Données personnelles : qui collecte quoi ? Comprendre et éviter la surveillance sur Internet

Vous le savez, nous le savons, navigation web et marchandisation des données personnelles vont de pair. La rédaction revient sur les acteurs et les mécanismes de la collecte de données pour vous aider à comprendre le qui, le pourquoi, et le comment, et ainsi mieux protéger votre vie privée en ligne.

Avant de mettre en place des mesures efficaces contre le pistage, la collecte et le traitement des données personnelles, il faut identifier le « qui », le « pourquoi » et le « comment » de l’équation. Les entités incriminées sont nombreuses, mais on peut les regrouper dans trois grandes catégories : les fournisseurs d’accès à Internet, les sites web et annonceurs, et les GAFAM, dont les méthodes de profilage outrepassent la simple pose de cookies en interne. Tous y trouvent des intérêts différents, qu’il s’agisse de prévention au regard de la sécurité nationale, ou d’alimenter un business model bien huilé. Il existe bien évidemment des méthodes pour en limiter les pratiques abusives et faire respecter votre droit à la vie privée.

Qui collecte vos données privées ?

Les FAI

Porte d’entrée sur le web, les fournisseurs d’accès à Internet ont accès à la totalité des informations privées que vous communiquez de manière directe et indirecte. Adresse IP, dates et heures des connexions, durées des sessions, requêtes DNS transitant via leurs serveurs (sites et pages web consultés), appareil, navigateur et moteur de recherche utilisés, quantité de données envoyées et téléchargées, volume de trafic vers un hôte, en navigation classique comme en navigation privée.

L’ensemble de ces éléments sont considérés comme des données personnelles par le RGPD et la CNIL, c’est-à-dire que les FAI ne peuvent pas s’en servir à des fins commerciales. En revanche, la loi française oblige les opérateurs de télécommunication à conserver de telles informations pendant un an, et à les transmettre aux autorités compétentes en cas d’enquête administrative et/ou judiciaire.

À cela s’ajoutent naturellement toutes les données renseignées au moment de la souscription du contrat auprès du FAI. On pense à l’identité civile de l’internaute, son adresse, son numéro de téléphone, ses informations de facturation, son identifiant en tant qu’abonné. Et rebelote, la loi contraint les FAI à conserver l’ensemble de ces éléments pendant une période d’un an à compter de la date de résiliation du contrat.

On en profite pour rappeler que les FAI ne se contentent pas de délivrer un accès à Internet, mais gèrent aussi les abonnements téléphoniques et leurs propres services de messagerie mail. En clair, ils accèdent à bien plus d’informations que votre seule activité web, et sont pratiquement en mesure d’établir une synthèse complète et très détaillée de votre mode de vie, même en dehors du web. Et ce sans jamais avoir besoin de solliciter votre consentement explicite.

Les sites web et les annonceurs

Une fois sur la toile, la collecte des données ne fait que s’amplifier. Principaux responsables : les plateformes web et les annonceurs. Et pour cause, vos informations personnelles se monnaient à prix d’or puisqu’elles servent de basse de rémunération à la fois pour les éditeurs de contenus qui louent des espaces publicitaires sur leurs sites, les entreprises qui souhaitent vendre leurs services ou produits, et les régies publicitaires qui font le lien entre les deux.

Parmi les données collectées et traitées, on peut bien évidemment citer l’adresse IP, qui donne des informations génériques sur le FAI, la géolocalisation et le type d’appareil utilisé. La pose de cookies et les méthodes de tracking classiques permettent également de suivre l’activité web au sein du site web consulté, et d’identifier avec précision les centres d’intérêt des visiteurs et visiteuses grâce à un ensemble de métadonnées liées à leur comportement en ligne (date et heure de visite, pages vues, temps resté sur un contenu, récurrence des visites, etc.).

Il existe enfin d’autres méthodes de collecte des données personnelles, plus discrètes et plus difficiles à parer. C’est notamment le cas du fingerprinting, qui repose sur la récupération des informations techniques liées aux paramètres du navigateur et de l’appareil de l’internaute (on estime qu’il n’existe pas deux configurations identiques), ou encore de la pose des pixels-espions, images invisibles permettant de suivre à la trace les activités des utilisateurs et utilisatrices (quand et combien de fois un email publicitaire a été ouvert, par exemple).

Les GAFAM

Les techniques des GAFAM ne sont pas vraiment différentes de celles employées par les sites web et annonceurs, mais elles s’avèrent d’autant plus redoutables que des entreprises comme Google ou Meta opèrent au sein de branches d’activités diverses. Une polyvalence qui leur permet de mettre la main sur quantité de données personnelles très variées qui, une fois recoupées, génèrent des profils d’internautes extrêmement précis, en particulier si vous utilisez plusieurs de leurs services (au hasard, Facebook, Instagram et WhatsApp, ou Gmail, Chrome, Google Search, YouTube, Maps, Android).

