L'empreinte numérique : un voyage au cœur de l'opacité systémique

par Serge Van Cutsem

Il y a des expériences numériques qui marquent plus que d'autres, non pas parce qu'elles sont spectaculaires, mais parce qu'elles révèlent en un instant la mécanique invisible qui agit derrière nos écrans. La mienne commence banalement avec un groupe que j'écoute en boucle sur YouTube : Missioned Souls. Des adolescents philippins qui reprennent les classiques du rock, de la pop et du blues avec un talent sidérant, au point que j'ai presque délaissé le reste pour ne plus écouter que leurs reprises, mais là n'est pas le sujet car c'est ici que ça devient inquiétant.

Récemment, j'ouvre Spotify, qui ne connaît pourtant pas ce groupe, et une playlist préconstruite «fabriquée pour moi» démarre. Surprise ! Cette liste reprend exactement les morceaux originaux de Deep Purple, Toto, Evanescence, et bien d'autres, que Missioned Souls interprète sur YouTube. Or, je n'avais jamais écouté ces titres en version originale sur Spotify, pas une seule fois !

L'impression est troublante, comment Spotify savait-il que j'écoutais les reprises de ces morceaux alors que je ne le faisais que sur YouTube, dans des versions différentes (même si parfaitement reprises) ? La première réaction, c'est d'y voir une forme d'espionnage, comme si Spotify avait tendu une oreille indiscrète vers mes sessions YouTube, mais je n'arrivais pas à comprendre le mécanisme. Je pourrais en rire, si ce n'était pas si dérangeant. Car à ce moment-là, j'avais compris que ce n'est pas un hasard, mais un symptôme : quelque chose circule d'une plateforme à l'autre, dans mon dos, et me trahit encore mieux que je ne l'aurais fait moi-même.

Cette anecdote paraît banale, mais elle contient déjà tout : l'illusion d'un choix séparé (YouTube d'un côté, Spotify de l'autre), l'évidence que ces mondes (on a subitement envie de les nommer «monstres») communiquent sans qu'on le sache, et surtout, la sensation d'avoir perdu une part de liberté. Ce qui me semblait un petit mystère personnel n'était en fait que l'expression d'un mécanisme global, systémique, qui nous dépasse. J'ai entamé des recherches sans relâche, car en tant qu'informaticien (depuis 1970) il fallait que je comprenne.

En fait, les liens invisibles entre plateformes, cet épisode Spotify/YouTube ne tombe pas du ciel. Il est la conséquence d'un enchevêtrement de liens invisibles entre plateformes que nous croyons indépendantes. Nous aimons penser que YouTube, Google, Spotify, Amazon ou Facebook sont des univers séparés (1), mais la vérité, c'est qu'ils sont tous connectés par une mécanique commune : le profilage.

Votre smartphone est une boîte noire qui bavarde en permanence. Chaque application envoie ses signaux : quel appareil vous utilisez, à quelle heure, sur quel réseau, dans quelle zone géographique. Ces informations ne s'arrêtent pas à l'appli elle-même, elles nourrissent des régies publicitaires centralisées, dont Google et Meta sont les reines. Spotify n'a pas besoin d'accéder directement à votre historique YouTube : il lui suffit d'acheter ou de recevoir les bons signaux.

À cela s'ajoutent les bases musicales mondiales. Les morceaux interprétés par Missioned Souls ne flottent pas dans un vide. Certes ce sont des reprises, des copies, mais ils sont indexés, catalogués et reconnus automatiquement par des bases comme Gracenote, MusicBrainz ou Shazam. Quand vous regardez une «cover» (reprise), les algorithmes savent immédiatement à quel titre original il correspond. Résultat : même si vous n'écoutez jamais la version studio de Deep Purple, Led Zeppelin, Bon Jovi, etc., votre profil musical est mis à jour avec précision.

Enfin, il y a la force des corrélations. Les algorithmes n'ont pas besoin de connaître vos actions individuelles pour prédire vos goûts. Ils s'appuient sur des millions de comportements similaires. Si neuf personnes sur dix qui écoutent Missioned Souls se tournent aussi vers les originaux sur Spotify, la dixième sera automatiquement associée au même chemin, même si elle ne l'a jamais fait. Pas besoin d'espionnage direct : la prédiction suffit.

C'est là que l'illusion se brise. Nous croyons encore à une autonomie de nos choix numériques, mais ce sont nos traces, et celles des autres, qui dessinent ce que nous verrons et entendrons demain. Derrière la playlist Spotify se cache une logique plus vaste : tout est relié, et ce qui nous paraissait indépendant est en fait un seul système tentaculaire.

