Données personnelles en ligne : acteurs, méthodes et moyens de protection

Navigation web et marchandisation des données personnelles sont étroitement liées. Cet article identifie qui collecte vos données, comment elles sont récoltées et quelles pratiques permettent de limiter le pistage.

Qui collecte vos données ?

Les fournisseurs d’acces Internet (FAI)

Les FAI sont la porte d’entree vers Internet et disposent de la plupart des metadonnees de vos connexions. Sans pouvoir lire le contenu chiffre en HTTPS, ils voient l’adresse IP, les dates et heures de connexion, la duree des sessions, les requetes DNS si vous utilisez leur resolvuer, le type d’appareil et de navigateur, ainsi que les volumes de donnees transferees. La navigation privee n’efface pas cette visibilite cote FAI.

Le RGPD et la CNIL considerent ces elements comme des donnees personnelles: les FAI ne peuvent pas les utiliser a des fins commerciales. La loi francaise impose cependant la conservation de certaines donnees, dont l’adresse IP, jusqu’a un an, avec un acces encadre par l’autorite judiciaire pour les cas de criminalite grave ou de securite nationale. Les informations fournies a la souscription (identite, adresse, telephone, facturation) sont aussi conservees pendant un an apres la resiliation.

Les FAI gerent egalement des abonnements telephoniques et des services de messagerie, ce qui leur donne une vision etendue du mode de vie des abonnes, sans qu’un consentement supplementaire soit necessaire apres la signature du contrat. Ils n’ont cependant pas le droit d’acceder au contenu des communications chiffrees.

Les sites web, annonceurs et courtiers en donnees

Sur les sites web, la collecte s’amplifie: editeurs, annonceurs et regies publicitaires monetisent les donnees des utilisateurs. Les courtiers en donnees agrentent et revend entites et segments d’audience issus de sources multiples.

Parmi les donnees recueillies figurent l’adresse IP, la geolocalisation approximative, le type d’appareil, ainsi que les comportements de navigation (pages consultees, temps passe, recurrente des visites). Les methodes courantes comprennent:

• les cookies et traceurs tiers,
• le fingerprinting, qui identifie une configuration unique a partir des parametres du navigateur et de l’appareil,
• les pixels espions, images invisibles utilisees pour savoir quand et combien de fois un message a ete ouvert.

Les GAFAM

Google, Meta et autres groupes similaires utilisent des methodes proches de celles des sites et annonceurs, mais leur diversification des services leur permet de croiser des donnees tres diverses. L’utilisation simultanee de plusieurs services (reseaux sociaux, messagerie, navigateur, systeme d’exploitation, cartographie, video) augmente la precision des profils. S’y ajoutent les identifiants publicitaires mobiles, la telemetry d’applications et la correlation entre appareils.

Les practices des GAFAM ont ete sanctionnees a plusieurs reprises par les autorites. Des amendes importantes ont ete prononcees pour non-respect du RGPD et des regles de consentement, mais ces entreprises peuvent estimer que le modele economique reste rentable malgre les sanctions.

Comment limiter la surveillance indesirable

Adopter de bonnes pratiques de navigation

Plusieurs gestes simples reduisent la collecte lors de la navigation:

• utiliser le mode incognito pour effacer l’historique et les mouchards en fin de session,
• refuser les cookies non essentiels et bloquer les cookies tiers,
• utiliser un bloqueur de publicites et de suivi,
• bloquer les demandes d’autorisation non necessaires (notifications, geolocalisation),
• desactiver le chargement automatique des images dans le client mail pour limiter les pixels espions,
• choisir un navigateur protege contre le fingerprinting (Tor Browser, Brave, Firefox) et chiffrer les requetes DNS via DoH ou DoT vers un resolvuer de confiance,
• cloisonner les usages en creant plusieurs profils ou ‘containers’ pour separer activites et identites en ligne.

Contenir les donnees communiquees aux GAFAM

Se passer completement des services des GAFAM est souvent difficile. Il est toutefois possible de limiter les donnees transmises:

• ne renseigner que les champs obligatoires lors de la creation d’un compte,
• desactiver le partage de position,
• desactiver la personnalisation publicitaire et reinitialiser regulierement l’identifiant publicitaire du smartphone,
• restreindre les permissions d’acces aux applications et limiter la correlation entre comptes en utilisant des comptes distincts selon l’usage,
• eviter de cliquer sur des publicites et considerer de s’abonner a des services payants lorsque le choix proposé est accepter le traquage ou payer.

Le VPN pour reprendre un peu de controle

Un VPN masque votre adresse IP publique et chiffre le trafic entre votre appareil et le serveur VPN, empechant votre FAI de connaitre les sites consultes. Le FAI voit en revanche la connexion au serveur VPN, ses horaires et ses volumes, et les sites ne voient plus que l’IP du serveur VPN.

Un VPN ne neutralise pas les cookies, pixels ou le fingerprinting cote navigateur, ni la geolocalisation GPS ou Wi-Fi si elles restent actives. L’utilisation d’un VPN deplace la confiance vers le fournisseur de VPN: il est essentiel de choisir un service transparent, audite et sans logs verifies. La prudence est particuliere avec les services gratuits, qui recuperent souvent des revenus en exploitant les donnees des utilisateurs.

Conclusion

La collecte de donnees en ligne implique des acteurs multiples et des methodes tres variees. Connaitre ces acteurs et adopter des pratiques concretes – reglage des navigateurs, limitation des autorisations, usage de VPN fiables, separation des comptes – permet de reduire considerablement l’empreinte numerique. La protection complete exige a la fois des choix individuels et des reglements plus stricts et appliques.