LePartisan.info À propos Podcasts Fil web Écologie Blogs Revues Médias
Pixel de tracking
Souscrire à ce FLUX

PIXEL DE TRACKING


Ancien de l'AdTech, passionné des médias et des nouvelles technologies, mais inquiet de l'extension du domaine de la surveillance, j'ai décidé d'ouvrir ce blog pour partager mes notes.

▸ les 20 dernières parutions

06.08.2023 à 22:57

Surveillance publicitaire : le meilleur de mes Tweets

Dissonance cognitive

Mieux qu'un Feedly, Twitter m'aura permis de connaître des gens passionnants, experts dans leur domaine, ayant un point de vue décalé ou incisif sur l'actualité. Il aura également été un excellent relais pour mes écrits sur l'adtech et le capitalisme de surveillance. Mais ses dérives, de plus en plus criantes depuis son rachat par Elon Musk, auront eu raison de moi.

2 articles résument très bien mon sentiment sur ce réseau social :

  • "On Twitter, we look down", où l'auteur détaille sa schizophrénie concernant Twitter, pourquoi il est toujours dessus.
  • "How to Blow Up a Timeline", où l'auteur raconte à quel point la magie du Twitter d'hier était exceptionnelle et fragile.

La goutte d'eau ayant déclenché la fermeture de mon compte ? Le renommage de Twitter en X, un détail dans le projet de vandalisme culturel d'Elon Musk. Vous pourrez maintenant me retrouver sur Mastodon, un réseau social fédéré, qui n'appartient à personne et ne peut donc pas être contrôlé par un milliardaire mégalomane fachiste.

Ayant beaucoup publié sur Twitter, parfois sur des sujets qui auraient mérité que j'écrive un article, je souhaitais néanmoins pouvoir republier mes tweets ailleurs. J'ai donc suivi ces 2 étapes :

Mes tweets sont donc disponibles ici, avec un moteur de recherche pour trouver des tweets sur une thématique précise, et ce billet pour référencer les tweets que je souhaite retrouver facilement.

Google

À tout seigneur tout honneur, démarrons cette collection de tweets par le créateur du capitalisme de surveillance.

Le parrain de l'adtech

J'avais déjà écrit un article sur "la domination de Google sur les marché publicitaires", le caractère monopolistique de la brique adtech de Google et la surveillance publicitaire sont étroitement liés :

Google Chrome, agent des publicitaires

Les navigateurs sont généralement nommés "User Agents", ce n'est pas le cas de Chrome, le navigateur dominant de Google :

Vous pourrez approfondir le sujet Chrome avec 2 de mes articles :

Google Analytics, le cheval de Troie publicitaire

En configuration minimum, Google Analytics devrait fonctionner sans surveillance publicitaire, mais ce n'est pas si simple :

Autres outils Google

L'adtech de Google, Chrome ou Google Analytics sont loin d'être les seules outils dédiés à mieux vous surveiller :

Approfondissez le sujet via la lecture de mon article "Google Tag Manager, la nouvelle arme anti adblock".

Facebook

Alias Meta, le pire du capitalisme de surveillance, une source d'inspiration pour Google et pour toute l'adtech.

Une captation de données sans limites

Dans mon article "Avec les "signaux résilients" de Facebook, la surveillance publicitaire évolue", j'avais détaillé comment Facebook contournait les protections contre le tracking des navigateurs. Comme avec Google, abus de position dominante et violation de votre vie privée vont de pair, comme je l'avais d'ailleurs écrit dans l'article "Facebook et WhatsApp, où l'art de vous trahir". Facebook met tout en place pour capter toujours plus de données utilisateurs :

Des partenariats avec la terre entière

2 exemples intéressants, mais Facebook a interfacé son écosystème publicitaire avec tous les outils qui comptent :

Violer la loi, une spécialité

Facebook se moque des réglementations et de la CNIL :

La surveillance des plateformes, via les "Pixels" & "Conversion APIs"

Pour contourner vos adblockers et autres protections navigateurs, Facebook a créé son "Pixel" et sa "Conversion API" (CAPI), il a inspiré les autres plateformes :

Je parle également de ces fuites de données dans l'article "Guerlain (LVMH) : luxe et surveillance".

Apple

Comme l'indique mon article "Apple vous protège-t-il vraiment de la surveillance publicitaire ?", Apple n'est pas parfait côté vie privée, mais c'est généralement un allié face à la surveillance de Google, de Facebook et de l'adtech.

Une définition particulière du "tracking"

Apple a mis en place des mécanismes assez efficaces pour vous protéger de la surveillance publicitaire, qui n'affectent pas son propre business, ce qui a le don d'énerver l'adtech :

Apple aime vos données personnelles

Certaines pratiques d'Apple sont problématiques :

Adtech

Au côté de Google et de Facebook, des milliers d'entreprises "innovent", souvent pour mieux vous surveiller.

L'adtech, une énorme boite noire

Fonctionnement quasi incompréhensible, multiplication des intermédiaires, des fuites de données et des scandales, voici le merveilleux monde de l'adtech :

Vous identifier, pour mieux vous surveiller

L'adtech a du talent pour trouver de nouveaux mécanismes de tracking :

Tracking déguisé via les alias CNAME

Certains acteurs adtech mettent en danger la sécurité de vos comptes en ligne, en poussant à l'utilisation d'un alias de domaine appelé CNAME, juste pour contourner les protections des navigateurs. De nombreux sites français ne se posent pas la question et suivent ces préconisations. Quelques exemples :

La solution contre ce tracking ? Firefox avec uBlock Origin, et "NextDNS, mon nouveau bloqueur de traceurs et de publicités préféré".

Les bannières cookies, plaie du web

Plutôt que de changer de modèle économique, l'adtech préfère pourrir votre expérience utilisateur :

Pour aller plus loin, lisez "De la légalité des bannières de consentement IAB", une analyse des bannières de consentement proposées par Sirdata.

Sirdata

Fournisseur de bannières cookies, de données comportementales et de solutions "consentless", Sirdata est une société intéressante :

L'intérêt légitime, la plus grande arnaque de l'adtech

La plus grande arnaque de l'adtech ? Prétendre avoir un "intérêt légitime" (une des bases légales du RGPD) à vous surveiller :

Les initiatives positives

Publicité et respect de la vie privée ne sont pas irréconciliables :

Sites et Applications

Ce complexe de la surveillance publicitaire ne fonctionnerait pas si les sites web et applications refusaient de les utiliser. Mais la manne publicitaire est souvent trop tentante.

Conditions d'utilisation abusives

Beaucoup de sites jouent avec la réglementation, voire s'en affranchissent :

Pour approfondir, vous pourrez lire "Decathlon, à fond la surveillance".

Fuites de données personnelles

Il n'y a pas que les conditions d'utilisations, celles-ci correspondent rarement à la réalité du terrain :

Covid et fuites de données personnelles

Beaucoup de fantasmes en France sur la surveillance liée à TousAntiCovid (comparé au peu de relai médiatique sur la vidéosurveillance algorithmique par exemple, avec la France en pointe du domaine comme le dénonce La Quadrature du Net), mais j'ai néanmoins regardé l'appli TousAntiCovid :

L'hypocrisie du milieu

Dans la catégorie, on aime bien dénoncer Google et Facebook, mais on oublie de balayer à notre propre porte :

La CNIL, un allié très frustrant

Pour vous défendre contre la surveillance publicitaire, la réglementation, incarnée en France par la CNIL. Elle est de bonne volonté, rend parfois des décisions importantes (contre Google ou Facebook), mais n'agit que trop rarement et très lentement. Manque de moyens ou complaisance avec l'adtech ? Probablement un peu des deux...

La CNIL et les cookies

La CNIL n'ayant pas envie d'appliquer la loi pour les sites d'information, les abus sont généralisés :

Pour approfondir, lisez les articles suivants :

Les sanctions de la CNIL

La CNIL sanctionne donc parfois Google et Facebook, on peut regretter la lenteur des procédures et les montants pas si importants par rapport aux revenus de ces 2 sociétés, mais ces sanctions finissent par avoir de l'effet :

Texte intégral (4830 mots)

Dissonance cognitive

Mieux qu'un Feedly, Twitter m'aura permis de connaître des gens passionnants, experts dans leur domaine, ayant un point de vue décalé ou incisif sur l'actualité. Il aura également été un excellent relais pour mes écrits sur l'adtech et le capitalisme de surveillance. Mais ses dérives, de plus en plus criantes depuis son rachat par Elon Musk, auront eu raison de moi.

2 articles résument très bien mon sentiment sur ce réseau social :

  • "On Twitter, we look down", où l'auteur détaille sa schizophrénie concernant Twitter, pourquoi il est toujours dessus.
  • "How to Blow Up a Timeline", où l'auteur raconte à quel point la magie du Twitter d'hier était exceptionnelle et fragile.

La goutte d'eau ayant déclenché la fermeture de mon compte ? Le renommage de Twitter en X, un détail dans le projet de vandalisme culturel d'Elon Musk. Vous pourrez maintenant me retrouver sur Mastodon, un réseau social fédéré, qui n'appartient à personne et ne peut donc pas être contrôlé par un milliardaire mégalomane fachiste.

Ayant beaucoup publié sur Twitter, parfois sur des sujets qui auraient mérité que j'écrive un article, je souhaitais néanmoins pouvoir republier mes tweets ailleurs. J'ai donc suivi ces 2 étapes :

Mes tweets sont donc disponibles ici, avec un moteur de recherche pour trouver des tweets sur une thématique précise, et ce billet pour référencer les tweets que je souhaite retrouver facilement.

Google

À tout seigneur tout honneur, démarrons cette collection de tweets par le créateur du capitalisme de surveillance.

Le parrain de l'adtech

J'avais déjà écrit un article sur "la domination de Google sur les marché publicitaires", le caractère monopolistique de la brique adtech de Google et la surveillance publicitaire sont étroitement liés :

Google Chrome, agent des publicitaires

Les navigateurs sont généralement nommés "User Agents", ce n'est pas le cas de Chrome, le navigateur dominant de Google :

Vous pourrez approfondir le sujet Chrome avec 2 de mes articles :

Google Analytics, le cheval de Troie publicitaire

En configuration minimum, Google Analytics devrait fonctionner sans surveillance publicitaire, mais ce n'est pas si simple :

Autres outils Google

L'adtech de Google, Chrome ou Google Analytics sont loin d'être les seules outils dédiés à mieux vous surveiller :

Approfondissez le sujet via la lecture de mon article "Google Tag Manager, la nouvelle arme anti adblock".

Facebook

Alias Meta, le pire du capitalisme de surveillance, une source d'inspiration pour Google et pour toute l'adtech.

Une captation de données sans limites

Dans mon article "Avec les "signaux résilients" de Facebook, la surveillance publicitaire évolue", j'avais détaillé comment Facebook contournait les protections contre le tracking des navigateurs. Comme avec Google, abus de position dominante et violation de votre vie privée vont de pair, comme je l'avais d'ailleurs écrit dans l'article "Facebook et WhatsApp, où l'art de vous trahir". Facebook met tout en place pour capter toujours plus de données utilisateurs :

Des partenariats avec la terre entière

2 exemples intéressants, mais Facebook a interfacé son écosystème publicitaire avec tous les outils qui comptent :

Violer la loi, une spécialité

Facebook se moque des réglementations et de la CNIL :

La surveillance des plateformes, via les "Pixels" & "Conversion APIs"

Pour contourner vos adblockers et autres protections navigateurs, Facebook a créé son "Pixel" et sa "Conversion API" (CAPI), il a inspiré les autres plateformes :

Je parle également de ces fuites de données dans l'article "Guerlain (LVMH) : luxe et surveillance".

Apple

Comme l'indique mon article "Apple vous protège-t-il vraiment de la surveillance publicitaire ?", Apple n'est pas parfait côté vie privée, mais c'est généralement un allié face à la surveillance de Google, de Facebook et de l'adtech.

Une définition particulière du "tracking"

Apple a mis en place des mécanismes assez efficaces pour vous protéger de la surveillance publicitaire, qui n'affectent pas son propre business, ce qui a le don d'énerver l'adtech :

Apple aime vos données personnelles

Certaines pratiques d'Apple sont problématiques :

Adtech

Au côté de Google et de Facebook, des milliers d'entreprises "innovent", souvent pour mieux vous surveiller.

L'adtech, une énorme boite noire

Fonctionnement quasi incompréhensible, multiplication des intermédiaires, des fuites de données et des scandales, voici le merveilleux monde de l'adtech :

Vous identifier, pour mieux vous surveiller

L'adtech a du talent pour trouver de nouveaux mécanismes de tracking :

Tracking déguisé via les alias CNAME

Certains acteurs adtech mettent en danger la sécurité de vos comptes en ligne, en poussant à l'utilisation d'un alias de domaine appelé CNAME, juste pour contourner les protections des navigateurs. De nombreux sites français ne se posent pas la question et suivent ces préconisations. Quelques exemples :

La solution contre ce tracking ? Firefox avec uBlock Origin, et "NextDNS, mon nouveau bloqueur de traceurs et de publicités préféré".

Les bannières cookies, plaie du web

Plutôt que de changer de modèle économique, l'adtech préfère pourrir votre expérience utilisateur :

Pour aller plus loin, lisez "De la légalité des bannières de consentement IAB", une analyse des bannières de consentement proposées par Sirdata.

Sirdata

Fournisseur de bannières cookies, de données comportementales et de solutions "consentless", Sirdata est une société intéressante :

L'intérêt légitime, la plus grande arnaque de l'adtech

La plus grande arnaque de l'adtech ? Prétendre avoir un "intérêt légitime" (une des bases légales du RGPD) à vous surveiller :

Les initiatives positives

Publicité et respect de la vie privée ne sont pas irréconciliables :

Sites et Applications

Ce complexe de la surveillance publicitaire ne fonctionnerait pas si les sites web et applications refusaient de les utiliser. Mais la manne publicitaire est souvent trop tentante.

Conditions d'utilisation abusives

Beaucoup de sites jouent avec la réglementation, voire s'en affranchissent :

Pour approfondir, vous pourrez lire "Decathlon, à fond la surveillance".

Fuites de données personnelles

Il n'y a pas que les conditions d'utilisations, celles-ci correspondent rarement à la réalité du terrain :

Covid et fuites de données personnelles

Beaucoup de fantasmes en France sur la surveillance liée à TousAntiCovid (comparé au peu de relai médiatique sur la vidéosurveillance algorithmique par exemple, avec la France en pointe du domaine comme le dénonce La Quadrature du Net), mais j'ai néanmoins regardé l'appli TousAntiCovid :

L'hypocrisie du milieu

Dans la catégorie, on aime bien dénoncer Google et Facebook, mais on oublie de balayer à notre propre porte :

La CNIL, un allié très frustrant

Pour vous défendre contre la surveillance publicitaire, la réglementation, incarnée en France par la CNIL. Elle est de bonne volonté, rend parfois des décisions importantes (contre Google ou Facebook), mais n'agit que trop rarement et très lentement. Manque de moyens ou complaisance avec l'adtech ? Probablement un peu des deux...

