
Un VPN empêche-t-il les courtiers de vendre votre localisation ? Ce qui marche en 2026
Un VPN empêche-t-il les courtiers en données de vendre votre localisation ? Ce qui marche vraiment en 2026
Si vous avez acheté un VPN pour empêcher les courtiers en données de vendre où vous vivez, travaillez et dormez, vous avez dépensé votre argent dans le mauvais outil pour cette tâche précise. Un VPN est réellement utile : il masque votre localisation basée sur l'IP aux sites que vous visitez et empêche votre fournisseur d'accès de profiler votre navigation. Mais les données de localisation que les courtiers regroupent et revendent ne proviennent presque jamais de votre adresse IP. Elles proviennent de la puce GPS de votre téléphone et des autorisations d'applications que vous avez accordées il y a des années.
Cette distinction est toute l'histoire, et la plupart des discours marketing des VPN l'évitent discrètement. Ce guide trace la ligne honnêtement, puis vous montre les mécanismes qui fonctionnent vraiment en 2026 — à commencer par le nouvel outil de suppression centralisé de la Californie, entré en service en janvier, qui oblige des centaines de courtiers enregistrés à vous effacer à partir d'une seule demande.
La réponse courte : un VPN masque le mauvais type de localisation
Un VPN chiffre la connexion entre votre appareil et un serveur distant, puis fait transiter votre trafic à partir de l'adresse IP de ce serveur. Les sites et les traqueurs qui tentent de vous géolocaliser à partir de votre IP verront la ville du serveur VPN plutôt que la vôtre, et votre FAI ne voit que le fait que vous vous êtes connecté à un VPN — et non quels sites vous avez chargés. C'est une réelle valeur en matière de confidentialité, et c'est la couche pour laquelle un VPN est conçu.
Mais les courtiers en données ne construisent pas principalement leurs profils de localisation à partir d'adresses IP. La géolocalisation par IP est grossière (souvent une simple ville ou une vaste agglomération) et facilement mise en échec par exactement ce genre de proxy. Le produit de grande valeur que vendent les courtiers — la trace qui montre un appareil précis se rendant dans une clinique précise, un lieu de culte ou une adresse nuit après nuit — est dérivé de coordonnées GPS et de capteurs d'appareils, récoltées par les applications et acheminées à travers la chaîne d'approvisionnement publicitaire. Un VPN ne touche jamais à ces données, car elles ne transitent jamais par le chemin réseau qu'un VPN contrôle.
Un VPN change l'adresse de retour de votre trafic Internet. Il n'atteint pas l'application qui a déjà lu votre GPS et vendu les coordonnées.
D'où proviennent réellement vos données de localisation
Pour comprendre pourquoi le chiffrement ne peut pas résoudre ce problème, il faut voir les deux canaux qui alimentent l'économie des données de localisation. Aucun des deux ne passe par votre navigateur ni par votre adresse IP.
Les SDK d'applications qui récoltent le GPS en arrière-plan
Des applications ordinaires — météo, jeux occasionnels, navigation, applications de coupons et utilitaires « gratuits » — intègrent souvent des kits de développement logiciel (SDK) tiers dont la véritable activité est la collecte de données. Lorsque vous accordez à une application l'autorisation de localisation, ce SDK peut lire des coordonnées GPS précises et les renvoyer à son serveur, associées à l'identifiant publicitaire de votre appareil et à un horodatage. L'application que vous vouliez vraiment fonctionne ; le SDK dont vous n'avez jamais entendu parler est le client. Des entreprises comme Gravy Analytics, Venntel, Mobilewalla et Kochava ont constitué leurs inventaires de cette façon, en agrégeant des milliards de signaux de localisation provenant de milliers d'applications.
Les enchères en temps réel qui laissent fuir vos coordonnées
Le second canal est le flux d'enchères des régies publicitaires. Chaque fois qu'une application ou un site vous affiche une publicité programmatique, il diffuse une « demande d'enchère » à des dizaines d'entreprises de l'ad-tech pour qu'elles puissent enchérir afin de vous montrer quelque chose. Ces demandes d'enchère peuvent inclure votre localisation approximative ou précise, l'identifiant de votre appareil et d'autres attributs. Les enchérisseurs sont censés n'utiliser ces données que pour décider s'ils enchérissent — mais la demande elle-même est un déluge de données personnelles, et certaines entreprises se contentent de collecter et de revendre ce qui passe devant elles. C'est pourquoi les données de localisation finissent chez des courtiers qui n'étaient présents dans aucune application que vous avez installée.
