Courtiers en Données : Qui Vend Vos Infos Personnelles ?
Chaque fois que tu remplis un formulaire, télécharges une app ou navigues sur un site, quelqu'un enregistre ces données. Et souvent, ce quelqu'un les revend. Bienvenue dans le monde opaque des courtiers en données, une industrie qui pèse plusieurs centaines de milliards d'euros et dont la plupart des internautes ignorent jusqu'à l'existence.
Dans ce guide, on va décortiquer qui sont ces acteurs invisibles, comment ils obtiennent tes informations personnelles, à qui ils les vendent, et surtout comment tu peux limiter les dégâts.
Qu'est-ce qu'un courtier en données ?
Un courtier en données (ou data broker) est une entreprise dont l'activité principale consiste à collecter, agréger, analyser et revendre des informations personnelles sur des individus, sans avoir nécessairement de relation directe avec eux. Ces sociétés compilent des profils détaillés à partir de sources multiples pour les commercialiser auprès d'autres entreprises.
Contrairement à Google ou Facebook, avec qui tu as une relation utilisateur (même déséquilibrée), tu n'as généralement jamais entendu parler des courtiers qui possèdent ton profil. Ils opèrent dans l'ombre, en B2B, et vendent des données à des annonceurs, assureurs, banques, recruteurs, gouvernements et parfois des acteurs bien moins recommandables.
Les principaux types de courtiers en données
- Courtiers marketing : profilent les consommateurs pour la publicité ciblée (Acxiom, Epsilon, Experian Marketing Services).
- Courtiers de risque : évaluent la solvabilité, l'assurabilité ou la fiabilité (LexisNexis, CoreLogic).
- Courtiers de recherche de personnes : sites de type people search qui affichent nom, adresse, âge, proches (Spokeo, BeenVerified, PagesBlanches enrichies).
- Courtiers de santé : agrègent données médicales anonymisées (souvent ré-identifiables) revendues aux laboratoires pharmaceutiques.
- Courtiers de localisation : achètent les données GPS via des SDK intégrés dans des apps mobiles.
Comment les courtiers collectent-ils tes données ?
La collecte se fait par une combinaison de sources publiques, semi-publiques et privées. Voici les canaux principaux :
- Registres publics : cadastre, registres des sociétés, listes électorales dans certains pays, décisions de justice.
- Réseaux sociaux : scraping massif des profils publics (photo, employeur, localisation, centres d'intérêt).
- Applications mobiles : SDK publicitaires intégrés dans des jeux, apps météo, lampes torches, qui envoient tes données en arrière-plan.
- Cookies et trackers : suivi de ta navigation à travers des milliers de sites via des pixels invisibles.
- Programmes de fidélité : cartes de supermarché, cartes cadeaux, abonnements newsletter.
- Achats de bases de données : entre courtiers, ou auprès d'entreprises qui monétisent leur fichier clients.
- Fuites et violations de données : certaines infos issues de data breaches finissent recyclées dans des bases commerciales.
Quelles infos exactement ?
Un profil de courtier typique peut contenir plusieurs milliers d'attributs par personne : nom, adresses successives, téléphones, e-mails, revenus estimés, composition du foyer, marque de voiture, animaux domestiques, orientations politiques, problèmes de santé supposés, habitudes d'achat, historique de navigation, données de géolocalisation précises...
À qui les courtiers vendent-ils tes données ?
Le marché de l'achat de données est vaste. Voici les principaux acheteurs :
| Type d'acheteur | Usage typique | Risque pour toi |
|---|---|---|
| Annonceurs / plateformes pub | Ciblage publicitaire ultra-fin | Faible à modéré |
| Assureurs | Ajustement des primes selon profil | Élevé (discrimination tarifaire) |
| Banques et crédit | Scoring, décision d'octroi de prêt | Élevé |
| Employeurs / recruteurs | Vérification background | Élevé |
| Gouvernements / forces de l'ordre | Enquêtes, surveillance | Variable |
| Escrocs et arnaqueurs | Phishing ciblé, fraude | Très élevé |
| Partis politiques | Micro-ciblage électoral | Modéré |
Les principaux courtiers en données en 2026
Le marché est dominé par une dizaine de mastodontes, mais on compte plus de 5 000 courtiers actifs dans le monde. Voici les plus influents :
Acxiom (LiveRamp)
Un des plus anciens et plus vastes. Détient des données sur environ 2,5 milliards de personnes dans le monde, avec parfois plus de 1 500 points de données par profil.
