Le bouton « Tout accepter » est probablement la chose la plus cliquée du web après le bouton play de YouTube. Un geste machinal, souvent motivé par le seul désir de faire disparaître cette maudite bannière. Mais ce clic déclenche une chaîne de partage de données qui implique des centaines d’acteurs, traverse des frontières et s’étale sur des années. Voici exactement ce qui se passe.
À retenir
- Qu’arrive-t-il vraiment à vos données dans les secondes qui suivent votre clic « Accepter » ?
- Comment votre profil complet se construit et se revend sans que vous le sachiez vraiment
- Pourquoi 8 ans n’est pas une limite fantaisiste mais une réalité légale documentée
La bannière cookies, une trappe déguisée en formalité
Pour les nombreuses personnes qui cliquent sur « J’accepte » pour accepter les politiques de confidentialité et les conditions d’utilisation en ligne, il n’est pas toujours évident de déterminer le niveau de consentement associé au contrôle des données, ni l’importance de l’effet cumulatif à travers un si grand nombre de sites. Cette formulation prudente mérite d’être traduite en clair : quand vous acceptez sans lire, vous donnez votre feu vert à un système industriel de collecte et de revente de vos informations personnelles.
Ce système fonctionne via un cadre technique appelé TCF (Transparency and Consent Framework), développé par l’IAB Europe. Le TCF est un cadre opérationnel conçu pour aider les propriétaires de sites web, les éditeurs, les fournisseurs et les annonceurs à se conformer aux obligations relatives à la transparence et au consentement établies par le RGPD. Il fournit une approche normalisée permettant d’obtenir le consentement des utilisateurs pour le traitement des données personnelles dans l’écosystème de la publicité numérique. En pratique, c’est le tuyau technique qui permet à votre « oui » de voyager instantanément vers des dizaines, voire des centaines d’entreprises.
Le nombre de partenaires publicitaires peut dépasser 200, sachant qu’il y a plus de 1 000 sociétés publicitaires dans le TCF, sans compter les partenaires qui ne font pas partie du TCF et que Google décide d’intégrer via son « Mode Consentement supplémentaire ». la mention « nos 47 partenaires » que vous lisez parfois dans une bannière n’est qu’une fraction de ce qui circule réellement. Et souvent, le consentement à partager les données peut être inclus dans l’une des cases à cocher obligatoires sur un site web, ou dans les petits caractères lorsqu’une personne s’inscrit à une réduction en ligne ou à une carte de fidélité.
Ce que les data brokers font de votre profil
Les courtiers en données sont des entreprises qui collectent, regroupent et revendent vos informations aux différents acteurs qui souhaitent vous cibler en tant que consommateur, acheteur ou même en tant que personne privée. La compilation et la revente de données sont au cœur de leur activité. Le terme « courtier » est d’ailleurs un beau maquillage marketing : en réalité, ces entreprises recueillent, analysent et expédient certains de nos renseignements personnels les plus sensibles, et les vendent comme une marchandise, les uns aux autres, aux annonceurs, même au gouvernement, souvent sans que nous le sachions directement.
Le profil qu’ils construisent va très loin au-delà de vos goûts Netflix. Les types d’informations collectées incluent le niveau de revenu, des détails sur l’état de santé, les opinions politiques et même le casier judiciaire. Ces informations sont compilées pour créer des segments d’utilisateurs, par exemple « nouvelles mamans », « fans de fitness », qui sont ensuite vendus à d’autres entreprises à des fins commerciales. Une compagnie d’assurance qui achète le segment « personnes sédentaires avec antécédents médicaux » pour ajuster ses tarifs, c’est une conséquence directe de votre clic d’acceptation du matin. Les institutions financières peuvent employer ces données pour évaluer la solvabilité des clients potentiels. Les compagnies d’assurance, quant à elles, pourraient les utiliser pour ajuster leurs politiques tarifaires en fonction du profil de risque des individus.
Ces entreprises existent depuis plusieurs décennies, sont relativement nombreuses (plus de 4 000 dans le monde) et opèrent sur un marché évalué en 2014 à plus de 156 milliards de dollars. Depuis, le secteur n’a fait qu’enfler. L’industrie du courtage de données représentait environ 270 milliards de dollars en 2024 à l’échelle mondiale, avec des projections à 473 milliards de dollars d’ici 2032, soit une croissance annuelle de 7,25 %. Pour donner une échelle : c’est plus grand que le PIB de la Belgique. Chaque année.