Le fil conducteur : la collecte se produit sur votre appareil (GPS + autorisations) et dans la chaîne d'approvisionnement publicitaire (flux d'enchères). La solution concerne donc les autorisations et la suppression, et non le chiffrement réseau.
Le DROP californien : une seule demande, plus de 500 courtiers, en service depuis janvier 2026
Le nouvel outil le plus puissant est arrivé le 1er janvier 2026 : la Delete Request and Opt-out Platform (DROP) de la California Privacy Protection Agency. Elle a été créée par le Delete Act de Californie (SB 362, signé en 2023) et fait quelque chose qu'aucun désabonnement entreprise par entreprise n'a jamais réussi — elle transforme une seule demande vérifiée en une injonction de suppression permanente visant tous les courtiers en données enregistrés auprès de l'État, soit plus de 500 entreprises.
Vous créez un compte auprès de la CPPA, vérifiez votre identité et soumettez une seule demande de suppression. Les courtiers en données enregistrés sont alors tenus de consulter DROP, de supprimer les informations personnelles qu'ils détiennent à votre sujet, d'en cesser la vente ou le partage, et d'ordonner à leurs propres prestataires d'en faire autant. Vous n'avez pas à trouver chaque courtier, à remplir chaque formulaire ni à suivre chaque réponse. Vous pouvez consulter le registre de l'État et la plateforme via la California Privacy Protection Agency.
Les moyens de contrainte qui rendent le dispositif concret
Un désabonnement ne vaut que par son échéance. Le Delete Act en fixe de strictes. À compter du 1er août 2026, chaque courtier en données enregistré doit accéder à DROP au moins une fois tous les 45 jours, traiter les demandes de suppression qui s'y trouvent et continuer à supprimer les données correspondantes selon ce cycle récurrent de 45 jours — et pas une seule fois. Cette obligation récurrente est le choix de conception essentiel : elle signifie que les courtiers ne peuvent pas simplement vous supprimer aujourd'hui pour vous réinscrire le mois prochain sans se retrouver en infraction.
Le non-respect entraîne des sanctions administratives imposées par la CPPA, notamment des amendes pour les courtiers qui ne s'enregistrent pas (la loi prévoit une pénalité de 200 $ par jour en cas de défaut d'enregistrement) ainsi que des poursuites pour manquement aux obligations de suppression. L'enregistrement lui-même est obligatoire et annuel, et c'est ainsi que l'État maintient la liste des plus de 500 courtiers vers lesquels DROP diffuse votre demande.
La répression de la FTC qui a donné du poids à toute la question
L'outil californien n'est pas apparu de nulle part. Au cours des deux années précédentes, la Federal Trade Commission américaine a mené une vague d'actions visant spécifiquement la vente de données de localisation sensibles, établissant que cette pratique constitue une responsabilité juridique, et non une zone grise :
Kochava — la FTC a poursuivi ce courtier en données de localisation en 2022, alléguant qu'il vendait des données de géolocalisation précises permettant de suivre des personnes jusqu'à des lieux sensibles tels que des cliniques de santé reproductive et des lieux de culte ; le litige s'est poursuivi devant le tribunal fédéral de l'Idaho.
Gravy Analytics / Venntel — dans des ordonnances annoncées en décembre 2024 et finalisées en 2025, la FTC a interdit à ces entreprises de vendre des données de localisation sensibles et leur a imposé de mettre en place un programme dédié aux données de localisation sensibles. (Gravy Analytics a par ailleurs révélé une importante violation de données en janvier 2025.)
Mobilewalla — l'action de la FTC, annoncée en décembre 2024 et rendue définitive en 2025, a interdit à l'entreprise de vendre des données de localisation sensibles et de collecter des données de consommateurs via les enchères en temps réel à d'autres fins que la participation à l'enchère elle-même.
Ce dernier point est important : l'ordonnance visant Mobilewalla a directement désigné les enchères en temps réel comme canal de collecte et les a encadrées — une confirmation officielle que le canal des flux d'enchères décrit plus haut est bien la manière dont les courtiers acquièrent les données de localisation.