Experian, Equifax, TransUnion
Historiquement bureaux de crédit, ils ont diversifié leur activité vers le marketing et le scoring comportemental. Equifax a subi en 2017 l'une des plus grandes fuites de l'histoire (147 millions de personnes).
Oracle Data Cloud
Après le rachat de plusieurs courtiers (BlueKai, Datalogix), Oracle a construit une des plus grosses places de marché de données au monde. Sous pression réglementaire, elle a annoncé fermer cette activité en 2024, mais les données circulent toujours.
Epsilon (Publicis)
Racheté par le groupe français Publicis. Spécialiste du marketing direct et de la personnalisation.
Palantir
Plus discret côté grand public, ce géant travaille surtout avec gouvernements et grandes entreprises pour agréger et analyser des données à grande échelle.
Cadre légal : le RGPD change-t-il la donne ?
En Europe, le RGPD (Règlement Général sur la Protection des Données) encadre strictement l'activité des courtiers depuis 2018. En théorie, ils doivent :
- Disposer d'une base légale valide (consentement, intérêt légitime documenté).
- T'informer de la collecte et de l'usage de tes données.
- Respecter tes droits d'accès, de rectification, d'opposition et d'effacement.
- Notifier la CNIL en cas de fuite.
En pratique, l'application reste inégale. La CNIL a infligé plusieurs sanctions notables ces dernières années (Criteo, Voodoo, Discord…) mais l'écosystème reste largement opaque. Pour approfondir, consulte notre guide sur le RGPD et tes droits.
Le CCPA californien et l'effet domino
Aux États-Unis, la Californie (CCPA/CPRA) a créé un registre officiel des courtiers en données. Le Vermont et le Texas ont suivi. Cela permet aux citoyens de savoir qui vend leurs infos et d'exercer un droit d'opposition centralisé.
Comment savoir si tes données sont vendues ?
Il n'existe pas de tableau de bord unique, mais plusieurs indices te mettent la puce à l'oreille :
- Publicités étrangement ciblées : produits liés à un événement de vie récent que tu n'as pas mentionné publiquement.
- Appels commerciaux non sollicités alors que tu es inscrit à Bloctel.
- Recherches Google sur ton nom qui font apparaître des sites people search avec adresse, téléphone, âge.
- E-mails de phishing personnalisés mentionnant ton employeur ou ta ville.
- Notifications de fuite via des services comme HaveIBeenPwned.
Comment reprendre le contrôle de tes données
1. Exercer ton droit d'opposition
Le RGPD te donne le droit de demander à tout courtier de supprimer tes données. C'est chronophage mais efficace. Notre guide détaillé sur comment supprimer tes données d'internet explique la procédure étape par étape.
2. Faire valoir le droit à l'oubli
Pour les résultats Google qui te concernent, tu peux utiliser le droit à l'oubli pour déréférencer les pages sensibles ou obsolètes.
3. Limiter la collecte à la source
- Refuse les cookies non essentiels systématiquement.
- Utilise un navigateur privé (Brave, Firefox avec strict tracking protection).
- Configure un DNS chiffré (Cloudflare 1.1.1.1, NextDNS) pour bloquer les trackers au niveau réseau.
- Désactive l'identifiant publicitaire sur ton smartphone (paramètres > confidentialité).
- Supprime régulièrement tes traces avec notre guide pour effacer ton historique de navigation.
4. Utiliser des alias e-mail
Des services comme SimpleLogin, AnonAddy ou Apple Hide My Email permettent de créer un e-mail unique par site. Si un courtier collecte ton alias, tu peux le désactiver et couper la source.
5. Raccourcir et masquer tes liens partagés
Lorsque tu partages des liens (notamment sur les réseaux sociaux ou par e-mail), certains services y ajoutent des paramètres de tracking. En passant par un raccourcisseur respectueux de la vie privée comme Lunyb, tu casses cette chaîne de suivi et limites ce que les tiers peuvent apprendre sur toi et tes destinataires.
6. Services de suppression automatisée
Des outils comme Incogni, DeleteMe ou Kanary envoient des demandes de suppression à des centaines de courtiers en ton nom. Comptez 80 à 200 €/an. Utile si tu veux gagner du temps, mais vérifie leur périmètre géographique (certains ne couvrent pas bien les courtiers européens).
Cas concret : ce que sait un courtier sur un Français moyen
Voici un profil type reconstitué à partir de sources publiques et de fuites de bases commerciales :
- Identité complète, date de naissance, situation familiale.
- 3 à 5 adresses successives des 10 dernières années.
- Numéros de téléphone actuel et anciens.
- Adresses e-mail (perso, pro, alias).
- Employeur actuel et historique professionnel (via LinkedIn scrapé).