La CNIL et les cookies

La CNIL n'ayant pas envie d'appliquer la loi pour les sites d'information, les abus sont généralisés :

Pour approfondir, lisez les articles suivants :

Les sanctions de la CNIL

La CNIL sanctionne donc parfois Google et Facebook, on peut regretter la lenteur des procédures et les montants pas si importants par rapport aux revenus de ces 2 sociétés, mais ces sanctions finissent par avoir de l'effet :

16.01.2023 à 10:33

Decathlon, à fond la surveillance

Les règles du jeu

En août dernier, je tweetais sur le parcours de l'enfer pour refuser la surveillance de Decathlon. À ce jour, c'est le tweet qui m'a valu le plus de succès avec 1760 Retweets et plus d'1 million d'impressions. Manifestement, ce n'était pas suffisant pour avoir droit à une réponse de Yann, le CM de Decathlon. Quelques mois après cet épisode, quels ont été les changements ? Étudions cela en détail.

Dès votre arrivée sur le site Decathlon vous êtes accueilli par une bannière "Cookies : Les règles du jeu" :

regles

Les règles de Decathlon, celles de la loi ?

Vous êtes habitué à ces dark patterns et instinctivement, vous cliquez sur le bouton "Refuser et fermer" en haut à droite ? J'ai fait cela aussi... Lisez attentivement le texte :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Qui sont ces partenaires ? Mystère... Comment s'opposer au traitement des données fondé sur l'intérêt légitime ? Le texte de Decathlon est incohérent car il n'y a pas de bouton « En savoir plus ». Essayons néanmoins en cliquant sur "Paramétrer vos cookies" :

params

"Bien sûr, la balle est dans votre camp, à vous d'accepter ou de refuser certains cookies pour choisir ceux qui restent sur le terrain".

La bannière ne parle pas d'intérêt légitime, vous pouvez encore cliquer sur "Refuser tout". Continuons donc l'investigation en cliquant sur "Voir nos partenaires" :

partenaires

La longue liste des partenaires de Decathlon.

Decathlon aime partager vos données personnelles et travaille avec pas moins de 26 partenaires : AB Tasty, AT Internet, Awin, Bing (Microsoft), Content Square, Dynamics Yield, Easyence, Epsilon, Google, Hotjar, IAdvize, Idealo, Kelkoo, Lucky Orange, Meta (Facebook), Mobsuccess, Ogury, Pinterest, Rakuten advertising, RTB House, SpeedCurve, Target 2 Sell, Teads, Teester, Valiuz et Verizon Media.

Là aussi, vous pouvez cliquer sur "Bloquer" pour "Tous les partenaires", vous ne verrez aucune mention à l'intérêt légitime, ces partenaires se basent sur votre consentement. Le mystère demeure sur les "partenaires" se basant sur l'intérêt légitime, il semble à première vue qu'un simple clic sur "Refuser et fermer" en haut à droite de la bannière initiale soit suffisant.

Via le site Consent String Decoder, je vérifie néanmoins ma chaîne de consentement, une chaîne de caractère qui encode mes choix et qui doit être respecté par les partenaires de Decathlon :

string

Les variables purposeConsents et purposeLegitimateInterests sont vides, aucun partenaire de Decathlon n'a de base légale pour traiter mes données personnelles.

Après refus, vous êtes quand même traqué par iAdvize

Après avoir cliqué sur "Refuser et fermer", je lance Charles Proxy pour observer les requêtes envoyées par mon navigateur :

refus

Surprise ! Decathlon n'est pas le seul destinataire de mes données personnelles.

iAdvize suit donc votre navigation, grâce aux paramètres url, sourceVisitorId et deviceId. Le paramètre cookieConsent interroge également, il est renseigné à unknown ! iAdvize c'est quoi ? Une fenêtre conversationnelle sur le site Decathlon, pour favoriser l'achat :

sporty

Sporty par iAdvize, toujours disponible pour observer votre comportement !

Si je reviens sur la bannière cookies pour vérifier mes choix, via "Gestion des cookies" (et non "Données personnelles") en pied de page :

nonnecessaire

Beaucoup d'amour pour "les cookies non nécessaires".

Puis, si je clique sur "Gérer mes cookies" et que je cherche mon choix pour iAdvize :

toujours refus

J'ai bien refusé la surveillance d'iAdvize, Decathlon ignore donc mon choix.

Notez que Decathlon et iAdvize pourraient arguer du fait qu'iAdvize ne dépose pas de cookies lorsque vous cliquez sur "Refuser et fermer". Sauf que ce dernier vous identifie via les identifiants sourceVisitorId et deviceId, un fingerprint est bien un identifiant utilisateur et votre consentement est nécessaire :

finger

La CNIL est explicite sur l'application de la directive ePrivacy, le "fingerprinting" est concerné.

L'inscription, avec un partenaire mystérieux mais un engagement fort

Vous souhaitez maintenant commander chez Decathlon ? Vous allez devoir vous inscrire :

partenaires

En équipe ! Decathlon vous propose son offre avec "ses partenaires".

Vous avez déjà refusé la surveillance de 26 partenaires, pourquoi Decathlon vous reparle-t-il de "partenaires" ? Il semble que la référence soit plutôt aux vendeurs de sa marketplace, mais on aurait aimé que Decathlon soit plus explicite. Renseignez une adresse e-mail, puis un mot de passe :

presque

Un "partenaire" de plus, Valiuz (retenez ce nom pour la suite).

Vous n'avez pas forcément envie de recevoir des newsletters Decathlon, via le mystérieux partenaire "Valiuz", ne cochez donc pas la case et cliquez simplement sur "Confirmer et continuer" :

phone

Le numéro de téléphone est obligatoire, et bien sûr, ce n'est que pour vous contacter au sujet de votre commande ;-)

Vous pouvez également renseigner vos sports favoris. Sur la même page, Decathlon communique sur la manière dont vos données sont utilisées, pour la création de compte tout d'abord :

rassurecompte

Avec des mots forts :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Decathlon communique avec les mêmes mots sur la manière dont vos données sont utilisées pour une communication :

rassurecom

On note la confiance du sportif :

Enfin, si malgré l'intérêt que nous portons à la protection de vos données vous n'étiez pas satisfait, vous pouvez formuler une réclamation auprès de la CNIL.

Ces engagements concernent la création de compte et les communications de Decathlon. Mais comme on l'a vu précédemment, avec votre consentement (excepté pour iAdvize), Decathlon peux partager vos données personnelles avec pas moins de 26 partenaires pour diverses finalités : "Publicités personnalisées", "Mesure d'audience et de performance des contenus" et "Personnalisation du contenu".

Certaines de vos données personnelles ne sont donc pas destinées qu'à Decathlon...

À la recherche des paramètres de vie privée

Étant méfiant, je souhaite vérifier si Decathlon a correctement protégé mon compte, avec les options les plus protectrices côté vie privée. Pour cela, je me rends sur "Mon tableau de bord" :

dashboard

L'accès le plus rapide vers les paramètres de vie privée ?!

Dans la section "Gérer mon compte Decathlon" du menu, caché dans "Préférences", je découvre 2 entrées intéressantes, "Historique de navigation" et "Données personnelles" :

menu

Victoire ?

Cliquons sur "Historique de navigation" :

historique

Toujours "l'amélioration de l'expérience sur le site".

Lorsque vous décochez l'option, on vous explique que vous ne verrez plus les articles déjà consulté :

cache

Cette option "Historique de navigation" est en effet bien cachée.

Si je clique maintenant sur "Données personnelles", je me retrouve sur la page "Vos données & Decathlon". Afin d'être sûr de ne pas louper d'options, je clique sur l'entrée "Sécurité" du menu de la page "Mon tableau de bord". Et là, surprise, un deuxième tableau de bord :

securite

"Gérez toutes vos données à un seul endroit !" Si vous le trouvez ;-)

Là vous pourrez donner encore un peu plus d'informations à Decathlon, notamment vos mensurations :

mensurations

Le capitalisme de surveillance s'attaque à votre corps.

L'idée ? Vous proposer des produits et services adaptés à votre morphologie :

benefices

Decathlon vous accompagne dans votre discipline, ça fait envie non ?

Regardons ensuite les "Préférences de communication" :

communication

Évidemment, quasi toutes les communications sont pré-cochées.

Si vous cliquez sur "Vous désabonner de l'ensemble des informations", on vous demandera si vous êtes vraiment sûr :

sur

Après tous ces efforts, on se demande si vous souhaitez vraiment louper nos communications commerciales.

Finalement, allons sur l'entrée "Utilisation des données" du menu :

utilisation

Une autre page pertinente concernant votre vie privée, bien cachée n'est-ce pas ?

Si vous cliquez sur "Modifier" pour "Sites web et applications partenaires", vous verrez une page plus ou moins vide, selon vos comptes :

sites

Toujours des partenaires, et pourtant "Vos données ne sont destinées qu'à Decathlon".

Je n'ai pas de "Sites web et applications partenaires", pas de partage supplémentaire de données personnelles. Si vous cliquez maintenant sur "Modifier" pour "Déduction des préférences par Decathlon" :

deduction

L'option est pré-cochée, un classique !

Si vous vous rappelez, j'ai déjà désactivé mon historique de navigation ainsi que toutes les communications, comment est-ce que Decathlon peut se permettre de continuer à "déduire" mes préférences ? Mystère... Cliquons maintenant sur "Modifier" pour "Partage avec Valiuz" :

programme

Nouvelle option pré-cochée, pour partager vos données avec "un groupe d'enseignes".

On rappelle l'engagement de Decathlon lors de votre inscription :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Donc ce n'est pas la politique de la maison, mais c'est quand même ce que fait Decathlon, pour vos données personnelles les plus intéressantes : habitudes d’achat, adresse, composition de votre foyer, coordonnées. Vous avez beau avoir tout refusé, ce partage est activé par défaut, partage avec un groupe d'enseignes mystérieux. Aussi, via @Eriatolc, vous apprendrez que Decathlon vous enrôle automatiquement dans son programme fidélité.

En parlant de Valiuz, c'est un partenaire que j'avais déjà bloqué :

bloc

Un partenaire déjà bloqué, mais avec qui Decathlon partage quand même vos données personnelles.

Le texte de la bannière de consentement est intéressant d'ailleurs, Valiuz se permettant de faire beaucoup avec vos données personnelles :

VALIUZ contribue à personnaliser les bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). Vos données ne sont jamais transmises aux annonceurs concernés. VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Sur la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE", vous pourrez en savoir un peu plus sur cette "extension d'audience" :

extension

Valiuz vend des campagnes publicitaires basées sur votre profil, sur des sites web qui n'appartiennent pas à l'alliance ("extension d'audience"), un bien joli business !

En savoir plus sur Valiuz

Pour mieux comprendre ce que fait Valiuz, j'ai donc cliqué sur le lien "En savoir plus sur Valiuz" depuis la page "Partage avec le programme Valiuz" de Decathlon. Me voici sur le site Valiuz, et voici la liste des membres de l'alliance : Auchan, Boulanger, Kiabi, Leroy Merlin, Norauto, Flunch, 3 brasseurs, Alinea, Top Office, Saint Maclou, Tape à l'oeil, Jules, Electro Depot, Rouge-Gorge, Nhood, Chronodrive, Grain de Malice, Bizzbee, Decathlon, Oney, "et bien d'autres à venir !"

Sur la page "Comment ça fonctionne", Valiuz vous vend l'utilité de ses e-mails ciblés :

parcours1

"Je suis une famille avec 2 enfants, qui a un intérêt marqué pour les produits frais & hi-tech pour la cuisine."

Valiuz vous vend aussi l'utilité de ses SMS et notifications ciblés :

parcours2

"Je suis un(e) client(e) qui achète uniquement en magasin et jamais en ligne, et visite sa zone commerciale habituelle le samedi."

Mais Valiuz cherche également à vous rassurer :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz créé un pot commun de vos données personnelles sur les différentes enseignes partenaires, pour mieux les exploiter :

potcommun

Valiuz permet à Decathlon et aux autres enseignes partenaires de mieux vous cibler.

Qu'en est-il de l'identifiant unique créé par Valiuz ? La page "Mes droits" donne un peu de détail :

hash

J'espère que vous êtes rassuré, toutes vos données identifiantes (votre adresse e-mail, votre adresse postale ou encore votre numéro de téléphone) sont hachés avant d'être comparés entre enseignes. Pour les petits malins d'entre vous qui se serviraient d'un système d'alias e-mail type SimpleLogin, Valiuz vous retrouvera grâce à votre numéro de téléphone (obligatoire à l'inscription) et à votre adresse postale (recommandée si vous avez commandé).

Au passage, le hash de votre adresse e-mail est probablement déjà connu des grandes plateformes et de toute l'adtech. Est-ce "sécurisé" comme l'indique Valiuz ?

securise

"Valiuz assure une sécurité maximale".

On peut en douter, allez faire un tour sur le site "Have I been pwned" et vérifiez votre adresse e-mail, il est probable qu'elle ait fuitée (tout comme votre numéro de téléphone). Si c'est le cas, une personne ayant accès à la fuite pourra remonter à votre adresse e-mail depuis son hash.

Toujours sur la page "Mes droits", vous pouvez vous opposer à l'utilisation de vos informations liées à vos achats (en magasin et en ligne) dans le cadre de Valiuz :

oppose

Renseignez votre e-mail pour ne pas être surveillé via votre e-mail.

Pourquoi donner son adresse e-mail ? Ce serait la seule manière de vous "désabonner" :

Cette adresse email doit être connue d’un des membres de l’alliance, afin de nous permettre d’identifier le profil client concerné. Elle servira uniquement à vous envoyer un message de confirmation automatique et sera pseudonymisée (c’est-à-dire qu’elle sera transformée en une information de type 1a2b3c4d5e6f que nous allons comparer avec nos données pour prendre en compte votre demande).

En vrai, vous pouvez aussi décocher l'option "Partage avec le programme Valiuz" sur votre compte Decathlon. Mais il faudra le faire avec toutes les autres enseignes de l'alliance Valiuz pour lesquelles vous avez un compte, si tant est qu'elles proposent l'option :

global

Opposition au partage de mes données Decathlon à Valiuz vs opposition au service Valiuz d'une manière globale.

Lors de mon test en août dernier, il était possible de s'opposer au traitement des informations de navigation, au prix d'un magnifique dark pattern :

nav

Quand c'est 'OFF', c'est 'ON'.

Alors comment faire pour bloquer le traitement des informations de votre navigation ? On en revient à la bannière de consentement initiale :

suppression

Le parcours du combattant.

pour refuser le cookie Valiuz, vous devez utiliser l’outil de gestion des cookies disponible sur le site internet de nos partenaires.