Comment se faire réellement supprimer — et le rester
Voici la séquence concrète. La première étape dépend de votre juridiction ; les autres s'appliquent à tous et sont celles qui stoppent réellement la collecte future à la source.
Déposez une demande DROP en Californie (si vous êtes résident de Californie). Créez un compte auprès de la CPPA, vérifiez votre identité et soumettez une seule demande de suppression. Elle est acheminée vers tous les courtiers enregistrés. Son utilisation est gratuite.
Si vous êtes hors de Californie, activez le Global Privacy Control (GPC) et utilisez les désabonnements courtier par courtier. Le GPC est un signal au niveau du navigateur qui indique aux sites que vous vous opposez à la vente et au partage de vos données ; en vertu du CCPA, il doit être respecté comme un désabonnement valide. Activez-le dans un navigateur ou une extension compatible. Pour les plus grands courtiers, vous devrez tout de même soumettre des formulaires individuels de désabonnement ou de suppression.
Révoquez les autorisations de localisation des applications. Parcourez les réglages de votre téléphone et réglez l'accès à la localisation sur « Jamais » ou « Demander la prochaine fois » pour toute application qui n'en a pas réellement besoin, et sur « Lors de l'utilisation » (jamais « Toujours ») pour les rares qui en ont besoin. C'est l'étape la plus efficace contre la collecte future, car elle coupe le SDK à la source.
Désactivez ou réinitialisez votre identifiant publicitaire mobile. Sur Android, supprimez entièrement l'identifiant publicitaire (Paramètres › Confidentialité › Annonces). Sur iPhone, l'App Tracking Transparency oblige déjà les applications à demander l'autorisation avant tout suivi — désactivez « Autoriser les apps à demander de suivre » pour que la réponse soit toujours non. Sans identifiant publicitaire stable, les courtiers peinent à reconstituer votre trace de localisation.
Réinitialisez l'historique de localisation et auditez les partages passés. Désactivez et supprimez l'historique de localisation enregistré dans vos comptes Google et Apple, et examinez les fonctionnalités de type « Timeline ». Cela efface les traces historiques que ces plateformes ont conservées.
Là où un VPN a légitimement sa place
Rien de tout cela ne signifie qu'un VPN est inutile — cela signifie que vous devriez l'utiliser pour ce qu'il fait réellement. Un VPN réduit de manière significative le pistage inter-sites basé sur l'IP, si bien que les entreprises de l'ad-tech qui vous identifient en partie par votre IP obtiennent un signal plus bruité. Il empêche votre FAI de constituer un profil de navigation à vendre ou à transmettre, ce qui est une véritable catégorie de monétisation des données. Et il protège le trafic sur les réseaux non fiables. Considérez-le comme une couche de confidentialité complémentaire qui renforce votre chemin réseau — et non comme ce qui vous retire de l'économie des courtiers en localisation. Cette tâche relève de la suppression et des autorisations.
Les limites honnêtes à anticiper
Le DROP est propre à la Californie. Sa force juridique s'applique aux résidents de Californie. Les autres États américains s'appuient sur leurs propres lois sur la vie privée, les signaux GPC et les désabonnements courtier par courtier, qui sont plus fragmentés.
La suppression n'est pas toujours définitive. Vous supprimez les données que les courtiers détiennent actuellement. De nouvelles données sont recollectées en permanence depuis les applications et les flux d'enchères, ce qui explique précisément pourquoi le Delete Act impose un cycle récurrent de 45 jours — et pourquoi révoquer les autorisations compte autant que supprimer.
La couverture se limite aux courtiers enregistrés. DROP atteint les courtiers qui se sont enregistrés en Californie. Une entreprise qui opère illégalement en dehors du registre relève de l'application de la loi, et non de l'outil.
Une vérification est requise. Les demandes de suppression doivent être vérifiables, ce qui implique de fournir à la plateforme suffisamment d'éléments d'identité pour confirmer que vous êtes bien vous — un compromis raisonnable, mais un compromis tout de même.
À retenir en pratique
Si votre objectif est d'empêcher les courtiers de vendre votre localisation, commencez par le travail à la source : révoquez les autorisations de localisation des applications, supprimez votre identifiant publicitaire et réinitialisez l'historique de localisation — cela stoppe la nouvelle collecte. Supprimez ensuite ce qui existe déjà : déposez une demande DROP en Californie si vous y êtes éligible, ou appuyez-vous sur le Global Privacy Control et les désabonnements courtier par courtier si ce n'est pas le cas. Gardez un VPN si vous tenez à masquer votre IP aux sites et à votre FAI, mais reconnaissez-le comme une couche complémentaire, et non comme la réponse. L'outil qui rend enfin la suppression chez les courtiers applicable à grande échelle est une plateforme de confidentialité assortie d'échéances juridiques — pas un tunnel chiffré.