L'empreinte numérique unique

C'est ici que ça devient encore plus instructif car peu de gens connaissent cela en détail, et souvent pas du tout.

On parle souvent des «cookies» comme symbole du suivi numérique, mais les cookies ne sont qu'un trompe-l'œil, un leurre qui est volontairement poussé en avant via le fameux RGPD (2), présenté comme un rempart, il s'avère surtout un leurre dont le but est l'inverse de ce qui est prétendu. Il sert surtout les géants de l'industrie matérielle et virtuelle et pas du tout les individus ni les PME. Il a renforcé la transparence affichée (bannières cookies, politiques de confidentialité) avec les fameux questionnaires imposés pour continuer à consulter un site WEB, mais il reste largement contourné dans la pratique, car l'empreinte numérique et le fingerprinting échappent largement au consentement éclairé de l'utilisateur. La véritable clé, c'est l'empreinte numérique unique, aussi singulière qu'une empreinte digitale, c'est quasiment un UUID. (3)

Voici comment cela fonctionne :

Cette empreinte digitale se fabrique à partir de dizaines de paramètres anodins :

Le modèle de smartphone ou de PC
La version du système d'exploitation
La taille de l'écran
Les polices de caractères installées
L'adresse IP
L'opérateur mobile ou Internet
...

Même la vitesse et le mode de frappe ainsi que la façon de bouger la souris ne lui échappent pas. Pris séparément, ces éléments semblent insignifiants mais combinés, ils forment une signature quasi infaillible, capable d'identifier quelqu'un avec plus de 99% de fiabilité. Et il ne faut pas croire qu'en changeant de smartphone ou de PC on retrouve l'anonymat : comme l'empreinte est multicritères, les algorithmes recollent rapidement les morceaux et reconstituent votre identité numérique.

C'est ce qu'on appelle le device fingerprinting. Contrairement aux cookies, qu'on peut effacer ou refuser, l'empreinte numérique est indélébile. Même en navigation privée telle que TOR (4), même derrière un VPN, même en changeant de navigateur, l'utilisateur reste reconnaissable. Votre double invisible circule, de régie en régie, d'appli en appli. TOR et VPN protègent une couche, mais jamais l'ensemble. Le fingerprinting, lui, passe partout

C'est grâce à cette empreinte que Spotify a pu savoir ce que je faisais sur YouTube. Il n'y avait pas besoin d'un espion derrière l'écran, la caméra ou le micro, c'est le téléphone et le PC eux-mêmes qui sont les espions. Ils alimentent en permanence des bases interconnectées où le profil musical, commercial et comportemental est mis à jour en temps réel.

Et c'est cette même empreinte qui explique tant d'expériences troublantes du quotidien : la pub qui s'affiche juste après avoir parlé d'un produit à quelqu'un, l'offre de voyage qui surgit après une vidéo, la chanson qui est recommandée alors que vous ne l'avez jamais cherchée. Ce n'est pas de la magie, mais c'est pire car c'est réel, réfléchi et mis en place de façon machiavélique. L'empreinte numérique unique, invisible, universelle et planétaire.

Face à ce mécanisme, la population mondiale se divise en trois groupes, et le plus inquiétant, c'est que la majorité vit encore dans l'ignorance.

80 à 85% n'ont aucune conscience réelle du tracking. Ils cliquent, scrollent, consomment du contenu en croyant que le mode «navigation privée» ou la suppression de l'historique et le refus des cookies suffit. Pour eux, l'anonymat est encore possible et maîtrisable.
(15) à 18% ont une conscience floue. Ils savent qu'ils sont suivis, que «Google et Facebook collectent des données», mais sans vraiment comprendre comment. Pour eux, tout se résume presque aux cookies.
(1) à 2% au maximum comprennent réellement le mécanisme. Chercheurs en cybersécurité, militants numériques, quelques journalistes, et une poignée de citoyens curieux. Eux seuls connaissent le rôle de l'empreinte, des corrélations et de l'opacité des régies publicitaires.

Et même parmi ceux qui sont conscients, rares sont ceux qui mesurent l'ampleur du phénomène. Beaucoup savent qu'ils sont «le produit» mais peu comprennent que ce n'est plus seulement leur attention qui est vendue, mais leur empreinte numérique, leur double invisible, qui est marchandisée en temps réel.

Ce grand malentendu collectif est la meilleure protection des plateformes, tant que la majorité croit que «tout se joue dans les cookies», ou que «la navigation privée protège», elles peuvent continuer à profiler en toute tranquillité.

Le vrai scandale n'est pas seulement la surveillance, mais l'ignorance organisée. Une population qui ne comprend pas ce qui lui arrive n'est pas seulement suivie : elle est captive.