Ouf ! C'est donc déjà fait, dès le début de cet article. Il aurait néanmoins été intéressant de laisser l'utilisateur refuser cette surveillance directement depuis le site Valiuz, pour tous les sites de l'alliance. Vous devez maintenant cliquer sur "Tout refuser" sur la bannière de consentement de chacun des sites de l'alliance.

Et notez que lorsque Valiuz combine les informations liées à vos achats (en magasin et en ligne) avec les informations de votre navigation, cela fait beaucoup d'informations :

combine

Pour mieux vous profiler, Valiuz récupère aussi "des données librement accessibles au public (open-data) ou issues de base de données fournies par des tiers (exemple: INSEE)."

Cadeau supplémentaire, les informations de votre navigation et le rapprochement avec les données détenues par les membres de l'alliance n'est pas opéré directement par Valiuz, il est effectué via l'adtech française Mediarithmics :

media

"Vos données ne sont destinées qu'à Decathlon", nouvel épisode.

Quelles bases légales pour les traitements de Valiuz ?

Question difficile, si l'on reprend les informations :

Valiuz se base sur le consentement (via la bannière cookies de Decathlon) pour :

  • La personnalisation des bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Valiuz se base sur son intérêt légitime pour le reste, c'est à dire :

  • Pour réaliser des analyses statistiques non individuelles permettant à ses entreprises partenaires de mieux comprendre les attentes de leur clientèle et d’y répondre en faisant évoluer leur activité.
  • Pour améliorer la qualité des informations clients de ses entreprises partenaires et ainsi contribuer à leur mise à jour (exemple: identifier les personnes dont l’adresse postale est obsolète, pour arrêter de leur envoyer des communications).
  • Pour segmenter les bases de données clients de ses entreprises partenaires et ainsi contribuer à améliorer la pertinence des communications qu’elles vous adressent.

On comprend mieux cette articulation dans la section "Quel est le service fourni par VALIUZ" sur la page "Politique données personnelles et cookies de l’Alliance" :

articulation

Intérêt légitime pour le profilage publicitaire, consentement pour les données de navigation et l'affichage de publicités ciblées.

Aussi, le message énigmatique de la bannière de consentement sur le site Decathlon fait maintenant sens :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Sauf que l'opposition au traitement des données fondé sur l'intérêt légitime était un peu plus compliqué que de cliquer sur « En savoir plus », cette bannière est particulièrement malhonnête. Plus généralement, Decathlon semble avoir un problème avec la notion de consentement, comme en témoigne la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE" :

interet

"[...] si et seulement si les personnes concernées ont consenti [...]", mais on se base quand même sur l'intérêt légitime.

Derrière Valiuz, le groupe Mulliez

Qui est derrière cette alliance "Valiuz" ? Si vous n'êtes pas un connaisseur du capitalisme à la française, vous ne devinerez pas forcément qu'Auchan, Decathlon ou Leroy Merlin appartiennent à la richissime famille Mulliez. L'article "Valiuz, le projet data aux 150 millions de cartes de fidélité du groupe Mulliez" (que vous pouvez lire grâce au mode "lecture" de votre navigateur), écrit en 2019, donne quelques informations :

  • Valiuz touchait déjà 29 millions de foyers français.
  • Il rassemblait donc plus de 150 millions de cartes de fidélité.
  • Ce n'est pas la seule alliance, 3W.RelevanC (Casino) rassemblait 31 millions de consommateurs, l'article mentionne aussi RetailLink de Fnac-Darty.
  • Mediarithmics renvoie les profils utilisateurs vers les Data Management Platforms (DMP) des différents membres de l'alliance, d'autres acteurs actech récupèrent donc vos données personnelles enrichies.
  • Pour l'instant circonscrite à la galaxie Mulliez, l'initiative pourrait s'ouvrir à d'autres groupes dans les mois qui viennent. Notamment sur les verticales où les entités membres de l'AFM ne sont pas présentes, comme les télécoms, par exemple.

Si vous vous rappelez, Valiuz déclarait :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz propose aussi une application de cashback, pour siphonner vos transactions bancaires

Valiuz récupère vos historiques d'achats sur le web et en magasin auprès des membres de l'alliance. Mais pourquoi ne pas récupérer toutes vos transactions bancaires ? Évidemment, si vous êtes un minimum concerné par votre vie privée, vous n'utiliserez pas ce genre d'applications, mais Valiuz propose une application de "cashback" appelé Naomi :

naomi

Cumuler des récompenses automatiquement, intéressant n'est-ce pas ?

À l'inscription, Naomi vous demande les accès à votre compte bancaire :

etape

"Tes informations de connexion bancaire nous permettent simplement d'identifier tes achats pour verser tes gains."

Naomi n'a en effet pas accès aux identifiants bancaires, "seulement" à l'ensemble des transactions bancaires du client :

connecte

Confidentialité et sécurité, pourquoi s'inquiéter ?

La "politique de protection des données personnelles" de l'application Naomi est intéressante. On note que les études statistiques sur vos transactions bancaires se basent sur l'intérêt légitime de Naomi alias Valiuz :

etudes

Toujours la fameuse pseudonymisation, avec maintenant l'ensemble de vos transactions bancaires.

Vu la sensibilité des données récupérées, vous ne serez pas forcément rassuré de lire que Naomi passe par des sous-traitants pour de nombreuses actions :

soustraitants

"études statistiques, segmentation et profilage publicitaire à partir des données", effectué par des sous-traitants dont vous n'avez pas le nom.

Cerise sur le gâteau, Naomi travaille avec les rois du capitalisme de surveillance, Google et Facebook :

capital

Les fameux "pixels", des vecteurs de tracking très efficaces.

Mais les transactions bancaires ne sont pas assez précises, Naomi veut savoir exactement ce que vous avez acheté, et vous propose donc de scanner les tickets de caisse :

caisse

Naomi récupère ainsi le détail des achats: nature du produit, magasins, date, montant.

Notez que, à la différence de Decathlon, la base légale du profilage pour l'alliance Valiuz est le consentement :

bases

Vous avez de la chance, les achats ou paiements sensibles ou qui ne correspondent pas à un achat ne sont pas partagés par Naomi.

Comme le dit si joliment le compte Twitter de Valiuz :

connaitre

Valiuz, mieux vous connaître pour mieux vous parler.

Le capitalisme de surveillance recrute

Convaincu par cet article élogieux, vous décidez d'aller sur la page Valiuz de Welcome to the Jungle et de lire les offres d'emplois. Si vous êtes dans l'opérationnel, vous pourriez être Account Manager Programmatique par exemple :

manager

"Spécialisée dans la mise en place de modèles économiques autour de la data".

Si vous vous sentez l'âme d'un commercial, vous pourriez être Sales Manager - Retail Media :

retail

"Valiuz Media, l’offre retail la plus puissante du marché : 18 enseignes complémentaires, 55 millions de clients encartés, 1,7 milliards de transactions omnicanales, 3 520 magasins en France."

Mais pourquoi travailler chez Valiuz me direz-vous ?

grande

"[...] la plus large base data clients de France" ça fait rêver, non ?

Le mot de la fin, sur la page d'accueil de Valiuz, avec "Nos valeurs" :

commerciale

"Nous ne commercialisons pas vos informations."

Texte intégral (5759 mots)

Les règles du jeu

En août dernier, je tweetais sur le parcours de l'enfer pour refuser la surveillance de Decathlon. À ce jour, c'est le tweet qui m'a valu le plus de succès avec 1760 Retweets et plus d'1 million d'impressions. Manifestement, ce n'était pas suffisant pour avoir droit à une réponse de Yann, le CM de Decathlon. Quelques mois après cet épisode, quels ont été les changements ? Étudions cela en détail.

Dès votre arrivée sur le site Decathlon vous êtes accueilli par une bannière "Cookies : Les règles du jeu" :

regles

Les règles de Decathlon, celles de la loi ?

Vous êtes habitué à ces dark patterns et instinctivement, vous cliquez sur le bouton "Refuser et fermer" en haut à droite ? J'ai fait cela aussi... Lisez attentivement le texte :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Qui sont ces partenaires ? Mystère... Comment s'opposer au traitement des données fondé sur l'intérêt légitime ? Le texte de Decathlon est incohérent car il n'y a pas de bouton « En savoir plus ». Essayons néanmoins en cliquant sur "Paramétrer vos cookies" :

params

"Bien sûr, la balle est dans votre camp, à vous d'accepter ou de refuser certains cookies pour choisir ceux qui restent sur le terrain".

La bannière ne parle pas d'intérêt légitime, vous pouvez encore cliquer sur "Refuser tout". Continuons donc l'investigation en cliquant sur "Voir nos partenaires" :

partenaires

La longue liste des partenaires de Decathlon.

Decathlon aime partager vos données personnelles et travaille avec pas moins de 26 partenaires : AB Tasty, AT Internet, Awin, Bing (Microsoft), Content Square, Dynamics Yield, Easyence, Epsilon, Google, Hotjar, IAdvize, Idealo, Kelkoo, Lucky Orange, Meta (Facebook), Mobsuccess, Ogury, Pinterest, Rakuten advertising, RTB House, SpeedCurve, Target 2 Sell, Teads, Teester, Valiuz et Verizon Media.

Là aussi, vous pouvez cliquer sur "Bloquer" pour "Tous les partenaires", vous ne verrez aucune mention à l'intérêt légitime, ces partenaires se basent sur votre consentement. Le mystère demeure sur les "partenaires" se basant sur l'intérêt légitime, il semble à première vue qu'un simple clic sur "Refuser et fermer" en haut à droite de la bannière initiale soit suffisant.

Via le site Consent String Decoder, je vérifie néanmoins ma chaîne de consentement, une chaîne de caractère qui encode mes choix et qui doit être respecté par les partenaires de Decathlon :

string

Les variables purposeConsents et purposeLegitimateInterests sont vides, aucun partenaire de Decathlon n'a de base légale pour traiter mes données personnelles.

Après refus, vous êtes quand même traqué par iAdvize

Après avoir cliqué sur "Refuser et fermer", je lance Charles Proxy pour observer les requêtes envoyées par mon navigateur :

refus

Surprise ! Decathlon n'est pas le seul destinataire de mes données personnelles.

iAdvize suit donc votre navigation, grâce aux paramètres url, sourceVisitorId et deviceId. Le paramètre cookieConsent interroge également, il est renseigné à unknown ! iAdvize c'est quoi ? Une fenêtre conversationnelle sur le site Decathlon, pour favoriser l'achat :

sporty

Sporty par iAdvize, toujours disponible pour observer votre comportement !

Si je reviens sur la bannière cookies pour vérifier mes choix, via "Gestion des cookies" (et non "Données personnelles") en pied de page :

nonnecessaire

Beaucoup d'amour pour "les cookies non nécessaires".

Puis, si je clique sur "Gérer mes cookies" et que je cherche mon choix pour iAdvize :

toujours refus

J'ai bien refusé la surveillance d'iAdvize, Decathlon ignore donc mon choix.

Notez que Decathlon et iAdvize pourraient arguer du fait qu'iAdvize ne dépose pas de cookies lorsque vous cliquez sur "Refuser et fermer". Sauf que ce dernier vous identifie via les identifiants sourceVisitorId et deviceId, un fingerprint est bien un identifiant utilisateur et votre consentement est nécessaire :

finger

La CNIL est explicite sur l'application de la directive ePrivacy, le "fingerprinting" est concerné.

L'inscription, avec un partenaire mystérieux mais un engagement fort

Vous souhaitez maintenant commander chez Decathlon ? Vous allez devoir vous inscrire :

partenaires

En équipe ! Decathlon vous propose son offre avec "ses partenaires".

Vous avez déjà refusé la surveillance de 26 partenaires, pourquoi Decathlon vous reparle-t-il de "partenaires" ? Il semble que la référence soit plutôt aux vendeurs de sa marketplace, mais on aurait aimé que Decathlon soit plus explicite. Renseignez une adresse e-mail, puis un mot de passe :

presque

Un "partenaire" de plus, Valiuz (retenez ce nom pour la suite).

Vous n'avez pas forcément envie de recevoir des newsletters Decathlon, via le mystérieux partenaire "Valiuz", ne cochez donc pas la case et cliquez simplement sur "Confirmer et continuer" :

phone

Le numéro de téléphone est obligatoire, et bien sûr, ce n'est que pour vous contacter au sujet de votre commande ;-)

Vous pouvez également renseigner vos sports favoris. Sur la même page, Decathlon communique sur la manière dont vos données sont utilisées, pour la création de compte tout d'abord :

rassurecompte

Avec des mots forts :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Decathlon communique avec les mêmes mots sur la manière dont vos données sont utilisées pour une communication :

rassurecom

On note la confiance du sportif :

Enfin, si malgré l'intérêt que nous portons à la protection de vos données vous n'étiez pas satisfait, vous pouvez formuler une réclamation auprès de la CNIL.

Ces engagements concernent la création de compte et les communications de Decathlon. Mais comme on l'a vu précédemment, avec votre consentement (excepté pour iAdvize), Decathlon peux partager vos données personnelles avec pas moins de 26 partenaires pour diverses finalités : "Publicités personnalisées", "Mesure d'audience et de performance des contenus" et "Personnalisation du contenu".

Certaines de vos données personnelles ne sont donc pas destinées qu'à Decathlon...

À la recherche des paramètres de vie privée

Étant méfiant, je souhaite vérifier si Decathlon a correctement protégé mon compte, avec les options les plus protectrices côté vie privée. Pour cela, je me rends sur "Mon tableau de bord" :

dashboard

L'accès le plus rapide vers les paramètres de vie privée ?!

Dans la section "Gérer mon compte Decathlon" du menu, caché dans "Préférences", je découvre 2 entrées intéressantes, "Historique de navigation" et "Données personnelles" :

menu

Victoire ?

Cliquons sur "Historique de navigation" :

historique

Toujours "l'amélioration de l'expérience sur le site".

Lorsque vous décochez l'option, on vous explique que vous ne verrez plus les articles déjà consulté :

cache

Cette option "Historique de navigation" est en effet bien cachée.

Si je clique maintenant sur "Données personnelles", je me retrouve sur la page "Vos données & Decathlon". Afin d'être sûr de ne pas louper d'options, je clique sur l'entrée "Sécurité" du menu de la page "Mon tableau de bord". Et là, surprise, un deuxième tableau de bord :

securite

"Gérez toutes vos données à un seul endroit !" Si vous le trouvez ;-)

Là vous pourrez donner encore un peu plus d'informations à Decathlon, notamment vos mensurations :

mensurations

Le capitalisme de surveillance s'attaque à votre corps.

L'idée ? Vous proposer des produits et services adaptés à votre morphologie :

benefices

Decathlon vous accompagne dans votre discipline, ça fait envie non ?