Questions fréquentes
Un VPN empêche-t-il les courtiers en données de vendre ma localisation ?
Non. Un VPN masque votre localisation basée sur l'IP aux sites web et à votre FAI, mais les courtiers en données construisent leurs profils de localisation à partir de coordonnées GPS collectées par les SDK d'applications et fuitées via les flux d'enchères publicitaires. Ces données sont recueillies sur votre appareil et dans la chaîne d'approvisionnement publicitaire, là où un VPN n'a aucune portée. Pour y mettre fin, il faut modifier les autorisations et déposer des demandes de suppression, et non recourir au chiffrement réseau.
Qu'est-ce qu'une demande de suppression DROP en Californie et qui peut l'utiliser ?
Le DROP (Delete Request and Opt-out Platform) est un outil géré par la California Privacy Protection Agency, en service depuis le 1er janvier 2026. Les résidents de Californie créent un compte, vérifient leur identité et soumettent une seule demande de suppression qui est acheminée vers tous les courtiers en données enregistrés auprès de l'État — plus de 500 entreprises. Son utilisation est gratuite, et les courtiers doivent la respecter en vertu du Delete Act.
Comment me désabonner des courtiers en données en 2026 si je ne vis pas en Californie ?
Activez le Global Privacy Control (GPC) dans un navigateur ou une extension compatible afin que les sites reçoivent un signal automatique d'opposition à la vente, signal reconnu juridiquement par le CCPA et respecté par de nombreuses entreprises à l'échelle nationale. Pour les plus grands courtiers, vous devrez tout de même remplir des formulaires individuels de désabonnement ou de suppression. Combinez cela avec la révocation des autorisations de localisation des applications et la désactivation de votre identifiant publicitaire pour couper la nouvelle collecte.
Comment supprimer définitivement mes informations personnelles des courtiers en données ?
Il n'existe pas de suppression unique et définitive, car les courtiers recollectent en permanence des données depuis les applications et les flux d'enchères. C'est pourquoi le Delete Act de Californie impose aux courtiers enregistrés de retraiter les suppressions selon un cycle récurrent de 45 jours à partir du 1er août 2026. Pour que la suppression tienne, associez vos demandes DROP ou de désabonnement à la désactivation des autorisations de localisation des applications et à la réinitialisation de votre identifiant publicitaire mobile.
Désactiver mon identifiant publicitaire empêche-t-il la vente de ma localisation ?
Cela réduit fortement la capacité des courtiers à la vendre. L'identifiant publicitaire est la clé qui leur permet de relier une trace de localisation à un appareil unique dans le temps ; sans identifiant stable, il est bien plus difficile d'assembler les coordonnées en un profil. Sur Android, vous pouvez supprimer purement et simplement l'identifiant publicitaire, et sur iPhone, vous pouvez désactiver le suivi par les applications afin qu'elles ne puissent pas le demander.
L'outil DROP de Californie est-il gratuit, et combien de temps prend la suppression ?
Oui, le DROP est gratuit pour les consommateurs californiens. Après avoir soumis une demande vérifiée, les courtiers en données enregistrés sont tenus de commencer à traiter les suppressions et, à partir du 1er août 2026, d'accéder à la plateforme au moins une fois tous les 45 jours pour supprimer les données correspondantes de façon continue. Attendez-vous à ce que la suppression se déploie sur plusieurs semaines plutôt qu'instantanément, car elle dépend de la prochaine vérification de 45 jours de chaque courtier.
Devrais-je tout de même utiliser un VPN pour ma confidentialité, alors ?
Oui, pour ce qu'il fait réellement. Un VPN réduit le pistage inter-sites basé sur l'IP et empêche votre FAI de profiler et de monétiser votre navigation, ce qui a une réelle valeur. Considérez-le simplement comme une couche complémentaire — ce sont les outils de suppression comme le DROP, les signaux GPC et la réinitialisation des autorisations qui traitent directement le problème des courtiers en localisation.



