LE DOSSIER

Toute la vérité sur les affaires françaises

SociétéÉpisode 6/2

Data brokers : l'enquête Cash Investigation révèle le pillage des données de santé des Français

Par la rédaction de Le Dossier · 2026-07-03
Illustration: Data brokers : l'enquête Cash Investigation révèle le pillage des données de santé des Français
© YouTube

L'affaire commence ici

Un message. Romain Cochard, entrepreneur, alerte Élise Lucet. Il raconte avoir trouvé le numéro personnel de plusieurs ministres sur un site américain. « Pour le développement de mon business, j'utilise aujourd'hui des logiciels dont un qui m'a permis d'obtenir votre numéro », écrit-il. Les journalistes vérifient. Ils achètent un abonnement au site Cold CRM — 129 € par mois. En quelques clics, ils obtiennent les portables privés de Gérald Darmanin, Christophe Castaner, Bruno Le Maire et Jean-Luc Mélenchon. Les messages d'accueil le confirment : ce sont bien leurs lignes. « Bonjour, vous êtes bien sur le portable de Christophe Castaner », entend-on.

Les numéros des hauts gradés de la police aussi. Christophe Molmi, patron de la BRI. David Salova, directeur central de la sécurité publique. « C'est un numéro de l'administration qui fonctionne sur une boucle fermée », s'étonne Salova. Vendu pour quelques centimes. « La simple collecte du numéro de téléphone et sa transmission ne peuvent se faire à l'insu des personnes concernées », rappelle la CNIL (selon l'enquête). L'affaire est illégale.

Le business opaque des data brokers

Un simple abonnement, et 320 millions de contacts s'affichent. C'est la promesse de Cold CRM. Mais qui se cache derrière ? L'enquête remonte la piste. Une facture envoyée par le site porte une adresse parisienne, boulevard Sébastopol, et un courriel au prénom français : Raphaël. Quelques recherches plus tard, le nom tombe : Raphaël Azo, ingénieur diplômé de Centrale. Les journalistes retrouvent une conférence de 2016 où il explique : « Sur les 12 derniers mois, j'ai une base de données d'emails énorme […] à partir de là, ça va me permettre de la vendre plus cher. » Il conclut : « Vous êtes mort. »

La méthode est simple. Les data brokers achètent des numéros via des applications qui accèdent aux carnets d'adresses sans consentement. Le site Loucha revend un contact 60 centimes. « 80 % des gens que je recherchais étaient sur ce logiciel », témoigne Romain Cochard. Aucun n'avait autorisé la vente. Loucha prétend détenir les contacts de 100 millions de personnes. Aolads annonce 45 millions. Cold CRM, 320 millions. Pendant ce temps, l'équipe de Cash Investigation reçoit un appel depuis l'Inde : « Nous avons beaucoup de partenaires. Nous échangeons les données. »

Doctissimo : des données de santé envoyées à des partenaires

Romain Cochard n'a pas seulement trouvé les numéros de ministres. Il a aussi repéré des applications qui fuient des données sensibles. Cash Investigation installe un téléphone neuf. Au bout de quelques minutes, 107 communications avec des serveurs distants sont enregistrées. Parmi elles : l'application « Ma grossesse », éditée par Doctissimo. Elle envoie le poids, la taille et la date d'accouchement prévue à Localytics, Xiti et Google. « Ces données ne sont pas censées être collectées sur vous », insiste la journaliste.

Doctissimo propose aussi des tests psychologiques — dépression, burn-out. L'équipe répond à un test. Peu après, elle récupère un fichier. « L'intitulé de toutes les pages que nous avons visité, une par une, plus d'un millier de lignes et notamment le test coup de blues ou dépression », lit-on. Le site affirmait pourtant par écrit : « Nous ne collectons pas de données de navigation qui pourraient s'apparenter à des données dites sensibles. » Le fichier prouve le contraire. Depuis onze mois, Doctissimo ne répond pas aux relances des journalistes.