Regardons ensuite les "Préférences de communication" :

communication

Évidemment, quasi toutes les communications sont pré-cochées.

Si vous cliquez sur "Vous désabonner de l'ensemble des informations", on vous demandera si vous êtes vraiment sûr :

sur

Après tous ces efforts, on se demande si vous souhaitez vraiment louper nos communications commerciales.

Finalement, allons sur l'entrée "Utilisation des données" du menu :

utilisation

Une autre page pertinente concernant votre vie privée, bien cachée n'est-ce pas ?

Si vous cliquez sur "Modifier" pour "Sites web et applications partenaires", vous verrez une page plus ou moins vide, selon vos comptes :

sites

Toujours des partenaires, et pourtant "Vos données ne sont destinées qu'à Decathlon".

Je n'ai pas de "Sites web et applications partenaires", pas de partage supplémentaire de données personnelles. Si vous cliquez maintenant sur "Modifier" pour "Déduction des préférences par Decathlon" :

deduction

L'option est pré-cochée, un classique !

Si vous vous rappelez, j'ai déjà désactivé mon historique de navigation ainsi que toutes les communications, comment est-ce que Decathlon peut se permettre de continuer à "déduire" mes préférences ? Mystère... Cliquons maintenant sur "Modifier" pour "Partage avec Valiuz" :

programme

Nouvelle option pré-cochée, pour partager vos données avec "un groupe d'enseignes".

On rappelle l'engagement de Decathlon lors de votre inscription :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Donc ce n'est pas la politique de la maison, mais c'est quand même ce que fait Decathlon, pour vos données personnelles les plus intéressantes : habitudes d’achat, adresse, composition de votre foyer, coordonnées. Vous avez beau avoir tout refusé, ce partage est activé par défaut, partage avec un groupe d'enseignes mystérieux. Aussi, via @Eriatolc, vous apprendrez que Decathlon vous enrôle automatiquement dans son programme fidélité.

En parlant de Valiuz, c'est un partenaire que j'avais déjà bloqué :

bloc

Un partenaire déjà bloqué, mais avec qui Decathlon partage quand même vos données personnelles.

Le texte de la bannière de consentement est intéressant d'ailleurs, Valiuz se permettant de faire beaucoup avec vos données personnelles :

VALIUZ contribue à personnaliser les bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). Vos données ne sont jamais transmises aux annonceurs concernés. VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Sur la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE", vous pourrez en savoir un peu plus sur cette "extension d'audience" :

extension

Valiuz vend des campagnes publicitaires basées sur votre profil, sur des sites web qui n'appartiennent pas à l'alliance ("extension d'audience"), un bien joli business !

En savoir plus sur Valiuz

Pour mieux comprendre ce que fait Valiuz, j'ai donc cliqué sur le lien "En savoir plus sur Valiuz" depuis la page "Partage avec le programme Valiuz" de Decathlon. Me voici sur le site Valiuz, et voici la liste des membres de l'alliance : Auchan, Boulanger, Kiabi, Leroy Merlin, Norauto, Flunch, 3 brasseurs, Alinea, Top Office, Saint Maclou, Tape à l'oeil, Jules, Electro Depot, Rouge-Gorge, Nhood, Chronodrive, Grain de Malice, Bizzbee, Decathlon, Oney, "et bien d'autres à venir !"

Sur la page "Comment ça fonctionne", Valiuz vous vend l'utilité de ses e-mails ciblés :

parcours1

"Je suis une famille avec 2 enfants, qui a un intérêt marqué pour les produits frais & hi-tech pour la cuisine."

Valiuz vous vend aussi l'utilité de ses SMS et notifications ciblés :

parcours2

"Je suis un(e) client(e) qui achète uniquement en magasin et jamais en ligne, et visite sa zone commerciale habituelle le samedi."

Mais Valiuz cherche également à vous rassurer :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz créé un pot commun de vos données personnelles sur les différentes enseignes partenaires, pour mieux les exploiter :

potcommun

Valiuz permet à Decathlon et aux autres enseignes partenaires de mieux vous cibler.

Qu'en est-il de l'identifiant unique créé par Valiuz ? La page "Mes droits" donne un peu de détail :

hash

J'espère que vous êtes rassuré, toutes vos données identifiantes (votre adresse e-mail, votre adresse postale ou encore votre numéro de téléphone) sont hachés avant d'être comparés entre enseignes. Pour les petits malins d'entre vous qui se serviraient d'un système d'alias e-mail type SimpleLogin, Valiuz vous retrouvera grâce à votre numéro de téléphone (obligatoire à l'inscription) et à votre adresse postale (recommandée si vous avez commandé).

Au passage, le hash de votre adresse e-mail est probablement déjà connu des grandes plateformes et de toute l'adtech. Est-ce "sécurisé" comme l'indique Valiuz ?

securise

"Valiuz assure une sécurité maximale".

On peut en douter, allez faire un tour sur le site "Have I been pwned" et vérifiez votre adresse e-mail, il est probable qu'elle ait fuitée (tout comme votre numéro de téléphone). Si c'est le cas, une personne ayant accès à la fuite pourra remonter à votre adresse e-mail depuis son hash.

Toujours sur la page "Mes droits", vous pouvez vous opposer à l'utilisation de vos informations liées à vos achats (en magasin et en ligne) dans le cadre de Valiuz :

oppose

Renseignez votre e-mail pour ne pas être surveillé via votre e-mail.

Pourquoi donner son adresse e-mail ? Ce serait la seule manière de vous "désabonner" :

Cette adresse email doit être connue d’un des membres de l’alliance, afin de nous permettre d’identifier le profil client concerné. Elle servira uniquement à vous envoyer un message de confirmation automatique et sera pseudonymisée (c’est-à-dire qu’elle sera transformée en une information de type 1a2b3c4d5e6f que nous allons comparer avec nos données pour prendre en compte votre demande).

En vrai, vous pouvez aussi décocher l'option "Partage avec le programme Valiuz" sur votre compte Decathlon. Mais il faudra le faire avec toutes les autres enseignes de l'alliance Valiuz pour lesquelles vous avez un compte, si tant est qu'elles proposent l'option :

global

Opposition au partage de mes données Decathlon à Valiuz vs opposition au service Valiuz d'une manière globale.

Lors de mon test en août dernier, il était possible de s'opposer au traitement des informations de navigation, au prix d'un magnifique dark pattern :

nav

Quand c'est 'OFF', c'est 'ON'.

Alors comment faire pour bloquer le traitement des informations de votre navigation ? On en revient à la bannière de consentement initiale :

suppression

Le parcours du combattant.

pour refuser le cookie Valiuz, vous devez utiliser l’outil de gestion des cookies disponible sur le site internet de nos partenaires.

Ouf ! C'est donc déjà fait, dès le début de cet article. Il aurait néanmoins été intéressant de laisser l'utilisateur refuser cette surveillance directement depuis le site Valiuz, pour tous les sites de l'alliance. Vous devez maintenant cliquer sur "Tout refuser" sur la bannière de consentement de chacun des sites de l'alliance.

Et notez que lorsque Valiuz combine les informations liées à vos achats (en magasin et en ligne) avec les informations de votre navigation, cela fait beaucoup d'informations :

combine

Pour mieux vous profiler, Valiuz récupère aussi "des données librement accessibles au public (open-data) ou issues de base de données fournies par des tiers (exemple: INSEE)."

Cadeau supplémentaire, les informations de votre navigation et le rapprochement avec les données détenues par les membres de l'alliance n'est pas opéré directement par Valiuz, il est effectué via l'adtech française Mediarithmics :

media

"Vos données ne sont destinées qu'à Decathlon", nouvel épisode.

Quelles bases légales pour les traitements de Valiuz ?

Question difficile, si l'on reprend les informations :

Valiuz se base sur le consentement (via la bannière cookies de Decathlon) pour :

  • La personnalisation des bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Valiuz se base sur son intérêt légitime pour le reste, c'est à dire :

  • Pour réaliser des analyses statistiques non individuelles permettant à ses entreprises partenaires de mieux comprendre les attentes de leur clientèle et d’y répondre en faisant évoluer leur activité.
  • Pour améliorer la qualité des informations clients de ses entreprises partenaires et ainsi contribuer à leur mise à jour (exemple: identifier les personnes dont l’adresse postale est obsolète, pour arrêter de leur envoyer des communications).
  • Pour segmenter les bases de données clients de ses entreprises partenaires et ainsi contribuer à améliorer la pertinence des communications qu’elles vous adressent.

On comprend mieux cette articulation dans la section "Quel est le service fourni par VALIUZ" sur la page "Politique données personnelles et cookies de l’Alliance" :

articulation

Intérêt légitime pour le profilage publicitaire, consentement pour les données de navigation et l'affichage de publicités ciblées.

Aussi, le message énigmatique de la bannière de consentement sur le site Decathlon fait maintenant sens :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Sauf que l'opposition au traitement des données fondé sur l'intérêt légitime était un peu plus compliqué que de cliquer sur « En savoir plus », cette bannière est particulièrement malhonnête. Plus généralement, Decathlon semble avoir un problème avec la notion de consentement, comme en témoigne la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE" :

interet

"[...] si et seulement si les personnes concernées ont consenti [...]", mais on se base quand même sur l'intérêt légitime.

Derrière Valiuz, le groupe Mulliez

Qui est derrière cette alliance "Valiuz" ? Si vous n'êtes pas un connaisseur du capitalisme à la française, vous ne devinerez pas forcément qu'Auchan, Decathlon ou Leroy Merlin appartiennent à la richissime famille Mulliez. L'article "Valiuz, le projet data aux 150 millions de cartes de fidélité du groupe Mulliez" (que vous pouvez lire grâce au mode "lecture" de votre navigateur), écrit en 2019, donne quelques informations :

  • Valiuz touchait déjà 29 millions de foyers français.
  • Il rassemblait donc plus de 150 millions de cartes de fidélité.
  • Ce n'est pas la seule alliance, 3W.RelevanC (Casino) rassemblait 31 millions de consommateurs, l'article mentionne aussi RetailLink de Fnac-Darty.
  • Mediarithmics renvoie les profils utilisateurs vers les Data Management Platforms (DMP) des différents membres de l'alliance, d'autres acteurs actech récupèrent donc vos données personnelles enrichies.
  • Pour l'instant circonscrite à la galaxie Mulliez, l'initiative pourrait s'ouvrir à d'autres groupes dans les mois qui viennent. Notamment sur les verticales où les entités membres de l'AFM ne sont pas présentes, comme les télécoms, par exemple.

Si vous vous rappelez, Valiuz déclarait :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz propose aussi une application de cashback, pour siphonner vos transactions bancaires

Valiuz récupère vos historiques d'achats sur le web et en magasin auprès des membres de l'alliance. Mais pourquoi ne pas récupérer toutes vos transactions bancaires ? Évidemment, si vous êtes un minimum concerné par votre vie privée, vous n'utiliserez pas ce genre d'applications, mais Valiuz propose une application de "cashback" appelé Naomi :

naomi

Cumuler des récompenses automatiquement, intéressant n'est-ce pas ?

À l'inscription, Naomi vous demande les accès à votre compte bancaire :

etape

"Tes informations de connexion bancaire nous permettent simplement d'identifier tes achats pour verser tes gains."

Naomi n'a en effet pas accès aux identifiants bancaires, "seulement" à l'ensemble des transactions bancaires du client :

connecte

Confidentialité et sécurité, pourquoi s'inquiéter ?

La "politique de protection des données personnelles" de l'application Naomi est intéressante. On note que les études statistiques sur vos transactions bancaires se basent sur l'intérêt légitime de Naomi alias Valiuz :

etudes

Toujours la fameuse pseudonymisation, avec maintenant l'ensemble de vos transactions bancaires.

Vu la sensibilité des données récupérées, vous ne serez pas forcément rassuré de lire que Naomi passe par des sous-traitants pour de nombreuses actions :

soustraitants

"études statistiques, segmentation et profilage publicitaire à partir des données", effectué par des sous-traitants dont vous n'avez pas le nom.

Cerise sur le gâteau, Naomi travaille avec les rois du capitalisme de surveillance, Google et Facebook :

capital

Les fameux "pixels", des vecteurs de tracking très efficaces.

Mais les transactions bancaires ne sont pas assez précises, Naomi veut savoir exactement ce que vous avez acheté, et vous propose donc de scanner les tickets de caisse :

caisse

Naomi récupère ainsi le détail des achats: nature du produit, magasins, date, montant.

Notez que, à la différence de Decathlon, la base légale du profilage pour l'alliance Valiuz est le consentement :

bases

Vous avez de la chance, les achats ou paiements sensibles ou qui ne correspondent pas à un achat ne sont pas partagés par Naomi.

Comme le dit si joliment le compte Twitter de Valiuz :

connaitre

Valiuz, mieux vous connaître pour mieux vous parler.

Le capitalisme de surveillance recrute

Convaincu par cet article élogieux, vous décidez d'aller sur la page Valiuz de Welcome to the Jungle et de lire les offres d'emplois. Si vous êtes dans l'opérationnel, vous pourriez être Account Manager Programmatique par exemple :

manager

"Spécialisée dans la mise en place de modèles économiques autour de la data".

Si vous vous sentez l'âme d'un commercial, vous pourriez être Sales Manager - Retail Media :

retail

"Valiuz Media, l’offre retail la plus puissante du marché : 18 enseignes complémentaires, 55 millions de clients encartés, 1,7 milliards de transactions omnicanales, 3 520 magasins en France."

Mais pourquoi travailler chez Valiuz me direz-vous ?

grande

"[...] la plus large base data clients de France" ça fait rêver, non ?

Le mot de la fin, sur la page d'accueil de Valiuz, avec "Nos valeurs" :

commerciale

"Nous ne commercialisons pas vos informations."

27.11.2022 à 16:46

Guerlain (LVMH) : luxe et surveillance

Une surveillance publicitaire toujours plus intrusive

En dépit de la règlementation (RGPD, ePrivacy, CCPA), des protections navigateurs (Firefox, Safari ou Brave), des bloqueurs de publicité sur navigateur (uBlock Origin) ou via service DNS (NextDNS, Adguard ou Pi-hole), la surveillance publicitaire n'a pas diminuée. Elle a muté pour contourner vos protections.

L'accélérateur de cette évolution ? Facebook évidemment, avec ses "signaux résilients", lui permettant de siphonner une large part des données générées par vos activités en ligne et hors-ligne. Le cookie tiers comme vecteur de surveillance étant en voie de disparition (Google Chrome est l'exception), il fallait trouver de nouveaux vecteurs de surveillance, qui ne puissent être simplement réinitialisés par les internautes. Prenant pour inspiration des "champions" de l'adtech tels que Criteo, Facebook incite les annonceurs à lui transmettre votre e-mail, votre nom, votre numéro de téléphone ou votre adresse postale : des "signaux résilients".