Combien de temps vos données restent en circulation ?
C’est là que le sujet devient vraiment inconfortable. Le RGPD encadre la question, mais sans définir de durée universelle. L’article 5 du RGPD impose que les données collectées soient « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ce principe de limitation est clair sur le papier, flou dans l’application.
Dans les faits, les données peuvent s’accumuler pendant des années. Les données des clients utilisées à des fins de prospection commerciale ne peuvent être conservées indéfiniment. La durée est limitée à la durée de la relation commerciale, plus trois ans à compter de la fin de cette relation, laquelle peut correspondre à un achat, l’expiration d’une garantie, la fin d’un contrat de service ou le dernier contact avec le client. Ajoutez-y les délais d’archivage légaux, les prescriptions civiles qui courent jusqu’à cinq ans, les obligations fiscales qui s’étendent jusqu’à six ou dix ans selon les documents, et vous obtenez un total qui dépasse facilement les huit ans pour certaines catégories d’informations.
Le problème, c’est que avec la dématérialisation et l’augmentation des capacités de stockage cloud, il est très facile de « tout conserver indéfiniment, au cas où ». Et les sanctions existent. En 2025-2026, la CNIL a fait de la conservation excessive des données l’un de ses axes prioritaires de contrôle. Les sanctions se multiplient, et la volumétrie des données conservées devient un facteur aggravant dans le calcul des amendes.
Ce que vous pouvez faire concrètement
En 2025, les cookies, la surveillance des salariés et la sécurité des données ont été les principaux sujets des sanctions prononcées par la CNIL, dont le montant cumulé des amendes a atteint 486 839 500 euros, avec 83 sanctions prononcées. Soit presque neuf fois plus qu’en 2024. La CNIL serre la vis, mais la protection reste largement entre vos mains au quotidien.
Quelques réflexes changent vraiment la donne. D’abord, prenez l’habitude de cliquer sur « Refuser » ou « Continuer sans accepter » plutôt que sur « Tout accepter » : en France, afficher un mécanisme de refus au premier niveau, comme « Continuer sans accepter » ou « Tout refuser », est obligatoire si l’utilisateur est basé en France. Ce bouton existe, même s’il est souvent relégué dans un coin discret. Ensuite, la technique de l’empreinte de navigateur utilise des scripts invisibles sur les sites web pour vous identifier d’après votre navigateur, votre appareil, votre fuseau horaire, votre langue et bien d’autres détails encore. Alliée au pistage inter-sites, cette empreinte permet de vous suivre partout sur Internet, même si vous n’êtes pas connecté ou si vous naviguez en mode incognito. même vider vos cookies régulièrement ne suffit pas, et choisir un navigateur orienté vie privée (Firefox avec uBlock Origin, Brave) fait une différence réelle.
Pour ceux qui veulent aller plus loin, il est possible d’envoyer des demandes de suppression directement aux data brokers au titre du droit à l’effacement garanti par le RGPD. Le RGPD offre le droit aux consommateurs de demander aux entreprises de supprimer des données personnelles stockées. La démarche est laborieuse entreprise par entreprise, mais des outils automatisés existent pour l’industrialiser. Des solutions comme Incogni proposent un abonnement pour vous aider à nettoyer vos données personnelles des bases de données des courtiers, en s’appuyant sur les réglementations comme le RGPD en Europe et la CCPA en Californie pour imposer aux courtiers de supprimer vos informations. Ce n’est pas une solution miracle mais un filet de rattrapage utile, surtout si vos données circulent depuis plusieurs années.
Un dernier point rarement mentionné : les informations stockées dans le terminal des utilisateurs (cookies) à des fins de mesure d’audience ont une durée de vie limitée à 13 mois maximum selon les recommandations de la CNIL, et les nouvelles visites ne doivent pas prolonger la durée de vie de ces informations. Cette règle s’applique aux cookies eux-mêmes, pas aux profils que les brokers ont déjà construits à partir des données collectées. Vos cookies expirent, votre dossier chez un courtier en données, lui, reste.
Sources : itsocial.fr | lagazettedescommunes.com