Les journalistes se rendent chez Unify, maison mère de Doctissimo, Marmiton, Aufeminin. Le président Olivier ABC les reçoit par la force : « Vous arrêtez de filmer, vous allez sortir s'il vous plaît. » Il appelle la police. « Ce sont des sujets d'intérêt général pour les gens qui vont sur votre site », lui répond la journaliste. « Leurs données personnelles sont transmises à des partenaires commerciaux, notamment à des partenaires américains comme Localytics. Et vous savez que c'est illégal. » ABC ne répond pas.

IQVIA : 40 millions de Français pistés via la carte Vitale

La collecte ne s'arrête pas au Web. Elle passe par les pharmacies. Une entreprise, IQVIA, recueille les données de santé de 40 millions de Français. Comment ? Grâce à un identifiant unique créé à partir de la carte Vitale. Une pharmacie sur deux — 10 000 officines — transmet ces données. En échange, le pharmacien reçoit 6 € par mois. Le système est « tout ou rien » : impossible d'empêcher la transmission individuelle. Moins de 1 % des pharmaciens informent leurs patients, malgré l'obligation légale. Aucune affichette dans 200 pharmacies visitées.

IQVIA déclare 63 millions d'euros de revenus en 2016 pour ses études de marché. Une étude sur une pathologie coûte entre 20 000 et 500 000 euros. Les données sont vendues à des laboratoires, des assureurs, des mutuelles. « Les Français devraient être très en colère », estime la psychiatre Débora Pil, qui avait découvert le système en 2004 dans une pharmacie américaine. « Personne ne veut que les informations sensibles sur son état de santé puissent être achetées par n'importe qui. » Pourtant, la CNIL a autorisé la transmission via une délibération de septembre 2018. Le président d'IQVIA France, Jean-Marc Aubert, avait lui-même déclaré en 2016 que les données « anonymisées » peuvent être ré-identifiées.

Un conflit d'intérêts au cœur du Health Data Hub

Le scandale prend une dimension politique. En mars 2018, Emmanuel Macron annonce la création du Health Data Hub, une plateforme nationale des données de santé. Sa mise en œuvre est confiée à… Jean-Marc Aubert. Celui-ci était alors président d'IQVIA France. En décembre 2019, le Health Data Hub est lancé. Une semaine plus tard, Jean-Marc Aubert retourne chez IQVIA. « Une semaine après », précise l'enquête. Les déclarations à la Haute Autorité pour la Transparence de la Vie Publique (HATVP) et son passage en commission de déontologie sont mentionnés. Les journalistes soulignent que la loi permet désormais l'accès aux données pour « intérêt public » sans nécessité de recherche, ouvrant la voie à des usages commerciaux.

Ce va-et-vient entre régulateur et régulé interroge. « Les Français devraient être très en colère », répète Débora Pil. Aucune réponse d'IQVIA n'a été obtenue par Cash Investigation. Jean-Marc Aubert n'a pas souhaité s'exprimer.

Le RGPD, un rempart inefficace

Depuis mai 2018, le Règlement général sur la protection des données (RGPD) est en vigueur. En théorie, il donne aux citoyens le contrôle de leurs données. En pratique, l'enquête montre un échec. Sur 40 entreprises sollicitées pour un droit d'accès, une seule a répondu dans le délai légal d'un mois. Google et Facebook n'ont pas répondu du tout. Max Schrems, militant autrichien, avait reçu de Facebook 1 200 pages de données conservées à son insu. « C'est la partie émergée de l'iceberg », commente-t-il.

Les amendes ? Google a été condamné à 50 millions d'euros en 2019 par la CNIL, puis 138 millions en 2020. Mais Google gagne cette somme en moins de quatre heures. « Le RGPD a été freiné par un lobbying massif : 4 000 amendements déposés, 15,5 millions d'euros dépensés par Google », selon l'enquête. Le message est clair : la sanction ne dissuade pas.