Si de nombreux acteurs de l'adtech (Liveramp, Criteo) vous identifient depuis longtemps via votre e-mail, le phénomène est relativement nouveau chez les grandes plateformes publicitaires. L'étude "Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission" illustrait l'étendue des fuites d'e-mail sur le web, vers des acteurs de l'adtech, mais aussi vers Facebook et TikTok.

Comment votre e-mail pourrait-il fuiter vers ces grandes plateformes ? C'est ce que nous allons découvrir avec Guerlain, un des fleurons du luxe à la française, et propriété du groupe LVMH.

Avant même la création de compte Guerlain, le hash de votre e-mail fuite déjà vers Pinterest

Pour ce test, naviguons sur le site Guerlain, avec l'outil Charles Proxy activé, et cliquons exceptionnellement sur "Accepter et fermer" à l'affichage de la bannière de consentement (au crédit de Guerlain, je n'ai pas noté de fuites de hash e-mail si refus) :

banniere

"Améliorer votre expérience et vous proposer des services et des communications adaptés à vos centres d’intérêts", message en apparence inoffensif.

Puis, naviguons sur la page de création de compte Guerlain, et commençons à renseigner le formulaire :

pinterest

Ces données personnelles ne devraient concerner que Guerlain, n'est-ce pas ?

Regardons ce qui se passe sur Charles Proxy lorsque vous renseignez votre e-mail, avant même de confirmer l'e-mail :

charlespinterest

Remarquez une étrange requête vers le réseau social Pinterest.

Le paramètre pd de la requête vers Pinterest contient un autre paramètre em, constitué d'une longue chaine de caractère en apparence indéchiffrable. La documentation de Pinterest pour les annonceurs donne la réponse :

pd: Partner data.

em: hashed email address value.

Guerlain fuite donc un hash de votre adresse e-mail à Pinterest avant même que vous n'ayiez confirmé la création de votre compte ! Ce service s'appelle en fait "Enhanced Match" (la signification de em), j'en avait parlé en mai dernier :

tweetpinterest

Pas de cookies tiers ? Pas de problème !

Mais ne vous inquiétez pas, Pinterest utilise un hash de votre adresse e-mail, et la connexion vers Pinterest est sécurisée, votre vie privée est protégée !

helppinterest

Permettre à des sites web de fuiter votre e-mail, et prétendre le faire pour protéger votre vie privée !

La réalité, c'est que la correspondance entre votre e-mail et son hash circule déjà probablement largement et que des sociétés se font de l'argent dessus.

Comment vérifier vous-même si Guerlain fuite un hash de votre e-mail à Pinterest ? Renseignez votre e-mail sur ce site, en sélectionnant la bonne fonction de hachage (souvent SHA256) :

sha256

Bienvenue dans la matrice.

Bingo, la valeur chiffrée 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c correspond au champs em envoyé à Pinterest.

Notez que lorsque l'annonceur envoie directement des données clients à Pinterest, celui-ci n'est pas si regardant sur l'e-mail :

email: We support both hashed (SHA256, SHA1, MD5) and cleartext customer data fields.

Confirmez la création du compte, et dites adieu à vos données personnelles

Je finis maintenant de remplir le formulaire, et je clique sur 'Confirmer'. Les fuites de données personnelles y sont massives :

list

Notons déjà l'usage illicite de Google Analytics (si Guerlain souhaitait continuer à utiliser Google Analytics, il lui faudrait suivre ces recommandations de la CNIL).

En zoomant sur les paramètres envoyés à Google Analytics, on note le même hash de votre e-mail (SHA256), envoyé via le paramètre cd11 (une dimension 'custom', que Guerlain a donc pris la liberté de créer spécialement pour l'occasion). Il se trouve que la pratique est interdite par Google Analytics (si seulement Google appliquait son règlement) :

Pour protéger la confidentialité des utilisateurs, les règles Google interdisent l'envoi de données que nous pourrions utiliser comme des informations permettant d'identifier personnellement l'utilisateur ou considérer comme telles.

Vous pourriez argumenter : il s'agit d'un hash de mon e-mail, pas de mon e-mail en clair (comme si Google ne connaissait pas déjà votre e-mail et donc son hash). Sauf que Google a pris soin d'interdire également l'envoi de hash à Google Analytics :

gahash

Guerlain viole les règles de Google Analytics pour mieux vous surveiller, au calme.

Avec Guerlain, la surveillance est américaine mais elle est aussi chinoise puisque le même hash de votre e-mail fuite vers TikTok (la télécommande magique de Xi Jinping) :

tiktok

TikTok est plus transparent, la variable s'appelle email.

Cette fuite est permise grâce à la fonctionnalité "Advanced Matching" de TikTok :

tweettiktok

Bien sur, côté vie privée tout est étudié, fingerprinting si pas de match :

safe

"Privacy Safe", par TikTok.

Le hachage SHA256, où la baguette magique de la protection de la vie privée :

tiktokhash

TikTok n'est pas capable d'identifier les clients qui ne sont pas utilisateurs de TikTok, sauf que TikTok aspire les carnets d'adresses de ses utilisateurs...

Et pour les annonceurs feignants, TikTok propose l'option "Automatic Advanced Matching", ce qui lui permet de scanner tout seul les différents champs des formulaires, afin d'y récupérer par exemple votre e-mail et votre numéro de téléphone :

tiktok

Réjouissez-vous les annonceurs, le spyware TikTok peut automatiquement récupérer les données personnelles de vos clients !

Notez que là encore, TikTok n'a rien inventé, il s'est contenté de copier Facebook.

Consultez une nouvelle page, votre e-mail fuite vers Facebook

Il était étonnant de ne pas voir Guerlain fuiter votre e-mail vers Facebook. Si vous consultez une page supplémentaire, vous verrez l'appel vers Facebook contenir une variable udff[em], celle-ci contenant le hash SHA256 de votre e-mail :

fbguerlain

em, le petit mot pour votre e-mail.

La correspondance avancée permet aux annonceurs de fuiter une large palette de données personnelles :

advancedfb

Ne vous inquiétez pas, Facebook saura vous retrouver.

Facebook Advanced Matching est loin d'être le seul outil Facebook mis à la disposition des annonceurs pour vous surveiller, vous en trouverez d'autres sur ce fil :

fbtweet

Pinterest, Google, TikTok et Facebook récupèrent l'intégralité de votre surf sur le site Guerlain, associé à un identifiant persistant (votre e-mail), mais celui-ci n'est pas une exception dans la galaxie LVMH, regardons par exemple Givenchy.

Création de compte Givenchy et fuites de données personnelles

Si vous créez un compte Givenchy, vous noterez également des fuites basées sur votre e-mail (hash SHA256 toujours), maintenant vers Snapchat via la variable u_hems :

snap

Un réseau social américain de plus, pourquoi se priver ?

Snapchat facilite aussi la vie des annonceurs, comme vous pourrez le lire sur ce thread :

snaptweet

Création de compte Givenchy Beauty et fuites de données personnelles

À peine ai-je démarré la création de compte Givenchy Beauty (différent de Givenchy), que je vois des requêtes étranges passer via Charles Proxy :

yan

La variable browser-info est très détaillée, combinée à votre adresse IP, elle permet à Yandex d'avoir un fingerprinting d'une grande finesse. La variable pointer-click récupère la localisation en pixel de tous vos clicks. Alors, heureux de voir votre comportement fuiter vers la Russie ?

Mais ce n'est pas terminé, la société française ContentSquare semble récupérer beaucoup d'informations sur ce que vous tapez (keylogger ?!) :

square

Every move you make, every step you take, I'll be watching you.

Après avoir renseigné prénom et nom, cliquez sur 'Continuer' :

step1

Vérifiez sur Charles les requêtes envoyés, le hash de votre prénom (udff[fn]) et de votre nom (udff[ln]) fuitent déjà vers Facebook :

namefb

À l'étape suivante, lorsque vous renseignez votre e-mail, le hash celui-ci (udff[em]) fuite en direct vers Facebook (sans même cliquer sur 'Continuer') :

emailfb

Notez les fuites vers Google Analytics et Doubleclick, tandis que ContentSquare continue de récupérer des informations pendant que vous créez votre mot de passe...

Notez que je n'ai testé que 3 sites du groupe LVMH, au hasard. Il est probable que cette surveillance des grandes plateformes publicitaires via des données persistantes telles que votre e-mail soit généralisée chez LVMH.

Toutes les grandes plateformes publicitaires ont un service de "Matching"

Nous avons pu constater l'utilisation du service de matching de Facebook, TikTok, Pinterest ou Snapchat par des sites du groupe LVMH. Évidemment, au delà de son service Google Analytics, Google n'est pas en reste :

googtweet

Le dernier jouet d'Elon Musk, Twitter, propose également son service de "matching" :

tweetparam

Les sites du groupe LVMH sont loin d'être une exception comme le témoigne l'étude Leaky Forms. Un grand nombre d'annonceurs s'appuient déjà sur ces méthodes invasives, et avec la prochaine disparition des cookies tiers sur Chrome (si Google le veut bien), ce mode de tracking devient le standard.

Comment se protéger

À défaut de sanctionner ce genre de pratiques (bonjour la CNIL), vous devrez vous protéger individuellement. Les adblocks étant inefficaces (à moins de bloquer tous les appels vers Google et vers les réseaux sociaux), les protections navigateurs étant inefficaces (tracking basé sur une donnée persistante, pas sur des cookies), une option est de passer par un alias d'e-mail différent pour chaque service que vous utilisez. Je connais ces 4 services mais vous pourrez sans doute en trouver d'autres sur le net :

Notez qu'il y a des limites : les alias e-mail ne vous protégeront pas lorsque Facebook (ou autres) effectuera le "matching" via votre numéro de téléphone, votre prénom et votre nom, ou bien votre adresse postale.

Texte intégral (3056 mots)

Une surveillance publicitaire toujours plus intrusive

En dépit de la règlementation (RGPD, ePrivacy, CCPA), des protections navigateurs (Firefox, Safari ou Brave), des bloqueurs de publicité sur navigateur (uBlock Origin) ou via service DNS (NextDNS, Adguard ou Pi-hole), la surveillance publicitaire n'a pas diminuée. Elle a muté pour contourner vos protections.

L'accélérateur de cette évolution ? Facebook évidemment, avec ses "signaux résilients", lui permettant de siphonner une large part des données générées par vos activités en ligne et hors-ligne. Le cookie tiers comme vecteur de surveillance étant en voie de disparition (Google Chrome est l'exception), il fallait trouver de nouveaux vecteurs de surveillance, qui ne puissent être simplement réinitialisés par les internautes. Prenant pour inspiration des "champions" de l'adtech tels que Criteo, Facebook incite les annonceurs à lui transmettre votre e-mail, votre nom, votre numéro de téléphone ou votre adresse postale : des "signaux résilients".

Si de nombreux acteurs de l'adtech (Liveramp, Criteo) vous identifient depuis longtemps via votre e-mail, le phénomène est relativement nouveau chez les grandes plateformes publicitaires. L'étude "Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission" illustrait l'étendue des fuites d'e-mail sur le web, vers des acteurs de l'adtech, mais aussi vers Facebook et TikTok.

Comment votre e-mail pourrait-il fuiter vers ces grandes plateformes ? C'est ce que nous allons découvrir avec Guerlain, un des fleurons du luxe à la française, et propriété du groupe LVMH.

Avant même la création de compte Guerlain, le hash de votre e-mail fuite déjà vers Pinterest

Pour ce test, naviguons sur le site Guerlain, avec l'outil Charles Proxy activé, et cliquons exceptionnellement sur "Accepter et fermer" à l'affichage de la bannière de consentement (au crédit de Guerlain, je n'ai pas noté de fuites de hash e-mail si refus) :

banniere

"Améliorer votre expérience et vous proposer des services et des communications adaptés à vos centres d’intérêts", message en apparence inoffensif.

Puis, naviguons sur la page de création de compte Guerlain, et commençons à renseigner le formulaire :

pinterest

Ces données personnelles ne devraient concerner que Guerlain, n'est-ce pas ?

Regardons ce qui se passe sur Charles Proxy lorsque vous renseignez votre e-mail, avant même de confirmer l'e-mail :

charlespinterest

Remarquez une étrange requête vers le réseau social Pinterest.

Le paramètre pd de la requête vers Pinterest contient un autre paramètre em, constitué d'une longue chaine de caractère en apparence indéchiffrable. La documentation de Pinterest pour les annonceurs donne la réponse :

pd: Partner data.

em: hashed email address value.

Guerlain fuite donc un hash de votre adresse e-mail à Pinterest avant même que vous n'ayiez confirmé la création de votre compte ! Ce service s'appelle en fait "Enhanced Match" (la signification de em), j'en avait parlé en mai dernier :

tweetpinterest

Pas de cookies tiers ? Pas de problème !

Mais ne vous inquiétez pas, Pinterest utilise un hash de votre adresse e-mail, et la connexion vers Pinterest est sécurisée, votre vie privée est protégée !

helppinterest

Permettre à des sites web de fuiter votre e-mail, et prétendre le faire pour protéger votre vie privée !

La réalité, c'est que la correspondance entre votre e-mail et son hash circule déjà probablement largement et que des sociétés se font de l'argent dessus.

Comment vérifier vous-même si Guerlain fuite un hash de votre e-mail à Pinterest ? Renseignez votre e-mail sur ce site, en sélectionnant la bonne fonction de hachage (souvent SHA256) :

sha256

Bienvenue dans la matrice.

Bingo, la valeur chiffrée 14d0247dc47a564d9fd70f7e895915e8daa5c8a455549f2b559d5a42cbf0653c correspond au champs em envoyé à Pinterest.

Notez que lorsque l'annonceur envoie directement des données clients à Pinterest, celui-ci n'est pas si regardant sur l'e-mail :

email: We support both hashed (SHA256, SHA1, MD5) and cleartext customer data fields.

Confirmez la création du compte, et dites adieu à vos données personnelles

Je finis maintenant de remplir le formulaire, et je clique sur 'Confirmer'. Les fuites de données personnelles y sont massives :

list

Notons déjà l'usage illicite de Google Analytics (si Guerlain souhaitait continuer à utiliser Google Analytics, il lui faudrait suivre ces recommandations de la CNIL).

En zoomant sur les paramètres envoyés à Google Analytics, on note le même hash de votre e-mail (SHA256), envoyé via le paramètre cd11 (une dimension 'custom', que Guerlain a donc pris la liberté de créer spécialement pour l'occasion). Il se trouve que la pratique est interdite par Google Analytics (si seulement Google appliquait son règlement) :

Pour protéger la confidentialité des utilisateurs, les règles Google interdisent l'envoi de données que nous pourrions utiliser comme des informations permettant d'identifier personnellement l'utilisateur ou considérer comme telles.