Si l’on peut dénoncer les procédés déloyaux des sites web contournant le RGPD sans pour autant contrevenir à ses principes essentiels, les GAFAM ont plus d’une fois été épinglés par l’Europe pour leurs pratiques abusives. En 2021, Amazon écope d’une contravention luxembourgeoise de 746 millions d’euros pour non-respect du RGPD. En mai 2023, le régulateur irlandais inflige une amende record de 1,2 milliard d’euros à Meta pour avoir enfreint le RGPD avec Facebook. Mais malgré la note salée, il faut bien comprendre qu’il est toujours plus intéressant pour les GAFAM de prendre le risque d’une condamnation que de faire une croix définitive sur la collecte et le traitement des données personnelles…

Comment lutter contre la surveillance indésirable ?

Adopter de bonnes pratiques de navigation

La première chose à faire, c’est de mettre en place de nouvelles habitudes de navigations pour leurrer les sites web et annonceurs. On peut, par exemple, privilégier le mode incognito de son navigateur (suppression automatique de tous les mouchards et historique de navigation à la fin de la session web), prendre le temps de refuser tous les cookies non essentiels quand une bannière RGPD requiert une configuration manuelle, changer de site quand le choix se résume à accepter tous les cookies ou payer, bloquer toutes les demandes d’autorisation émanant des plateformes web visitées (envoi de notifications, accès à la géolocalisation, etc.), verrouiller les réglages de sécurité de son navigateur pour bloquer automatiquement les cookies tiers et trackers, installer un bloqueur de publicité et de suivi en ligne, ou encore opter pour un navigateur capable de contrer les techniques de fingerprinting (Tor Browser, Brave, Firefox).

Contrôler les données communiquées aux GAFAM

Dans la mesure du possible, il faudrait parvenir à se détourner complètement des services gérés par les GAFAM et trouver des alternatives sécurisées par défaut. Facile à dire, mais pas toujours réalisable. En revanche, il est tout à fait envisageable de limiter la quantité et le type de données que l’on accepte de leur communiquer. Ainsi, lorsque vous utilisez Facebook ou Instagram, bloquez le partage de position géographique, ne renseignez que les champs obligatoires pour la création de votre profil, ne cliquez jamais sur les publicités, abonnez-vous à des comptes de tous bords et de toutes les couleurs pour brouiller les pistes. Pensez aussi à restreindre les autorisations d’accès à vos appareils au maximum.

Un VPN pour tout verrouiller sans compromis

Angle mort de la protection des données personnelles, les FAI sont le dernier obstacle contre lequel il est difficile de s’opposer. Et pour cause, ce sont eux qui attribuent des adresses IP à vos équipements, ils possèdent quantité d’informations que vous n’avez d’autre choix que de leur communiquer à la souscription du contrat, et c’est par eux que transitent connexions et trafic avant même d’être relayés sur le web. Mais surtout, ils constituent un passage obligé pour pouvoir accéder à Internet.

Dans ce cas de figure, un VPN, ou réseau privé virtuel, offre toutes les protections nécessaires pour préserver ses informations privées du mieux possible. En tant que bouclier, il empêche votre FAI de savoir quels sites vous consultez et le temps que vous passez sur chacun. Il vous permet aussi de dissimuler votre véritable adresse IP aux yeux des services web qui ne pourront vous identifier qu’à l’aide de l’IP du serveur VPN par lequel circule votre trafic. Par extension, vous modifiez votre géolocalisation.

NordVPN : un écosystème dédié à la protection des données privées

Établi au Panama, pays tombant sous le joug de lois très strictes concernant le droit à la vie privée et à l’anonymat en ligne, NordVPN fait partie des réseaux privés virtuels grand public les plus sécurisés. Administrant un parc réseau de plus de 6000 serveurs RAM 10 Gb/s répartis dans 61 pays, propriétaire de ses registres DNS, il offre de bonnes vitesses de connexion et fait la part belle à de nombreuses technologies innovantes, destinées à renforcer davantage la protection des données personnelles. On pense par exemple à NordLynx, protocole maison basé sur WireGuard et compatible AES-256, plus léger et rapide qu’OpenVPN, mais tout aussi fiable, ou encore à ses nombreux équipements spécialisés (serveurs Tor, double VPN et obfusqués) qui permettent de mieux brouiller les pistes.

En marge des fonctionnalités essentielles qu’il intègre (kill switch, split tunneling, prise en charge de protocoles VPN classique comme OpenVPN et IKEv2), NordVPN s’attache à développer des options de confidentialité qui favorise une navigation dans un environnement stable et intégralement sécurisé. Son bloqueur de publicités et de traqueurs vous évite d’avoir à télécharger une extension de navigateur, sa protection anti-malware vous protège contre les virus et autres logiciels malveillants à la manière d’un antivirus classique, et son moniteur Dark Web vous alerte en temps réel lorsqu’une fuite de données impliquant votre adresse mail est détectée.

Plus abouti que les VPN gratuits, NordVPN s’impose comme un véritable écosystème dédié à la vie privée, offrant la possibilité d’enrichir l’offre de base avec un gestionnaire de mots de passe (NordPass) et un espace de stockage en ligne chiffré (NordLocker). Idéal pour se passer de services tiers trop curieux, à l’image de Google Drive ou Microsoft OneDrive.

Accessible à tous les portefeuilles et tous les cas d’utilisation, NordVPN prend en charge jusqu’à 6 connexions simultanées et propose une garantie satisfait ou remboursé de 30 jours, que l’on souscrive pour 1 mois, 1 an ou 2 ans.