- Revenus estimés, tranche fiscale probable.
- Marque, modèle et année de la voiture.
- Score de crédit inféré.
- Centres d'intérêt (sport, politique, religion, orientation supposée).
- Historique d'achats en ligne (via cookies).
- Habitudes de déplacement (via SDK d'apps).
- Cercle social approximatif (via graphes des réseaux sociaux).
Tout cela pour un coût unitaire de vente compris entre 0,10 € et quelques euros selon la richesse du profil.
Les risques concrets d'une industrie non régulée
Discrimination algorithmique
Un assureur peut te proposer une prime plus élevée parce que tu vis dans un code postal considéré comme "à risque", même sans jamais avoir eu de sinistre.
Fraude ciblée
Les arnaqueurs achètent des listes de personnes âgées avec numéro de téléphone pour cibler leurs opérations. Le phishing personnalisé (spear phishing) devient redoutable quand l'escroc connaît ton employeur et ton manager.
Harcèlement et stalking
Les sites de recherche de personnes ont facilité des cas de harcèlement, en donnant accès à adresses et téléphones de victimes de violences conjugales par exemple.
Manipulation politique
L'affaire Cambridge Analytica a montré comment des données comportementales pouvaient servir à cibler individuellement des électeurs indécis avec des messages sur mesure.
FAQ
Est-ce légal de vendre mes données personnelles en France ?
Oui, sous conditions strictes. Un courtier doit avoir une base légale (souvent le consentement recueilli en cascade via un site qui t'a collecté à l'origine, ou l'intérêt légitime). Sans cela, la vente est illégale et la CNIL peut sanctionner. En pratique, beaucoup d'acteurs opèrent en zone grise.
Combien vaut mon profil sur le marché des données ?
Individuellement, très peu : entre quelques centimes et quelques euros selon la richesse et la fraîcheur des données. C'est le volume qui fait la valeur : un courtier vend des segments de millions de personnes à des acheteurs qui paient à la requête ou à l'abonnement.
Puis-je demander la liste des courtiers qui ont mes données ?
Non, il n'existe pas de registre européen centralisé (contrairement à la Californie). Tu peux en revanche envoyer une demande d'accès RGPD aux principaux courtiers connus (Acxiom, Experian, Oracle…) pour savoir quelles infos ils détiennent sur toi.
Supprimer mes données chez un courtier suffit-il ?
Non, malheureusement. Les courtiers se réalimentent constamment via de nouvelles sources. Une suppression tient généralement 6 à 12 mois avant que ton profil ne se reconstitue. C'est pourquoi les services automatisés effectuent des demandes récurrentes.
Les cookies suffisent-ils pour me profiler ?
Aujourd'hui les cookies tiers sont en fin de vie (Safari et Firefox les bloquent, Chrome les restreint). Mais les courtiers ont pivoté vers d'autres techniques : fingerprinting du navigateur, identifiants publicitaires mobiles, connexions e-mail (login-based tracking) et données déclaratives collectées via formulaires.
Conclusion
Les courtiers en données sont l'infrastructure invisible de l'économie numérique. Ils ne disparaîtront pas du jour au lendemain, mais chaque geste compte : refuser les cookies, limiter les apps intrusives, exercer tes droits RGPD, utiliser des outils respectueux de la vie privée. La reprise de contrôle est un marathon, pas un sprint. L'important est de commencer.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Comment Supprimer Vos Données d'Internet : Guide Complet 2026
Supprimer tes données personnelles d'Internet est un droit garanti par le RGPD. Ce guide complet 2026 t'explique étape par étape comment nettoyer ton empreinte numérique : réseaux sociaux, data brokers, Google et anciens comptes oubliés.
Droit à l'Oubli : Comment Faire la Demande (Guide Complet 2026)
Le droit à l'oubli te permet de faire supprimer des informations personnelles gênantes en ligne ou de les faire disparaître de Google. Ce guide 2026 t'explique la procédure exacte, les délais, les modèles de courrier et les recours CNIL pour reprendre le contrôle de ton identité numérique.
IA et Vie Privée : Ce Qui Change en 2026 (Guide Complet)
AI Act, opt-out d'entraînement, marquage des contenus IA, droit à l'explication : 2026 change tout pour ta vie privée face à l'IA. Voici ce qui évolue concrètement et comment te protéger.
Vie Privée en Ligne en Belgique : Guide Complet 2026
Découvre comment protéger ta vie privée en ligne en Belgique : cadre légal RGPD et APD, tes droits, les meilleurs outils européens et les erreurs à éviter en 2026. Un guide complet et pratique adapté au contexte belge.