Depuis vingt ans, on nous laisse croire que nous gardons une forme de contrôle. «Effacez vos cookies», «Activez le mode privé», «Choisissez vos préférences de confidentialité» en oubliant jamais de vous rappeler que le RGPD a été mis en place «Pour votre bien et protéger votre vie privée». Autant d'options qui ressemblent à des verrous, mais en réalité ne ferment aucune porte.

Les cookies ? Faciles à supprimer, ils ne sont qu'une couche superficielle. Supprimez-les, votre empreinte reste. La navigation privée ? Elle empêche votre conjoint de voir votre historique, pas Google de savoir ce que vous faites. Un VPN ? Utile pour changer votre adresse IP, mais incapable de masquer votre appareil, ta configuration, votre comportement.

Ces outils ne sont pas inutiles, mais ils ne protègent que contre des curieux de proximité. Contre les géants du web, ils sont dérisoires.

Cette illusion de contrôle fait partie du système. On nous donne des boutons à cocher pour nous apaiser, mais la collecte continue en arrière-plan. C'est une stratégie de «démolition contrôlée» : on met en avant des outils que les citoyens peuvent comprendre, tout en cachant la mécanique réelle.

Le résultat, c'est une confiance entretenue artificiellement. L'utilisateur croit encore qu'il «gère ses données». En réalité, il ne fait que déplacer un rideau. Derrière, le profilage continue, plus fort que jamais.

C'est là que je voudrais ajouter un point personnel. Je suis informaticien depuis 55 ans, j'ai commencé en 1970, j'ai appris l'assembleur, le PL/1, j'ai travaillé avec des cartes perforées, vu naître les mainframes et Internet. J'ai vu toute cette évolution en une seule génération. Et malgré ce parcours, je n'avais pas mesuré, avant récemment, la profondeur de ce mécanisme. Bien sûr, je ne suis pas un lapin de 6 semaines et je savais que nous étions suivis, profilés. Mais l'empreinte numérique unique, la consolidation inter-plateformes, l'opacité systémique du fingerprinting, je ne l'ai pleinement comprise que maintenant.

Cela dit tout. Si même un informaticien avec un demi-siècle d'expérience tombe des nues, imaginez le citoyen lambda. Imaginez la violence de l'illusion, entretenue au point que même les professionnels n'en voient pas toute la portée.

C'est ce décalage qui m'a poussé à écrire ce texte. Non pas pour dénoncer un secret caché, mais pour lever un voile que même les techniciens ne soulèvent pas toujours. Parce qu'au fond, cette opacité n'est pas accidentelle : elle est systémique et voulue.

Ce que je décris avec Spotify et YouTube paraît anodin. Une playlist, après tout, ce n'est pas grave, mais la logique est la même pour tout le reste : produits, voyages, opinions, informations.

Le profilage ne se contente pas de savoir ce que vous aimez : il anticipe ce que vous allez aimer. Il ne se contente pas de cibler ta prochaine paire de chaussures : il façonne l'horizon d'information. Le résultat est que chacun vit dans une bulle prédictive où tout est calibré pour lui ressembler.

En fin de compte, dans la musique, on croit découvrir, dans l'actualité, on croit s'informer. Mais dans les deux cas, c'est l'algorithme qui choisit, et ce choix repose sur une empreinte que vous n'avez jamais fournie mais qui a été volée par petites morceaux à chaque clic.

Le danger n'est pas seulement la surveillance, mais l'enfermement. Nous devenons les prisonniers consentants d'un système qui réduit notre monde à ce qu'il a décidé que nous étions. C'est la victoire silencieuse de l'opacité systémique : nous ne voyons plus que ce qu'elle veut nous montrer.

Conclusion

Tout est parti d'une playlist Spotify, un petit mystère qui paraissait personnel, presque anecdotique. Mais derrière, il y avait la mécanique globale : YouTube, Google, Spotify reliés par des régies invisibles, mon empreinte numérique circulant comme une carte d'identité universelle, un système entier reposant sur l'opacité systémique.

Je comprends mieux aujourd'hui la vérité du vieil adage : «Si c'est gratuit, c'est toi le produit». Mais j'irais encore plus loin. Ce n'est plus seulement vous : c'est votre empreinte, votre double invisible, qui est vendu en temps réel au plus offrant.

Voilà la réalité : une mécanique implacable, opaque, systémique. Tant que nous n'en aurons pas conscience, nous continuerons à vivre dans une bulle prédictive, prisonniers consentants de l'opacité systémique.

