, durées des sessions, requêtes DNS si vous utilisez leur résolveur (sites et pages web consultés), appareil, navigateur et moteur de recherche utilisés, quantité de données envoyées et téléchargées, volume de trafic vers un hôte, en navigation classique… comme en navigation privée qui n’altère pas ce périmètre de visibilité côté FAI.
L’ensemble de ces éléments sont considérés comme des données personnelles par le RGPD et la CNIL, c’est-à-dire que les FAI ne peuvent pas s’en servir à des fins commerciales. En revanche, le droit français impose de conserver certaines catégories de données, dont l’adresse IP, jusqu’à un an, avec un accès encadré sous contrôle du juge (criminalité grave ou sécurité nationale).
À cela s’ajoutent naturellement toutes les données renseignées au moment de la souscription du contrat auprès du FAI. On pense à l’identité civile de l’internaute, son adresse, son numéro de téléphone, ses informations de facturation, son identifiant en tant qu’abonné. Et rebelote, la loi contraint les FAI à conserver l’ensemble de ces éléments pendant une période d’un an à compter de la date de résiliation du contrat.
On en profite pour rappeler que les FAI ne se contentent pas de délivrer un accès à Internet, mais gèrent aussi les abonnements téléphoniques et leurs propres services de messagerie mail. En clair, ils accèdent à bien plus d’informations que votre seule activité web, et sont pratiquement en mesure d’établir une synthèse complète et très détaillée de votre mode de vie, y compris en dehors du web. Et ce sans jamais avoir besoin de solliciter votre consentement explicite passé la signature du contrat initial.
À toutes fins utiles, on rappellera quand même qu'ils n'ont pas le droit d'accéder au contenu des communications. Ouf.
Les sites web et les annonceurs
Une fois sur la toile, la collecte des données ne fait que s’amplifier. Principaux responsables : les plateformes web et les annonceurs. Et pour cause, vos informations personnelles se monnaient à prix d’or puisqu’elles servent de base de rémunération à la fois pour les éditeurs de contenus qui louent des espaces publicitaires sur leurs sites, pour les entreprises qui souhaitent vendre leurs services ou produits, et pour les régies publicitaires qui font le lien entre les deux. À ce tableau viennent se greffer les courtiers en données, qui enrichissent et revendent des segments d’audience à grande échelle.
Parmi les données collectées et traitées, on peut bien évidemment citer l’adresse IP, qui donne des informations génériques sur le FAI, la géolocalisation et le type d’appareil utilisé. La pose de cookies et les méthodes de tracking classiques permettent également de suivre l’activité web au sein du site web consulté, et d’identifier avec précision les centres d’intérêt des visiteurs et visiteuses grâce à un ensemble de métadonnées liées à leur comportement en ligne (date et heure de visite, pages vues, temps resté sur un contenu, récurrence des visites, etc.).
Il existe enfin d’autres méthodes de collecte des données personnelles, plus discrètes et plus difficiles à parer. C’est notamment le cas du fingerprinting, qui repose sur la récupération des informations techniques liées aux paramètres du navigateur et de l’appareil de l’internaute (dans les grandes lignes, on estime qu’il n’existe pas deux configurations identiques), ou encore de la pose des pixels espions, images invisibles permettant de suivre à la trace les activités des utilisateurs et utilisatrices (quand et combien de fois un mail publicitaire a été ouvert, par exemple).
Les GAFAM
Les techniques des GAFAM ne sont pas vraiment différentes de celles employées par les sites web et annonceurs, mais elles s’avèrent d’autant plus néfastes que des entreprises comme Google ou Meta opèrent au sein de branches d’activités diverses. Une polyvalence qui leur permet de mettre la main sur quantité de données personnelles très variées qui, une fois recoupées, génèrent des profils d’internautes extrêmement précis, en particulier si vous utilisez plusieurs de leurs services (au hasard, Facebook, Instagram et WhatsApp, ou Gmail, Chrome, Google Search, YouTube, Maps, Android). À cela s’ajoutent les identifiants publicitaires mobiles, la télémétrie d’applications, la corrélation entre appareils et les informations collectées par des services tiers intégrés, qui élargissent encore leur champ de collecte et d’analyse.