Le profilage prédictif, nouvelle frontière

Les data brokers ne se contentent pas de vendre des numéros. Ils construisent des profils psychologiques. « Certaines entreprises détiennent jusqu'à 30 000 points de données pour chaque individu », explique Sarah Spiekerman, chercheuse à l'Université de Vienne. Âge, genre, lieux fréquentés, centres d'intérêt, opinions politiques, religion, préférences pornographiques. « 30 000, c'est beaucoup plus que les 20 que je viens de citer. »

L'anonymisation est une illusion. Yves-Alexandre de Montjoye, à Imperial College London, le démontre. Il dispose d'une base de 66 millions de Français. Avec six informations seulement — région, date de naissance, sexe, marié, études, statut d'emploi — il retrouve un individu précis nommé Gérard. « Six informations relativement simples à acquérir. » Une fois identifié, il accède à des milliers d'autres données.

Les likes Facebook, eux, trahissent tout. Michael Kossinski, professeur à Stanford, a prouvé en 2013 qu'un algorithme simple peut prédire l'orientation sexuelle, le QI, la religion, l'orientation politique à partir des seuls « j'aime ». L'outil Apply Magic Sauce applique cette méthode sur deux Américains : Alice Black Dustin, agente immobilière, et Isay Panther, chanteur. Les prédictions sont troublantes : « Vous êtes introverti et intuitif », « vous avez peut-être subi un deuil ou un divorce ». Les deux cobayes reconnaissent une part de vérité.

La montre Fitbit, rachetée par Google, va plus loin. 230 volontaires portent ce bracelet à l'Université de Lausanne. Leurs données — pas, fréquence cardiaque, sommeil — sont comparées à un questionnaire de 240 questions. Résultat : quatre des cinq traits de personnalité sont correctement devinés dans un tiers des cas. « Le rythme cardiaque est lié au névrosisme, l'anxiété », explique le chercheur. Donald Trump avait proposé en août 2019 d'utiliser ces données pour « détecter les tueurs de masse avant qu'ils n'attaquent ». L'idée avait fait scandale.

Les données, arme de discrimination

Les applications de ce profilage existent déjà aux États-Unis. Des recruteurs trient les candidats selon leur personnalité prédite. Des assureurs ajustent leurs tarifs. Des banques refusent des crédits. « Si vous êtes capable de payer plus, vous verrez s'afficher un prix supérieur à celui des autres », révèle l'enquête pour les billets d'avion. Le profilage permet la discrimination tarifaire et sociale.

Rebecca, cobaye de l'expérience Fitbit, apprend que ses données la définissent comme plutôt ouverte, consciencieuse, stressée, extravertie et « pas super agréable ». « C'est tout moi », commente-t-elle. Mais elle sait désormais que son bracelet révèle des pans de sa personnalité à son insu. « Ces technologies existaient déjà, nous avons juste alerté les gens », dit Michael Kossinski. « Les grandes entreprises et les gouvernements le font déjà, sauf qu'ils n'en parlent pas. »

Pourquoi personne ne réagit ?

Les acteurs visés refusent de parler. Doctissimo n'a pas répondu après onze mois de relances. Unify a expulsé les journalistes. IQVIA n'a pas commenté. Raphaël Azo, patron de Cold CRM, reste injoignable. Le gouvernement, sollicité, n'a pas répondu. La CNIL, elle, a délivré une autorisation contestée pour IQVIA en 2018. Le Health Data Hub, pourtant censé protéger les données, a vu son architecte repartir dans le privé.

« Les gens ne se rendent pas compte qu'ils sont traités différemment », résume Sarah Spiekerman. « C'est comme un voleur qui entre par effraction dans votre appartement sans se présenter. » Les données de 29 millions d'utilisateurs Fitbit sont désormais dans les mains de Google. Celles de 40 millions de Français dans celles d'IQVIA. Les vôtres aussi.

(Article basé sur l'enquête de Cash Investigation diffusée sur France 2, transcript intégral fourni par Le Dossier. Toutes les citations, montants et faits proviennent de ce transcript et des sources citées.)

📰Source :youtube.com

Par la rédaction de Le Dossier

📬

Ne manquez aucun scandale

Recevez chaque matin les enquêtes que la France préfère oublier. Gratuit, sans spam.

Les autres épisodes de ce dossier

Voir tout le dossier →

Épisode 6 · 2026-07-03

Data brokers : l'enquête Cash Investigation révèle le pillage des données de santé des Français

Sur le même sujet