Lectures recommandées

CNIL - Fingerprinting : définition et usages
cnil.fr
EFF (Electronic Frontier Foundation) - Panopticlick (2010) : étude prouvant l'unicité des empreintes de navigateurs
panopticlick.eff.org
Laperdrix, A. et al. - Browser Fingerprinting : A Survey (2019)
arxiv.org
RTBF - Le fingerprinting de Google, ou comment suivre les internautes sans laisser de trace (2024)
rtbf.be
Norton - Qu'est-ce que le fingerprinting ? (2023)
fr.norton.com

Que faire pour limiter son empreinte numérique ?

On ne peut pas totalement disparaître du radar : l'empreinte numérique est par définition très difficile à éviter et à effacer, mais il existe quelques gestes simples pour réduire son exposition et regagner une part de contrôle, c'est toujours ça de gagner sur le retour partiel à la liberté

(1) Désactiver l'identifiant publicitaire sur son smartphone :

Sur Android : Paramètres > Google > Annonces > Supprimer l'identifiant publicitaire.
Sur iOS : Réglages > Confidentialité > Publicité > Limiter le suivi des pubs.
Cela empêche au moins que votre UUID publicitaire soit partagé automatiquement entre applis.

(2) Utiliser un navigateur axé sur la confidentialité :
Brave, Firefox (avec extensions comme uBlock Origin, Privacy Badger) ou encore Tor Browser pour les usages sensibles. Ils bloquent une partie des scripts de tracking et rendent l'empreinte moins unique.

(3) Limiter les applis inutiles :
Chaque application est une porte ouverte sur tes données. Supprimer celles que vous n'utilisez pas et vérifier les autorisations (accès micro, GPS, contacts...) réduit la collecte.

(4) Diversifier ses usages :
Ne pas rester enfermé dans un seul écosystème (Google/YouTube, Meta/Facebook-Instagram). Plus vous concentrez vos activités sur une seule plateforme, plus votre profil est précis.

(5) Prendre conscience :
Le geste le plus important reste de comprendre que chaque clic, chaque recherche, chaque vidéo vue alimente votre empreinte. La vigilance quotidienne vaut plus qu'une illusion de contrôle offerte par des bannières cookies.

(1) YouTube (propriété de Google/Alphabet), Spotify (entreprise indépendante suédoise), Amazon et Meta (Facebook, Instagram, WhatsApp) n'appartiennent pas aux mêmes groupes. Mais cela ne change rien au mécanisme : le lien ne se fait pas par la propriété directe, mais par les régies publicitaires, les identifiants publicitaires uniques des smartphones (GAID pour Android, IDFA pour iOS), et les bases de données interconnectées (fingerprinting, catalogues musicaux, trackers). C'est précisément ce qui illustre l'opacité systémique : un réseau de plateformes concurrentes en façade, mais reliées en profondeur par un marché commun de la donnée.
(2) Le RGPD (Règlement général sur la protection des données - General Data Protection Regulation) est le règlement européen (UE 2016/679), entré en application le 25 mai 2018, qui encadre le traitement des données personnelles au sein de l'Union européenne. Il établit notamment le principe de consentement explicite pour la collecte de données, le droit d'accès, de rectification et d'effacement (droit à l'oubli), la portabilité des données, et l'obligation pour les entreprises de garantir la sécurité et la minimisation des données collectées.
(3) Un UUID (Universally Unique Identifier) est un identifiant standardisé de 128 bits, défini par la norme RFC 4122. Sa particularité est d'être conçu pour être pratiquement unique dans l'espace et le temps : deux UUID générés indépendamment ont une probabilité infinitésimale d'être identiques.
(4) Il existe plusieurs variantes : UUID v1 : basé sur l'horloge système et l'adresse MAC de la machine. UUID v4 : basé sur des nombres aléatoires (la version la plus utilisée aujourd'hui). UUID v5 : basé sur une fonction de hachage appliquée à un espace de noms et une valeur donnée. Dans les bases de données et systèmes distribués, l'UUID permet d'identifier un objet, un utilisateur ou une session sans risque de collision. Dans le traçage numérique, des identifiants de type UUID sont utilisés pour reconnaître un appareil ou un utilisateur de manière persistante, même à travers des plateformes différentes.
(5) Le réseau TOR (The Onion Router) anonymise la navigation en faisant transiter le trafic Internet à travers plusieurs relais chiffrés, ce qui masque l'adresse IP et rend difficile la localisation de l'utilisateur. Cependant, il n'élimine pas le fingerprinting : l'empreinte technique (taille d'écran, polices, OS) et comportementale (rythme de frappe, manière de scroller) reste détectable. De plus, l'anonymat est levé dès lors que l'utilisateur se connecte à ses comptes habituels (YouTube, Spotify, etc.). TOR protège donc efficacement la couche réseau, mais pas l'empreinte numérique.

reseauinternational.net

internet