Vous pourriez argumenter : il s'agit d'un hash de mon e-mail, pas de mon e-mail en clair (comme si Google ne connaissait pas déjà votre e-mail et donc son hash). Sauf que Google a pris soin d'interdire également l'envoi de hash à Google Analytics :

gahash

Guerlain viole les règles de Google Analytics pour mieux vous surveiller, au calme.

Avec Guerlain, la surveillance est américaine mais elle est aussi chinoise puisque le même hash de votre e-mail fuite vers TikTok (la télécommande magique de Xi Jinping) :

tiktok

TikTok est plus transparent, la variable s'appelle email.

Cette fuite est permise grâce à la fonctionnalité "Advanced Matching" de TikTok :

tweettiktok

Bien sur, côté vie privée tout est étudié, fingerprinting si pas de match :

safe

"Privacy Safe", par TikTok.

Le hachage SHA256, où la baguette magique de la protection de la vie privée :

tiktokhash

TikTok n'est pas capable d'identifier les clients qui ne sont pas utilisateurs de TikTok, sauf que TikTok aspire les carnets d'adresses de ses utilisateurs...

Et pour les annonceurs feignants, TikTok propose l'option "Automatic Advanced Matching", ce qui lui permet de scanner tout seul les différents champs des formulaires, afin d'y récupérer par exemple votre e-mail et votre numéro de téléphone :

tiktok

Réjouissez-vous les annonceurs, le spyware TikTok peut automatiquement récupérer les données personnelles de vos clients !

Notez que là encore, TikTok n'a rien inventé, il s'est contenté de copier Facebook.

Consultez une nouvelle page, votre e-mail fuite vers Facebook

Il était étonnant de ne pas voir Guerlain fuiter votre e-mail vers Facebook. Si vous consultez une page supplémentaire, vous verrez l'appel vers Facebook contenir une variable udff[em], celle-ci contenant le hash SHA256 de votre e-mail :

fbguerlain

em, le petit mot pour votre e-mail.

La correspondance avancée permet aux annonceurs de fuiter une large palette de données personnelles :

advancedfb

Ne vous inquiétez pas, Facebook saura vous retrouver.

Facebook Advanced Matching est loin d'être le seul outil Facebook mis à la disposition des annonceurs pour vous surveiller, vous en trouverez d'autres sur ce fil :

fbtweet

Pinterest, Google, TikTok et Facebook récupèrent l'intégralité de votre surf sur le site Guerlain, associé à un identifiant persistant (votre e-mail), mais celui-ci n'est pas une exception dans la galaxie LVMH, regardons par exemple Givenchy.

Création de compte Givenchy et fuites de données personnelles

Si vous créez un compte Givenchy, vous noterez également des fuites basées sur votre e-mail (hash SHA256 toujours), maintenant vers Snapchat via la variable u_hems :

snap

Un réseau social américain de plus, pourquoi se priver ?

Snapchat facilite aussi la vie des annonceurs, comme vous pourrez le lire sur ce thread :

snaptweet

Création de compte Givenchy Beauty et fuites de données personnelles

À peine ai-je démarré la création de compte Givenchy Beauty (différent de Givenchy), que je vois des requêtes étranges passer via Charles Proxy :

yan

La variable browser-info est très détaillée, combinée à votre adresse IP, elle permet à Yandex d'avoir un fingerprinting d'une grande finesse. La variable pointer-click récupère la localisation en pixel de tous vos clicks. Alors, heureux de voir votre comportement fuiter vers la Russie ?

Mais ce n'est pas terminé, la société française ContentSquare semble récupérer beaucoup d'informations sur ce que vous tapez (keylogger ?!) :

square

Every move you make, every step you take, I'll be watching you.

Après avoir renseigné prénom et nom, cliquez sur 'Continuer' :

step1

Vérifiez sur Charles les requêtes envoyés, le hash de votre prénom (udff[fn]) et de votre nom (udff[ln]) fuitent déjà vers Facebook :

namefb

À l'étape suivante, lorsque vous renseignez votre e-mail, le hash celui-ci (udff[em]) fuite en direct vers Facebook (sans même cliquer sur 'Continuer') :

emailfb

Notez les fuites vers Google Analytics et Doubleclick, tandis que ContentSquare continue de récupérer des informations pendant que vous créez votre mot de passe...

Notez que je n'ai testé que 3 sites du groupe LVMH, au hasard. Il est probable que cette surveillance des grandes plateformes publicitaires via des données persistantes telles que votre e-mail soit généralisée chez LVMH.

Toutes les grandes plateformes publicitaires ont un service de "Matching"

Nous avons pu constater l'utilisation du service de matching de Facebook, TikTok, Pinterest ou Snapchat par des sites du groupe LVMH. Évidemment, au delà de son service Google Analytics, Google n'est pas en reste :

googtweet

Le dernier jouet d'Elon Musk, Twitter, propose également son service de "matching" :

tweetparam

Les sites du groupe LVMH sont loin d'être une exception comme le témoigne l'étude Leaky Forms. Un grand nombre d'annonceurs s'appuient déjà sur ces méthodes invasives, et avec la prochaine disparition des cookies tiers sur Chrome (si Google le veut bien), ce mode de tracking devient le standard.

Comment se protéger

À défaut de sanctionner ce genre de pratiques (bonjour la CNIL), vous devrez vous protéger individuellement. Les adblocks étant inefficaces (à moins de bloquer tous les appels vers Google et vers les réseaux sociaux), les protections navigateurs étant inefficaces (tracking basé sur une donnée persistante, pas sur des cookies), une option est de passer par un alias d'e-mail différent pour chaque service que vous utilisez. Je connais ces 4 services mais vous pourrez sans doute en trouver d'autres sur le net :

Notez qu'il y a des limites : les alias e-mail ne vous protégeront pas lorsque Facebook (ou autres) effectuera le "matching" via votre numéro de téléphone, votre prénom et votre nom, ou bien votre adresse postale.

08.05.2022 à 15:44

De la légalité des bannières de consentement IAB

À l'origine de cet article

Début février, les CNILs Européennes, emmenées par l'APD (la CNIL Belge), ont jugé que les bannières de consentement estampillées IAB étaient illégales. Pour rappel, l'IAB (International Advertising Bureau) est le lobby de l'adtech, et 80% des sites web Européens utilisent le protocole proposé par l'IAB Europe (le "Transparency & Consent Framework" ou TCF) pour faire fonctionner ces fameuses bannières de consentement.

J'avais déjà pu écrire sur ces bannières de consentement et leurs simulacres de légalité :

Même la directrice de la CNIL anglaise ne semble plus les supporter :

“I often hear people say they are tired of having to engage with so many cookie pop-ups. That fatigue is leading to people giving more personal data than they would like.

“The cookie mechanism is also far from ideal for businesses and other organisations running websites, as it is costly and it can lead to poor user experience. While I expect businesses to comply with current laws, my office is encouraging international collaboration to bring practical solutions in this area.

Pourtant, ces "bannières cookies" sont bien la création d'un lobbying intense de l'adtech, afin d'éviter la création un mécanisme de contrôle "Opt-In" au niveau du navigateur. La fatigue au consentement était prévue et voulue par l'adtech. Et la CNIL anglaise est complice de ce fiasco, comme le raconte Alexander Hanff dans l'article "The truth behind cookie banners".

Avec la décision de l'APD, est-ce la fin des bannières honnies ? Pas forcément, l'IAB Europe, ayant fait appel de la décision de l'APD. Pour rappel, voici un schéma représentant les différentes fuites de données personnelles :

brave

Via Johnny Ryan, du temps où il travaillait chez Brave. Rendre le RTB (et le TCF de l'IAB) compatible avec le RGPD, mission impossible ?

Aussi depuis l'été dernier, j'ai une longue correspondance par e-mail avec Benoit Oberlé, CEO et cofondateur de Sirdata, trésorier de l'IAB France et Vice-Président du comité de pilotage du "Transparency & Consent Framework". Sirdata est une société intéressante à plusieurs titres : elle propose une CMP (Consent Management Platform) aux éditeurs, en version gratuite ou payante. C'est aussi un fournisseur de données contextuelles et comportementales.

Les éditeurs qui acceptent de partager la donnée personnelle des internautes ne paient d'ailleurs pas la CMP Sirdata :

offre

Une CMP pouvant être "financée par la donnée".

Si nous avons des désaccords, Benoit a toujours pris le temps de répondre à mes questions et d'expliciter les choix de Sirdata, et à ce titre, je le remercie vivement. De nos échanges, je souhaitais écrire un article pour illustrer les choix d'une CMP utilisant le protocole de l'IAB, et la CMP Sirdata était le parfait exemple.

Sirdata sur Psychologies.com

Pour étudier la CMP Sirdata, allons sur le site Psychologies.com avec le navigateur Chrome. Nous sommes accueillis par une bannière de consentement en apparence assez classique :

arrivee

À votre avis, sur quel bouton l'internaute pressé va-t-il cliquer ?

Vous noterez la mise en valeur de l'option "Tout accepter et continuer", à la différence des options "Paramétrer vos choix" et surtout "continuer sans accepter". Il s'agit d'un "Dark Pattern" adopté par de nombreux sites web français, ayant reçu la bénédiction de la CNIL.

Si vous ne prenez pas le temps de lire le texte de la bannière de consentement, vous pourriez néanmoins rater 2 informations cruciales :

  • Certaines sociétés de l'adtech ne se basent pas sur votre consentement mais sur l'intérêt légitime pour traiter vos données personnelles.
  • Vos choix ne s'appliquent pas seulement sur Psychologies.com mais également sur quelques 4000 autres sites web.

L'intérêt légitime comme base légale de traitements

Voici un extrait de la bannière de consentement proposé par Sirdata :

Vous pouvez [...] faire un choix plus granulaire ou vous opposer aux traitements basés sur des intérêts légitimes via l'écran de paramétrage.

Traduction : Si vous cliquez simplement sur "Continuer sans accepter", certaines sociétés adtech continueront de se baser sur l'intérêt légitime pour traiter vos données personnelles. Pour vous opposer à ces traitements basés sur des intérêts légitimes, vous devrez aller sur l'écran de paramétrage (option "Paramétrer vos choix").

Revenez donc sur la bannière de consentement pour vérifier vos choix après avoir cliqué sur "Continuer sans accepter". Pour cela, il vous faut scroller jusqu'au pied de page du site Psychologies.com, ne pas cliquer sur "Données personnelles & Cookies" mais sur "Consentement" (le lien ne paraît pas cliquable, pourtant il l'est) :

consentement

Le lien caché, pourtant "il doit être aussi simple de retirer son consentement que de le donner".

Notez l'apparition du bouton "Tout refuser et continuer" :

retour

Puis, afin de vérifier l'effet de votre choix précédent ("Continuer sans accepter"), cliquez sur "Paramétrez vos choix". Vous verrez que les différents traitements publicitaires ne sont pas décochés, comme si vous n'aviez pas déjà choisi :

coche

"Continuer sans accepter" ne veut donc pas dire "refuser", pourquoi ?

Suivez ensuite ces étapes :

  • Développez l'option "Publicité personnalisée".
  • Développez l'option "Créer un profil personnalisé de publicités".
  • Notez que l'option "Pour cette activité, les partenaires suivants se reposent sur leur intérêt légitime", est pré-cochée. Développez l'option.

Vous verrez apparaître le partenaire "Sirdata Cookieless" :

cookieless

"Sirdata Cookieless" apparait comme "non refusé". Vous devez donc vous opposer à l'intérêt légitime pour refuser ce traitement.

Cette option accessible via la CMP Sirdata permet au fournisseur de données comportementales Sirdata de constituer des profils publicitaires même si l'internaute n'a pas donné son consentement.

D'ailleurs, si vous décidiez de développer l'option "Pour cette activité, les partenaires suivants demandent votre consentement", vous verriez apparaitre le partenaire "Sirdata" avec la mention "non accepté" :

consent

"Sirdata" apparait comme "non accepté". Sirdata ne peut pas se baser sur votre consentement pour créer un profil personnalisé de publicité.

Sirdata joue ainsi sur 2 tableaux pour ses traitements publicitaires (dont la création de profil personnalisé de publicité) :

  • Le partenaire "Sirdata" se base sur votre consentement si vous cliquez sur "Tout accepter et continuer".
  • Le partenaire "Sirdata Cookieless" se base sur son intérêt légitime si vous cliquez sur "Continuer sans accepter".

Avec consentement, Sirdata utilise des cookies et peut partager des identifiants et des segments d'audience avec les partenaires publicitaires. Sans consentement et sur la base d'un intérêt légitime, Sirdata se place en amont de la plateforme de vente (adserveur ou SSP) pour qu'elle puisse vendre des campagnes publicitaires ciblées avec de la donnée Sirdata lorsque l'utilisateur appartient au(x) bon(s) segment(s) d'audience.

Avec son offre "Cookieless", Sirdata continue de vous profiler et d'exploiter votre profil pour de la publicité personnalisée, mais le partage d'informations avec des tiers est plus limité. L'offre Sirdata est résumée ici :

averee

Si vous cliquez sur "tout refuser", Sirdata propose de la publicité contextuelle. Au global, Sirdata juge son offre "respectueuse de la vie privée".

Afin de refuser la constitution d'un profil personnalisé de publicité Sirdata (et plus généralement, les différents traitements publicitaires des sociétés de l'adtech), il vous faudra donc lors de votre premier surf :

  • Cliquez sur "Paramétrer vos choix" sur la bannière de consentement.
  • Puis cliquez sur "tout refuser".

Notez qu'une option "Tout refuser et continuer" est disponible en premier niveau, mais seulement lorsque vous désirez revenir sur vos choix (si vous trouvez la fameuse option "Confidentialité" en pied de page de Psychologies.com) :

footer

Une option que l'on aurait bien aimé voir sur la bannière de consentement initiale.

Ne refuser que la "Publicité personnalisée" n'est pas évident, un simple clic sur l'option vaudra consentement à la "Publicité personnalisée", mais aussi à la "Publicité standard" :

accept

Un joli "Dark Pattern" repéré par @fourmeux, il vous faudra maintenant décocher les 2 options.

La publicité ciblée sans consentement basée sur l'adresse IP, une manière d'éviter la directive ePrivacy ?

Sirdata, le fournisseur de données comportementales, s'estime conforme aux réglementations européennes, ePrivacy (directive cookies) et RGPD. Quel argumentaire déploie-t-il ?

Tout d'abord, Sirdata estime que la directive ePrivacy ne s'applique pas à son offre "Cookieless" (ou "Consentless"). Son raisonnement : ePrivacy s'applique au stockage d'informations sur le terminal de l'utilisateur ou à l'accès à des informations déjà stockées sur celui-ci. Mais pour identifier les utilisateurs sans consentement, Sirdata se base uniquement sur l'adresse IP, et celle-ci n'est pas stockée sur le terminal de l'utilisateur.