Si l’on peut dénoncer les procédés déloyaux des sites web contournant le RGPD sans pour autant contrevenir à ses principes essentiels, les GAFAM ont plus d’une fois été épinglés par l’Europe et les autorités nationales pour leurs pratiques abusives. En mai 2023, le régulateur irlandais infligeait ainsi une amende record de 1,2 milliard d’euros à Meta pour avoir enfreint le RGPD avec Facebook. En septembre 2025, c'était au tour de la CNIL de sanctionner Google à hauteur de 325 millions d’euros pour non-respect des règles de consentement et usage abusif de traceurs publicitaires, dans le cadre de publicités affichées au sein même de Gmail et d’un parcours de création de compte jugé trompeur. Mais malgré la note salée, il faut bien comprendre qu’il est toujours plus intéressant pour les GAFAM de prendre le risque d’une condamnation que de faire une croix définitive sur la collecte et le traitement des données personnelles…
Comment lutter contre la surveillance indésirable ?
Adopter de bonnes pratiques de navigation
La première chose à faire, c’est de mettre en place de nouvelles habitudes pour limiter la collecte de données lors de la navigation. On peut, par exemple, privilégier le mode incognito de son navigateur, qui supprime automatiquement les mouchards et l’historique à la fin de la session, refuser systématiquement les cookies non essentiels, changer de site lorsque le choix se résume à accepter ou payer, bloquer les demandes d’autorisation (notifications, géolocalisation, etc.), renforcer les réglages de sécurité pour bloquer les cookies tiers et trackers, installer un bloqueur de publicité et de suivi, ou encore utiliser un navigateur capable de contrer les techniques de fingerprinting (Tor Browser, Brave, Firefox).
Pour aller plus loin, on peut aussi activer les protections anti-pistage renforcées, cloisonner ses usages en créant plusieurs profils ou containers, et chiffrer ses requêtes DNS via DoH ou DoT vers un résolveur de confiance. Dans le client mail, le blocage automatique du chargement des images limite également l’efficacité des pixels espions.
Contrôler les données communiquées aux GAFAM
Dans la mesure du possible, il faudrait parvenir à se détourner complètement des services gérés par les GAFAM et trouver des alternatives sécurisées par défaut. Facile à dire, mais pas toujours réalisable. En revanche, il est tout à fait envisageable de limiter la quantité et le type de données que l’on accepte de leur communiquer. Lorsque vous utilisez Facebook ou Instagram, bloquez le partage de position géographique, ne renseignez que les champs obligatoires pour la création de votre profil, ne cliquez jamais sur les publicités, abonnez-vous à des comptes de tous bords pour brouiller les pistes et restreignez autant que possible les autorisations d’accès à vos appareils.
Il est également recommandé de désactiver la personnalisation publicitaire dans les paramètres de compte, de réinitialiser régulièrement l’identifiant publicitaire de votre smartphone et, lorsque c’est pertinent, de séparer vos usages à l’aide de comptes distincts.
Un VPN pour rééquilibrer (un peu) le jeu
Angle mort de la protection des données personnelles, les FAI sont le dernier obstacle auquel il est difficile de s’opposer. Et pour cause, ce sont eux qui attribuent les adresses IP à vos équipements, détiennent des informations que vous devez leur fournir à la souscription et font transiter l’ensemble de vos connexions avant même qu’elles n’atteignent le web. Autrement dit, ils constituent un passage obligé pour accéder à Internet.
Dans ce cas de figure, un VPN, ou réseau privé virtuel, permet de reprendre la main sur une partie de ces données. Il masque votre adresse IP publique, chiffre le trafic entre votre appareil et le serveur VPN, et empêche votre fournisseur d’accès de connaître les sites que vous consultez. Ce dernier continue toutefois de voir la connexion au serveur VPN, ses horaires et ses volumes. De leur côté, les sites web ne perçoivent plus que l’adresse IP du serveur VPN par lequel transite votre trafic.
À garder en tête que cela ne neutralise pas les cookies, les pixels espions ou le fingerprinting côté navigateur, ni la géolocalisation GPS ou Wi-Fi si elle reste activée, et que tout ce qui échappe au regard du FAI ou des sites web est désormais confié au fournisseur VPN. En d'autres termes, vous ne faites que déplacer la confiance, d’où l’importance de choisir un service transparent et audité, capable de prouver l’absence de logs. Soyez aussi particulièrement vigilant avec les VPN gratuits qui, dans la majorité des cas, ne facturent certes pas leur service, mais se rémunèrent autrement. En exploitant les données que vous pensiez protéger, par exemple.
