Les données concernant les comportements des personnes, les liens sociaux, et les moments les plus intimes sont de plus en plus utilisées dans des contextes ou à des fins complètement différents de ceux dans lesquels elles ont été enregistrées. Notamment, elles sont de plus en plus utilisées pour prendre des décisions automatisées au sujet d'individus dans des domaines clés de la vie tels que la finance, l'assurance et les soins médicaux.

Les agences d'évaluation de la solvabilité, ainsi que d'autres acteurs clés de l'évaluation du risque, principalement dans des domaines tels que la vérification des identités, la prévention des fraudes, les soins médicaux et l'assurance fournissent également des solutions commerciales. De plus, la plupart des courtiers en données s'échangent divers types d'informations sensibles, par exemple des informations concernant la situation financière d'un individu, et ce à des fins commerciales. L'utilisation de l'évaluation de solvabilité à des fins de marketing afin soit de cibler soit d'exclure des ensembles vulnérables de la population a évolué pour devenir des produits qui associent le marketing et la gestion du risque.

L'agence d'évaluation de la solvabilité TransUnion fournit, par exemple, un produit d'aide à la décision piloté par les données à destination des commerces de détail et des services financiers qui leur permet “de mettre en œuvre des stratégies de marketing et de gestion du risque sur mesure pour atteindre les objectifs en termes de clients, canaux de vente et résultats commerciaux”, il inclut des données de crédit et promet “un aperçu inédit du comportement, des préférences et des risques du consommateur.” Les entreprises peuvent alors laisser leurs clients “choisir parmi une gamme complète d'offres sur mesure, répondant à leurs besoins, leurs préférences et leurs profils de risque” et “évaluer leurs clients sur divers produits et canaux de vente et leur présenter uniquement la ou les offres les plus pertinente pour eux et les plus rentables” pour l'entreprise. De même, Experian fournit un produit qui associe “crédit à la consommation et informations commerciales, fourni avec plaisir par Experian.”

Outre la machine de surveillance en temps réel qui a été développée au travers de la publicité en ligne, d'autres formes de pistage et de profilage généralisées ont émergé dans les domaines de l'analyse de risque, de la détection de fraudes et de la cybersécurité.

De nos jours, les services de détection de fraude en ligne utilisent des technologies hautement intrusives afin d'évaluer des milliards de transactions numériques. Ils recueillent d'énormes quantités d'informations concernant les appareils, les individus et les comportements. Les fournisseurs habituels dans l'évaluation de solvabilité, la vérification d'identité, et la prévention des fraudes ont commencé à surveiller et à évaluer la façon dont les personnes surfent sur le web et utilisent leurs appareils mobiles. En outre, ils ont entrepris de relier les données comportementales en ligne avec l'énorme quantité d'information hors-connexion qu'ils recueillent depuis des dizaines d'années.

Avec l'émergence de services passant par l'intermédiaire d'objets technologiques, la vérification de l'identité des consommateurs et la prévention de la fraude sont devenues de plus en plus importantes et de plus en plus contraignantes, notamment au vu de la cybercriminalité et de la fraude automatisée. Dans un même temps, les systèmes actuels d'analyse du risque ont agrégé des bases de données gigantesques contenant des informations sensibles sur des pans entiers de population. Nombre de ces systèmes répondent à un grand nombre de cas d'utilisation, parmi lesquels la preuve d'identité pour les services financiers, l'évaluation des réclamations aux compagnies d'assurance et des demandes d'indemnités, de l'analyse des transactions financières et l'évaluation de milliards de transactions en ligne.

De tels systèmes d'analyse du risque peuvent décider si une requête ou une transaction est acceptée ou rejetée ou décider des options de livraison disponibles pour une personne lors d'une transaction en ligne. Des services marchands de vérification d'identité et d'analyse de la fraude sont également employés dans des domaines tels que les forces de l'ordre et la sécurité nationale. La frontière entre les applications commerciales de l'analyse de l'identité et de la fraude et celles utilisées par les agences gouvernementales de renseignement est de plus en plus floue.

Lorsque des individus sont ciblés par des systèmes aussi opaques, ils peuvent être signalés comme étant suspects et nécessitant un traitement particulier ou une enquête, ou bien ils peuvent être rejetés sans plus d'explication. Ils peuvent recevoir un courriel, un appel téléphonique, une notification, un message d'erreur, ou bien le système peut tout simplement ne pas indiquer une option, sans que l'utilisateur ne connaisse son existence pour d'autres. Des évaluations erronées peuvent se propager d'un système à l'autre. Il est souvent difficile, voire impossible de faire recours contre ces évaluations négatives qui excluent ou rejettent, notamment à cause de la difficulté de s'opposer à quelque chose dont on ne connaît pas l'existence.

L'entreprise de cybersécurité ThreatMetrix traite les données concernant 1,4 milliard de “comptes utilisateur uniques” sur des “milliers de sites dans le monde.” Son Digital Identity Network (Réseau d'Identité Numérique) enregistre des “millions d'opérations faites par des consommateurs chaque jour, notamment des connexions, des paiements et des créations de nouveaux comptes”, et cartographie les “associations en constante évolution entre les individus et leurs appareils, leurs positions, leurs identifiants et leurs comportements” à des fins de vérification des identités et de prévention des fraudes. L'entreprise collabore avec Equifax et TransUnion. Parmi ses clients se trouvent Netflix, Visa et des entreprises dans des secteurs tels que le jeu vidéo, les services gouvernementaux et la santé.

