On les présente souvent comme de simples données techniques, moins sensibles que le contenu d’une conversation. Pourtant, les métadonnées documentent les conditions dans lesquelles une vie connectée s’organise, et font l’objet de toutes les convoitises.
Métadonnées. Quatre syllabes, un parfum de documentation technique et cette sensation quasi immédiate qu’il faudrait aimer les schémas réseau, les rapports d’audit et les interfaces d’administration pour s’y intéresser. À tort, pourtant, puisque derrière ce terme froid se cache une matière hautement exploitable, d’autant plus précieuse qu’elle passe souvent pour un détail. Les métadonnées ne disent pas ce que vous écrivez, mais elles esquissent des réseaux de relations, révèlent des routines, exposent des déplacements, trahissent des usages personnels, professionnels ou militants, et permettent parfois d’inférer ce que le contenu ne dit pas directement. Ce qui, pour de simples « données autour des données », commence déjà à faire beaucoup.
Les métadonnées ne sont pas des données secondaires
Si les métadonnées sont si déconsidérées, c’est d’abord parce que le mot lui-même induit en erreur. « Métadonnée » sonne comme une information annexe, un petit supplément administratif collé au vrai sujet. Dans l’imaginaire collectif, le message lui-même porterait toute la valeur, tandis que le reste servirait seulement à l’acheminer.
On reprend donc les bases. Une métadonnée correspond bien à ce qui accompagne une action numérique. Elle renseigne l’heure d’un échange, l’adresse IP de l’émetteur et celle du destinataire, le réseau emprunté, l’appareil depuis lequel une connexion a eu lieu, la durée d’un appel, le rythme de répétition d’une interaction ou encore les services et serveurs par lesquels une requête a transité. Elle ne livre pas le contenu brut de ce qui a été écrit, consulté ou transmis, mais elle situe l’action, la relie à d’autres, et lui donne donc un contexte.
Ainsi, une connexion récurrente à une application de santé, des recherches répétées autour d’un crédit immobilier, des visites tardives sur des sites d’emploi, des trajets qui se répètent chaque matin, des appels plus fréquents à un même contact ou des téléphones qui se déplacent souvent ensemble ne diront certes pas « voici ce que cette personne pense », mais « voici ce qui l’occupe, où elle va, quand elle agit, quels liens comptent, quels moments structurent ses journées »
Les métadonnées ne donnent donc pas accès à l’intime par la porte principale, mais par une cartographie des habitudes, des présences et des relations, ce qui en fait une donnée tout sauf secondaire.
Des données trop bavardes pour n’intéresser que les publicitaires
Cette cartographie a déjà trouvé ses premières applications dans l’économie très ordinaire de l’analyse comportementale. Les métadonnées nourrissent la mesure d’audience, le ciblage publicitaire, la détection de fraude, la recommandation, l’attribution marketing, la reconnaissance d’un appareil d’une session à l’autre. Elles servent à classer des usages, repérer des (ir)régularités, deviner des intentions et associer des moments de vie à des profils, pour ensuite affiner une prédiction, personnaliser une publicité ou ajuster un score de risque, entre autres exemples.
Mais ce qui vaut pour le profilage commercial vaut aussi pour d’autres formes d’analyse. Une donnée capable de relier des usages, des appareils, des horaires et des comportements intéresse logiquement les autorités, surtout lorsque le contenu des échanges résiste au chiffrement. Chez Europol, le sujet est assumé. Après les multiples appels de Catherine De Bolle à une coopération renforcée des plateformes avec les forces de l’ordre, l’agence a ouvert un autre front dans son IOCTA 2025, en visant les traces qui entourent les communications.
Même combat en Suisse, pays pourtant réputé très favorable au respect de la vie privée en ligne, où la modification de l’OSCPT pourrait imposer à davantage de services, dont les fournisseurs VPN et les messageries chiffrées installés sur le territoire national, d’identifier leurs utilisateurs et utilisatrices, de conserver des métadonnées et de collaborer avec les autorités.
Il ne s’agit évidemment pas de suggérer que toute demande d’accès aux métadonnées relèverait par nature de l’abus, mais de rappeler qu’elles restent des données sensibles. À grande échelle, elles suffisent à composer des profils exploitables, aussi utiles au ciblage publicitaire qu’aux dispositifs de contrôle. Les traiter comme une catégorie secondaire de la vie privée, c’est déjà sous-estimer leur pouvoir.
Il est temps de reprendre la main sur deux ou trois réglages
Bon, maintenant qu’on a dit ça, qu’est-ce qu’on fait ? On s’attaque à son hygiène numérique, et on commence par les réglages les plus exposés. Sur smartphone, on vérifie quelles applications ont accès à la localisation, au Bluetooth, au micro, à l’appareil photo et aux contacts, puis on coupe tout ce qui n’a pas de raison claire d’être activé. Dans le navigateur, on bloque les cookies tiers quand c’est possible, on refuse les demandes de suivi publicitaire, on évite de rester connecté à tous ses comptes en permanence et on limite la synchronisation automatique entre appareils quand elle n’apporte rien.
On choisit aussi mieux ses services, parce que tous ne traitent pas les traces d’usage avec le même appétit. Un moteur de recherche, un navigateur, un stockage cloud, un service mail ou une application de santé devraient expliquer clairement quelles données de connexion ils conservent, combien de temps, à quelles fins et avec quels tiers elles peuvent être partagées.
Enfin, on utilise un VPN quand on veut limiter ce que la connexion elle-même raconte de nos habitudes d’usage. Il ne supprime pas les métadonnées, mais il en redistribue la visibilité. Le fournisseur d’accès Internet ou l’administrateur d’un réseau ne dispose plus du détail des services contactés, des requêtes DNS, des volumes associés à chaque usage ou des fréquences d’accès, puisque le trafic circule dans un tunnel chiffré. Les plateformes en ligne observent de leur côté l’adresse IP du VPN plutôt que celle de votre box ou de votre opérateur mobile.
En clair, en dehors du fournisseur VPN, personne ne connaît à la fois l’origine de la connexion et le détail complet de ses destinations. Pour la confidentialité des métadonnées comme pour la vie privée en ligne, c’est déjà loin d’être négligeable.