IP

Sirdata est peu explicite sur le fait que son offre "Cookieless" se sert de l'adresse IP de l'utilisateur. Mais il détaille les traitements supplémentaires effectués sur l'adresse IP sur sa page "Politique de protection des données personnelles et de la vie privée" rubrique "Lexique".

Sirdata considère qu'il applique un fingerprinting "passif" et non "actif". Le fingerprinting "passif" serait uniquement constitué de l'adresse IP, il n'implique pas d'accès au terminal. Le fingerprinting "actif" serait constitué des caractéristiques du terminal telles que le user-agent, les polices installées ou la taille écran.

adresse

Le ciblage via l'adresse IP, le dernier outil des publicitaires pour vous cibler sans consentement ?

Cette distinction entre fingerprinting "passif" (pour lequel ePrivacy ne s'appliquerait pas) et "actif" (pour lequel ePrivacy s'appliquerait) est discutable. Dans l'article 7.2 de l'Avis 9/2014 sur l’application de la directive 2002/58/CE à la capture d’empreintes numériques, du groupe de travail «Article 29» sur la protection des données, la nécessité du consentement pour de la publicité ciblée est clairement énoncée :

La capture d’empreintes numériques à des fins de publicité ciblée exige donc le consentement de l’utilisateur.

Sirdata maintient sa position : pas d'accès au terminal donc ePrivacy ne s'applique pas. Son offre ne rentre pas dans la définition de l'Avis 9/2014, qui n'est d'ailleurs pas une obligation légale.

Concernant le RGPD maintenant, comme Sirdata traite l'adresse IP de l'utilisateur, et que celle-ci est une donnée personnelle, il se doit d'avoir une base légale pour chacun de ses traitements publicitaires. Lorsque l'utilisateur n'a pas donné son consentement, il se base ainsi sur l'intérêt légitime.

À noter que Sirdata a confiance dans cet argumentaire, il le réutilise ainsi dans ses vidéos promotionnelles, exemple avec "le reciblage sans consentement" :

party

Sans consentement, la fête est plus folle pour l'adtech !

Sirdata propose également un produit pour rendre conforme les transferts vers Google Analytics aux USA, l'"Analytics Helper". Pour rappel, la CNIL Autrichienne et Française ont jugé les transferts de données vers Google Analytics aux USA illégaux.

Sirdata prend des précautions pour empêcher les services de renseignements US d'identifier un utilisateur via une demande à Google (anonymisation de l'IP avant envoi à Google, pseudonymisation du Client ID au niveau du proxy Sirdata). Intéressant dans le cadre de cet article, le "modèle légal de tracking" pour cet "Analytics Helper" est similaire au modèle de la CMP Sirdata :

  • Si consentement, tracking habituel Google Analytics via cookies.
  • Si absence de consentement, tracking Google Analytics via un fingerprint généré par Sirdata et "uniquement" basé sur votre adresse IP, avec pour base légale l'intérêt légitime.
  • Si absence de consentement et opposition à l'intérêt légitime, pas de tracking Google Analytics.

Le Sirdata Helper est un produit ingénieux, mais sera-t-il suffisant pour rendre les transferts de données vers Google Analytics aux USA conformes ? La question reste ouverte comme je le détaille sur ce thread.

L'intérêt légitime pour de la publicité ciblée

Il paraît compliqué pour Sirdata fournisseur de données comportementales de se baser sur l'intérêt légitime pour de la publicité ciblée. Et notamment concernant le critère de mise en balance : la question est de savoir si les intérêts poursuivis par les fournisseurs adtech l'emportent sur les libertés et droits fondamentaux des personnes concernées.

L'APD mentionne notamment l'avis 03/2013 du Groupe de travail Article 29, l'ancien nom de l'EDPB (« European Data Protection Board »), pré-RGPD :

En outre, l'EDPB indique que l'intérêt légitime ne constitue pas une base juridique suffisante dans le contexte du marketing direct mettant en œuvre de la publicité comportementale [...] (460)

Groupe de travail Article 29 - Avis 03/2013 sur la limitation de la finalité (WP 203), 2 avril 2013 : « le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi ».

Pour plus de détails, vous pourrez également lire la plainte de La Quadrature du Net contre Amazon pour violation du RGPD, à savoir pour l'absence de base légale concernant la publicité ciblée.

Après le consentement et le contrat, La Quadrature du Net étudie de manière impitoyable l'intérêt légitime comme base légale potentielle (points 36 à 50). Pour l'association de défense et de promotion des droits et libertés sur Internet, cette base légale ne peut fonctionner pour de la publicité ciblée (62). La CNIL Luxembourgeoise a validé son analyse, avec une amende record de 746 millions € contre Amazon.

gafam

La Quadrature du Net contre les GAFAM, malheureusement la CNIL est aux abonnés absents.

Quelques extraits de la plainte de La Quadrature :

C’est la voie que prend le G29 dans l’annexe II de son avis 03/2013, sur le Big Data et l’Open Data : « un consentement préalable libre, spécifique, informé et indubitable devrait presque toujours être requis » dès lors qu’une « organisation souhaite spécifiquement analyser ou prédire les préférences personnelles, le comportement et les attitudes de clients individuels, qui serviront ensuite à guider des “mesures ou décisions” prises à l’égard de ces clients ». (47)

Il donne comme exemple de telles « mesures et décisions » la diffusion « de réductions personnalisées, d’offres spéciales et de publicités ciblées à partir du profil du client ». (49)

Le G29 conclut clairement que le « consentement devrait surtout être requis, par exemple, pour le traçage et le profilage à des fins de prospection directe, de publicité comportementale, de courtage en informations, de publicités fondées sur la localisation ou d’étude de marché numérique fondée sur le traçage ». (50)

Avec Benoit, nous avons donc posé la question de l'intérêt légitime pour de la publicité ciblée à la CNIL l'été dernier (2021), sans réponse.

Vos choix s'appliquent sur une coopérative de 4000 sites

Voici un autre extrait de la bannière de consentement proposé par Sirdata (sur Chrome à minima, car sur Safari, du fait du blocage des cookies tiers, la coopérative de sites est désactivée) :

Vos choix s'appliqueront sur ces sites et dans leurs emails pendant 6 mois, et nous ne vous solliciterons plus avant demain.

Lorsque vous cliquez sur "sites", vous atterrissez sur une nouvelle page d'information, directement sur le site Sirdata. Il vous faut encore cliquer sur "Cliquez ici" en bas de page pour découvrir les sites de la coopérative Sirdata :

framework

Vous retrouverez alors l'ensemble des sites de la coopérative Sirdata, 130 pages paginées, sans option d'export :

liste

Ces sites ont fait le choix de participer à la coopérative de consentement Sirdata (qu'ils utilisent la CMP Sirdata en version gratuite ou payante d'ailleurs).

Alors, est-ce légal ? Selon Sirdata, oui car l'internaute reçoit de l'information en premier niveau. Libre à lui de creuser, et d'aller consulter la liste complète des sites web. Sirdata s'appuie aussi sur cette FAQ de la CNIL :

faq

Il est néanmoins probable que la CNIL n'avait pas prévu ce cas-là, la question 21 faisant probablement référence aux responsables de traitement du site web consulté par l'utilisateur (les partenaires publicitaires), et non à d'autres sites web que l'utilisateur ne consulte pas. Sirdata argumente que ce choix est bénéfique à l'utilisateur en ce sens qu'il réduit la fatigue des bannières de consentement. Encore faut-il que ce choix soit éclairé.

Avec Benoit, nous avons également posé la question de la légalité de ce "choix groupé" à la CNIL l'été dernier (2021), sans réponse.

La coopérative Sirdata, une CMP sous contraintes

La participation d'un site web à la coopérative Sirdata impose certaines contraintes aux bannières de consentement :

  • Pour les utilisateurs situés sur le territoire français, Sirdata impose le fameux "Dark Pattern" validé par la CNIL.
  • Lorsque l'utilisateur revient sur ses choix, un bouton "Tout refuser et continuer" est disponible.
  • L'option "Tout refuser" n'est par contre pas disponible sur la bannière de consentement initiale.
  • Le nombre de partenaires publicitaires ne peut dépasser 200 (il y a plus de 1000 sociétés publicitaires dans le TCF, sans compter les partenaires publicitaires qui ne font pas partie de TCF et que Google décide d'intégrer via son "Mode Consentement supplémentaire").

S'il n'est pas sur Safari, les choix de l'utilisateur sont donc appliqués à l'ensemble des sites de la coopérative Sirdata. À noter qu'à la différence de certains de ses concurrents, afficher un mécanisme de "refus" au premier niveau ("Continuer sans accepter" ou "Tout refuser") est systématique si l'utilisateur est basé en France. Ceci est valable pour tous les clients Sirdata, payant ou non et adhérant ou non à la coopérative.

Sirdata évite ainsi les interfaces "non conformes", sans bouton "Refuser" ou "Continuer sans accepter".

Sirdata et l'illégalité du TCF

Dans sa communication, Sirdata indique que les éditeurs faisant partie de sa coopérative ne sont pas concernés par la décision de l'APD. Pour les éditeurs qui payent la CMP de Sirdata, il suffirait de ne pas activer l'ensemble des partenaires publicitaires pour ne pas être concerné par la décision. Voici le message de Sirdata à ses clients :

De manière générale, les éditeurs ayant suivi nos conseils ne sont pas en situation de risque en raison de ce jugement et n’ont pas de données à supprimer, pas plus que leurs partenaires, ni l’obligation de “poper” à nouveau pour recueillir un nouveau consentement.

Reprenons quelques éléments de la décision de l'APD. Tout d'abord, l'APD considère que la chaîne de caractères permettant le stockage et la transmission des préférences de l'utilisateur (TC String) est une donnée personnelle. Elle est en effet associée à l'adresse IP de l'utilisateur (à laquelle les CMP ont accès), cette chaîne de caractères détermine également les futurs traitements publicitaires de multiples sociétés adtech. Sirdata l'explique très bien :

L’APD confirme donc que le choix — la TC String — en lui-même ne permet pas d'identifier directement des personnes ou des dispositifs mais que, dès lors que le choix est stocké sur le dispositif de l'utilisateur, une CMP a la possibilité d’attribuer un identifiant unique à cette TC String, c'est-à-dire l'adresse IP du dispositif sur lequel il est stocké. La possibilité de combiner la TC String et l'adresse IP implique selon elle qu'il s'agit d'informations concernant un utilisateur identifiable.

L'APD distingue ainsi 2 types de traitements :

  • La capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (via la chaîne de caractères TC String).
  • La capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

En ce qui concerne la licéité et la loyauté du traitement, la Chambre Contentieuse distingue deux activités de traitement : d'une part, la saisie proprement dite du signal de consentement, des objections et des préférences des utilisateurs dans la TC String par les CMP (a), et, d'autre part, la collecte et la diffusion des données à caractère personnel des utilisateurs par les organisations participantes (b). (403)

Autre point important, l'APD considère que les CMP sont bien co-responsables de traitements, pour ces 2 types de traitements :

Cela amène la Chambre Contentieuse à conclure que la défenderesse ainsi que les CMP, les publishers et les fournisseurs adtech participants doivent être considérés comme des responsables conjoints du traitement pour ce qui concerne la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, ainsi que pour le traitement ultérieur de leurs données à caractère personnel. (402)

Sur la CMP Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Démarrons par une clarification de Benoit :

Quand Sirdata agit en tant que CMP, elle capture la TC String et l'envoie vers sa base de données de stockage de la preuve du consentement et de sa validité. Elle ne l'envoie à personne d'autre, et seuls ces traitements s'appuient sur l'obligation légale. La CMP ne transmet pas la string à des Vendors Tiers : les Vendors peuvent y accéder de manière active via une API exposée sur la page mais la CMP de la "dissémine" pas.

S'il n'y a pas "dissémination" de la TC String par la CMP Sirdata, le fait d'exposer la chaîne de caractères via une API permet effectivement sa dissémination ultérieure.

Pour le premier type de traitement (capture et exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs), Sirdata en tant que CMP n'a pas indiqué sur quelle base légale il souhaitait s'appuyer. En effet, avant la décision de l'APD, l'IAB Europe considérait que la TC String n'était pas une donnée personnelle. Hors, nous avons vu que la TC String était bien une donnée personnelle, mais aussi que les CMP étaient co-responsables de traitement.

Ainsi les CMP doivent déclarer une base légale pour ce traitement de données personnelles. Si l'on étudie Sirdata :

  • Le consentement n'est actuellement pas une base légale valable. Sirdata stocke la chaîne de consentement TC String dans le local storage dès l'affichage de la bannière de consentement, et ne demande donc pas son avis à l'utilisateur. Après refus de consentement, la TC String est stockée dans le cookie euconsent-v2.
  • L'intérêt légitime n'est actuellement pas valable non plus selon l'APD, car l'utilisateur n'a aucun moyen de s'opposer au stockage de cette donnée personnelle : "À cet égard, la Chambre Contentieuse trouve remarquable qu'aucune option ne soit offerte aux utilisateurs pour s'opposer complètement au traitement de leurs préférences dans le cadre du TCF. Quel que soit leur choix, la CMP générera une TC String avant de la lier au User ID unique de l'utilisateur, par le biais d'un cookie euconsent-v2 placé sur l'appareil de la personne concernée." (421). L'APD note que ce traitement ne passerait pas le test de "mise en balance" au vu du nombre considérable de sociétés adtech récupérant cette donnée, et du peu de contrôle donné à l'utilisateur (423).

tcstring

Avant toute interaction avec la bannière de consentement Sirdata, la chaîne TC String est stockée avec la clé sddan:cmp sur le local storage de mon navigateur.

D'après la décision de l'APD, la CMP Sirdata ne semble pas avoir de base légale pour la capture et l'exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs. Mais après discussions avec Benoit, je comprends que Sirdata s'appuie en fait sur une autre base légale pour la capture et l'exposition du signal TC String, l'obligation légale.

L'obligation légale comme base légale de traitement ?

L'information comme quoi la CMP Sirdata s'appuie sur l'obligation légale comme base de traitement pour la capture et l'exposition du signal TC String est absente de la bannière de consentement de Sirdata et elle n'est pas mentionnée dans l'article de Sirdata qui revient sur la décision de l'APD. Cependant, elle est indiqué dans les CGU de la CMP Sirdata :

9.5. The TC string and strictly necessary data, such as the date of the last prompt used to limit subsequent prompts, will be stored on the user's device, in local storage, in a cookie named euconsent-v2 which can be used as a first party cookie or a third party cookie linked to the domain name consentframework.com. The Parties agree that, in accordance with CNIL Deliberation n°2020-092 of September 17, 2020 adopting a recommendation proposing practical modalities of compliance in the event of recourse to "cookies and other tracers" the storage of or access to this data in the terminal is not subject to prior consent, and if the TC String and the necessary data are considered personal data, the processing will be carried out by Sirdata as a data processor acting on behalf of You, data controller on the basis of the legal obligation under GDPR.