De façon analogue, l'entreprise de données ID Analytics, qui a récemment été achetée par Symantec, exploite un Réseau d'Identifiants fait de “100 millions de nouveaux éléments d'identité quotidiens issus des principales organisations interprofessionnelles.”. L'entreprise agrège des données concernant 300 millions de consommateurs, sur les prêts à haut risque, les achats en ligne et les demandes de carte de crédit ou de téléphone portable. Son Indice d'Identité, ID Score, prend en compte les appareils numériques ainsi que les noms, les numéros de sécurité sociale et les adresses postales et courriel.

Trustev, une entreprise en ligne de détection de la fraude dont le siège se situe en Irlande et qui a été rachetée par l'agence d'évaluation de la solvabilité TransUnion en 2015, juge des transactions en ligne pour des clients dans les secteurs des services financiers, du gouvernement, de la santé et de l'assurance en s'appuyant sur l'analyse des comportements numériques, les identités et les appareils tels que les téléphones, les tablettes, les ordinateurs portables, les consoles de jeux, les télés et même les réfrigérateurs. L'entreprise propose aux entreprises clientes la possibilité d'analyser la façon dont les visiteurs cliquent et interagissent avec les sites internets et les applications. Elle utilise une large gamme de données pour évaluer les utilisateurs, y compris les numéros de téléphone, les adresses courriel et postale, les empreintes de navigateur et d'appareil, les vérifications de la solvabilité, les historiques d'achats sur l'ensemble des vendeurs, les adresses IP, les opérateurs mobiles et la géolocalisation des téléphones. Afin d'aider à “accepter les transactions futures”, chaque appareil se voit attribuer une empreinte digitale d'appareil unique. Trustev propose aussi une technologie de marquage d'empreinte digitale sociale qui analyse le contenu des réseaux sociaux, notamment une “analyse de la liste d'amis” et “l'identification des schémas”. TransUnion a intégré la technologie Trustev dans ses propres solutions identifiantes et anti-fraude.

Selon son site internet, Trustev utilise une large gamme de données pour évaluer les personnes

Capture d'écran du site internet de Trustev, 2 juin 2016 ²⁾.

De façon similaire, l'agence d'évaluation de la solvabilité Equifax affirme qu'elle possède des données concernant près de 1 milliard d'appareils et peut affirmer “l'endroit où se situe en fait un appareil et s'il est associé à d'autres appareils utilisés dans des fraudes connues”. En associant ces données avec “des milliards d'identités et d'événements de crédit pour trouver les activités douteuses” dans tous les secteurs, et en utilisant des informations concernant la situation d'emploi et les liens entre les ménages, les familles et les partenaires, Equifax prétend être capable “de distinguer les appareils ainsi que les individus”.

Le produit reCaptcha de Google fournit en fait un service similaire, du moins en partie. Il est incorporé dans des millions de sites internets et aide les fournisseurs de sites internets à décider si un visiteur est un être humain ou non. Jusqu'à récemment, les utilisateurs devaient résoudre diverses sortes de défis rapides tels que le déchiffrage de lettres dans une image, la sélection d'images dans une grille, ou simplement en cochant la case “Je ne suis pas un robot”. En 2017, Google a présenté une version invisible de reCaptcha, en expliquant qu'à partir de maintenant, les utilisateurs humains pourront passer “sans aucune interaction utilisateur, contrairement aux utilisateurs douteux et aux robots”. L'entreprise ne révèle pas le type de données et de comportements utilisateurs utilisés pour reconnaître les humains. Des analyses laissent penser que Google, outre les adresses IP, les empreintes de navigateur, la façon dont l'utilisateur frappe au clavier, déplace la souris ou utilise l'écran tactile “avant, pendant et après” une interaction reCaptcha, utilise plusieurs témoins Google. On ne sait pas exactement si les individus sans compte utilisateur sont désavantagés, si Google est capable d'identifier des individus particuliers plutôt que des “humains” génériques, ou si Google utilise les données enregistrées par reCaptcha à d'autres fins que la détection de robots.

Les flux omniprésents de données comportementales enregistrées pour la publicité en ligne s'écoulent vers les systèmes de détection de la fraude. Par exemple, la plate-forme de données commerciales Segment propose à ses clients des moyens faciles d'envoyer des données concernant leurs clients, leur site internet et les utilisateurs mobiles à une kyrielle de services de technologies commerciales, ainsi qu'à des entreprises de détection de fraude. Castle est l'une d'entre-elles et utilise “les données comportementales des consommateurs pour prédire les utilisateurs qui présentent vraisemblablement un risque en matière de sécurité ou de fraude”. Une autre entreprise, Smyte, aide à “prévenir les arnaques, les messages indésirables, le harcèlement et les fraudes par carte de crédit”.

La grande agence d'analyse de la solvabilité Experian propose un service de pistage multi-appareils qui fournit de la reconnaissance universelle d'appareils, sur mobile, Internet et les applications pour le marketing numérique. L'entreprise s'engage à concilier et à associer les “identifiants numériques existants” de leurs clients, y compris des “témoins, identifiants d'appareil, adresses IP et d'autres encore”, fournissant ainsi aux commerciaux un “lien omniprésent, cohérent et permanent sur tous les canaux”.

La technologie d'identification d'appareils provient de 41st parameter (le 41e paramètre), une entreprise de détection de la fraude rachetée par Experian en 2013. En s'appuyant sur la technologie développée par 41st parameter, Experian propose aussi une solution d'intelligence d'appareil pour la détection de la fraude au cours des paiements en ligne. Cette solution qui “créé un identifiant fiable pour l'appareil et recueille des données appareil abondantes” “identifie en quelques millisecondes chaque appareil à chaque visite” et “fournit une visibilité jamais atteinte de l'individu réalisant le paiement”. On ne sait pas exactement si [Experian utilise les mêmes données pour ses services d'identification d'appareils pour détecter la fraude que pour le marketing.