D'après l'APD, Sirdata n'est pas un simple sous-traitant mais bien co-responsable de traitement. Ceci-dit, cela n'impacte pas la base légale invoquée par Sirdata, l'obligation légale. L'argumentaire de Sirdata pour se baser sur l'obligation légale est le suivant : l’éditeur et ses partenaires doivent légalement faire la preuve d'un consentement, se souvenir d'un refus/retrait de consentement et mémoriser l'opposition pour ne pas "harceler" l'utilisateur.

Il est dommage que l'IAB Europe et l'APD n'ait pas discuté de cette base légale de traitement, il nous manque une décision juridique pour savoir si cette base légale tient vraiment.

Sirdata invoque la délibération n°2020-092 du 17 septembre 2020 de la CNIL (modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs"), mais celle-ci propose seulement un nommage du traceur permettant de stocker le choix des utilisateurs :

  1. Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs eu-consent, en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

La délibération n° 2020-091 du 17 septembre 2020 (lignes directrices "cookies et autres traceurs") porte sur l'exemption de consentement concernant le choix exprimé par les utilisateurs sur le dépôt des traceurs :

  1. En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés :
    • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
    • [...]

Mais la CNIL ne parle pas de base légale de traitement pour le RGPD, encore moins d'une quelconque obligation légale comme base légale. Une lecture attentive du texte de la CNIL sur l'obligation légale pose d'autres questions :

  • L'obligation légale doit être prévue dans le cadre juridique national ou européen. Sur quel texte légal Sirdata peut-il alors s'appuyer ?
  • Le responsable du traitement souhaitant se fonder sur cette base légale ne doit pas avoir le choix de se conformer ou non à l’obligation (nécessité).
  • En particulier, l'organisme doit s'assurer qu'il n'existe pas de moyen moins intrusif d'atteindre cet objectif.

Hors, Sirdata pourrait très bien ajouter un paramètre opt-in aux appels vers sa CMP. Si appel à https://sirdata...?opt-in=0, alors pas de création de la TC String, et donc pas d'appel aux partenaires adtech. L'obligation légale ne semble donc pas nécessaire.

La CMP Sirdata pourrait s'appuyer sur l'intérêt légitime comme base légale de traitement de la TC String (via le paramètre opt-in, l'utilisateur pourrait s'opposer au stockage de la TC String). Encore faudrait-il passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Ici, Sirdata argumentera qu'en limitant le nombre de partenaires dans sa coopérative à 200 maximum, le jugement de l'APD ne s'applique pas.

Pour le partenaire publicitaire Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Rappelez-vous, Sirdata opère en tant que CMP, mais il opère aussi en tant que fournisseur de données contextuelles et comportementales. Dans ce rôle, Sirdata capture et dissémine la TC String. Reprenons les explications de Benoit :

Quand Sirdata agit en tant que Vendor s'appuyant sur le consentement (Vendor "Sirdata"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base du consentement et nous vérifions si l'entité à qui nous nous apprêtons à l'envoyer a le droit de la recevoir. Quand Sirdata agit en tant que Vendor s'appuyant sur l'intérêt légitime (Vendor "Sirdata cookieless"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base d'un intérêt légitime et nous ne transmettons pas cette donnée.

Pour le futur, et précisément à cause de l'APD, nous allons changer la base légale du traitement de la TC String en tant que Vendor, afin de pouvoir transmettre un retrait de consentement : nous nous appuierons bientôt uniquement sur l'intérêt légitime (mais uniquement pour la TC String utilisée dans ce cadre).

Le même commentaire semble ici s'appliquer : il faudra passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Sirdata pourra probablement argumenter que lorsqu'il agit en tant que partenaire publicitaire ("Vendor"), il transmet la TC String à un nombre limité de partenaires.

Nous avons précédemment étudié les potentielles bases légales pour le premier type de traitements indiqué par l'APD : la capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (côté Sirdata CMP, mais aussi côté Sirdata "Vendor"). Passons maintenant au deuxième type de traitements : la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

L'intérêt légitime comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Pour rappel, ici nous ne parlons plus de capture ou de dissémination de la TC String mais bien des différents traitements publicitaires effectués avec vos données personnelles :

finalites

Les finalités telles que définies dans la v2 du TCF, notez l'exception de la finalité "Stocker et/ou accéder aux informations d'un appareil", ne pouvant s'appuyer que sur votre consentement.

Étudions la décision de l'APD concernant l'intérêt légitime pour des traitements publicitaires dans le cadre du TCF. Ces traitements incluent donc la publicité ciblée, mais pas seulement. Le recours à l'intérêt légitime comme base légale de traitement est soumis à 3 conditions :

  • Il doit être "légitime" : l'APD n'a pas d'opinion sur la question de savoir si l'intérêt économique d'un acteur de l'adtech à effectuer des traitements publicitaires est légitime. Mais cette condition n'est déjà pas remplie car l'APD considère que les traitements publicitaires ne sont pas assez spécifiquement décrits dans le cadre du TCF (452).
  • Il doit satisfaire à la condition de "nécessité" : l'APD considère que cette condition n'est pas remplie car dans le cadre du RTB (Real-Time Bidding, enchères publicitaires en temps-réel), il n'y a aucune protection contre la dissémination d'informations personnelles (456).
  • Il ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées : selon l'APD, le nombre important d'acteurs publicitaires est problématique, ainsi que les nombreuses informations transmises dans le cadre d'une enchère publicitaire. L'APD cite également l'EDBP (le Comité européen de la protection des données) et l'ICO (la CNIL anglaise), jugeant tout deux que l'intérêt légitime n'est pas une base légale valide de traitement pour la publicité ciblée, notamment dans le cadre du RTB (460).

Lisons par exemple l'avis de l'EDBP :

Le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi.

Et voici la décision de l'APD :

À la lumière des considérations susmentionnées, la Chambre Contentieuse estime que l'intérêt légitime des organisations participantes ne peut être considéré comme une base juridique adéquate pour les activités de traitement effectuées selon le protocole OpenRTB, conformément aux préférences et aux choix des utilisateurs saisis dans le cadre du TCF.

L'analyse de Sirdata maintenant : ce jugement ne s'applique pas au TCF dans sa globalité, mais seulement aux traitements liés au RTB. Par exemple, cela ne concerne pas le profilage effectué par Sirdata via son offre "Cookieless", qui a lieu en amont des échanges RTB, et n'entraîne pas de partage d'identifiants et de segments d'audience avec des partenaires publicitaires. Et donc la CMP Sirdata peut continuer à proposer à ses partenaires l'intérêt légitime comme base légale d'un traitement.

On pourra ici noter que sans même parler du RTB, l'intérêt légitime ne passe déjà pas le test de légitimité. Pour approfondir, vous pouvez lire le papier de Célestin Matte, Cristiana Santos et Nataliia Bielova, "Purposes in IAB Europe's TCF: which legal basis and how are they used by advertisers?". Celui-ci étudie chaque finalité, indépendamment des éventuels traitements liés au RTB, mais la conclusion reste la même pour l'intérêt légitime, cette base légale ne tient pas :

etude

La nouvelle version du TCF détaille mieux les finalités, mais l'intérêt légitime ne serait toujours pas valide.

Même si ce papier est très solide, Sirdata pourra argumenter qu'il manque une décision légale sur la validité de l'intérêt légitime via le TCF, hors protocole OpenRTB. Le TCF est certes lié au protocole OpenRTB comme l'indique l'APD :

La Chambre Contentieuse constate que l'argument de la défenderesse ne peut être suivi, étant donné que la défenderesse indique à plusieurs reprises dans ses conclusions que la raison d'être du TCF est précisément de mettre les traitements de données à caractère personnel fondés sur le protocole OpenRTB, entre autres, en conformité avec la réglementation applicable, en ce compris le RGPD et la directive ePrivacy. Bien que la Chambre Contentieuse comprenne que le TCF puisse également être utilisé par les publishers pour d'autres applications, en collaboration ou non avec les CMP, il est également certain que le TCF n'a jamais été conçu pour être un écosystème autonome et indépendant. (368)

Mais le TCF est également utilisé hors OpenRTB, argument que pourra ressortir Sirdata pour maintenir la base légale "intérêt légitime" dans sa CMP. Avec donc son propre exemple : en l'absence de consentement, l'utilisation de l'intérêt légitime pour de la publicité ciblée basée sur l'adresse IP, techniquement hors RTB (en amont de celui-ci).

Le consentement comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Nous avons vu précédemment que l'intérêt légitime n'était pas une base légale valide pour les traitements de données personnelles dans l'OpenRTB telles que facilitées par le TCF, à fortiori pour les traitements relatifs à la publicité ciblée. L'APD détaille également pourquoi le consentement n'est pas une base légale valide pour les traitements de données personnelles.

L'argumentaire de Sirdata pour échapper à cette décision est alors le suivant (que ce soit pour l'intérêt légitime ou pour le consentement). Dans le cadre de sa coopérative, la CMP Sirdata va plus loin que le TCF lorsqu'il est implémenté à minima, avec notamment une meilleure hiérarchisation des données, une meilleure information et surtout une limitation du nombre de partenaires.

Sirdata est toutefois parfaitement consciente que le TCF n’a jamais eu vocation à garantir à lui tout seul une conformité au RGPD. Sirdata CMP implémente donc ce standard comme d’autres, et apporte en complément des mesures additionnelles et règles spécifiques permettant un respect des réglementations locales et régionales bien au-delà de ce que requiert le TCF.

Nous pourrions souligner que l'absence de base légale de traitement est loin d'être la seule violation du RGPD pointée par l'APD, et qu'il ne suffit pas de mieux adresser un des problèmes pour être conforme.

Ce à quoi Sirdata répondra qu'il n'est pas nécessairement conforme, mais qu'il faudrait une nouvelle analyse d'une Autorité de protection des données afin de déterminer la validité, qui s'apprécie au cas par cas. Il pourra notamment citer ce passage de la décision de l'APD :

Il convient également de noter que les CMP ont une grande marge d'appréciation en ce qui concerne l'interface qu'elles offrent aux utilisateurs. En effet, les TCF Policies n'imposent que des exigences d’interface minimales aux CMP participantes, avec pour conséquence qu'en pratique, les interfaces et le respect des principes d'équité et de transparence peuvent varier considérablement selon la CMP avec laquelle les publishers de sites web et d'applications collaborent. (381)

Ce passage de l'analyse de l'APD relevait la responsabilité conjointe des CMP concernant les finalités et les moyens du traitement des données personnelles. Étudions plutôt certaines des "mesures additionnelles" et "règles spécifiques" avancées par Sirdata.

Regrouper des finalités afin de ne pas être concerné par la décision de l'APD ?

Pour l'APD, le consentement n'est pas une base légale valide :

Le consentement n'est pas une base valide pour les opérations de traitement dans l'OpenRTB telles que facilitées par le TCF. (428) La Chambre Contentieuse estime que le consentement recueilli par les CMP et les publishers dans la version actuelle du TCF est insuffisamment libre, spécifique, éclairé et dénué d’ambiguïté. (432)

L'APD constate notamment que les finalités de traitement proposées ne sont pas décrites de manière suffisamment claire, et dans certains cas, sont même trompeuses :

À titre d'exemple, la Chambre Contentieuse constate que les finalités 8 (« Measure content performance ») et 9 (« Apply market research to generate audience insights ») fournissent peu ou pas d'indications sur la portée du traitement, la nature des données à caractère personnel traitées, ou encore la durée de conservation des données à caractère personnel collectées tant que l'utilisateur ne retire pas son consentement. (433)

Ce à quoi Sirdata indique avoir déjà répondu, via notamment le regroupement de ces 2 finalités sous le chapeau "Mesure d'audience" :

audience

Sirdata précise sur son blog :

Pour permettre un consentement éclairé, en second niveau les “purposes” du TCF sont regroupées sous des finalités “chapeau” définies par la CNIL dans sa Recommandation Traceurs du 17 septembre 2021, telles que la “publicité ciblée” ou la “mesure d’audience”.

Sauf que ces finalités publicitaires sont en réalité très différentes de la mesure d'audience et de la fréquentation d'un site, telle que peut l'effectuer un outil tel que Google Analytics, AT Internet ou Matomo. En général, il s'agit plutôt de traitements effectués par des outils de panel et d'analyse de marché tels que des Nielsen ou autres Comscore. Ainsi par ce regroupement, Sirdata apporte de la confusion à des finalités déjà existantes.

Différents modes d'accès aux pages de vie privée des partenaires afin de ne pas être concerné par la décision de l'APD ?

Autre point sur lequel Sirdata déclare aller "plus loin que le TCF", et ainsi échapper à la décision de l'APD, l'accès à l'information sur les opérations de traitement spécifiques de chaque fournisseur adtech. Voici un passage de la décision de l'APD :

En outre, les informations que les CMP fournissent aux utilisateurs demeurent trop générales pour refléter les opérations de traitement spécifiques de chaque fournisseur adtech, ce qui empêche la nécessaire granularité du consentement. (436)

Que fait donc Sirdata ? Voici ce qu'il déclare :

L’information obligatoire dans le cadre du TCF est en effet un socle commun brut insuffisant : Sirdata et ses clients vont bien au-delà.

En plus de refléter les mentions obligatoires du TCF, l’UI de Sirdata CMP apporte un éclairage additionnel sur les données traitées et la finalité de ces traitements, et en hiérarchise l’information pour une compréhension et un contrôle utilisateur facilités.

Une partie de l’information est disponible en premier niveau, une autre, comme la liste des destinataires, l’est aisément en second niveau, et l’accès aux informations additionnelles comme les conditions d’exercice des droits est accessible via des liens vers les pages de Vie Privée.

En pratique, lorsque vous zoomez sur une finalité via la bannière de consentement, vous pouvez afficher la liste des partenaires. Si vous cliquez sur un des partenaires, vous aurez alors un lien vers sa page "vie privée" :

vieprivee

Le partenaire "Sirdata Cookieless", qui se base sur l'intérêt légitime pour créer un profil personnalisé de publicités.

On peut noter que ce lien vers la page "vie privée" est déjà imposé par le TCF de l'IAB :

When making use of a so-called layered approach, a secondary layer must be provided that allows the user to: review the list of named Vendors, their Purposes, Special Purposes, Features, Special Features, associated Legal Bases, and a link to each Vendor’s privacy policy.

Mais Sirdata indique aller plus loin que certaines CMP, qui n'imposent pas de pouvoir lister les partenaires à partir d'une finalité donnée. Nous pouvons voir la différence avec le site de L'Express, qui utilise la CMP de Didomi :

nolink

Je ne peux pas développer "Intérêt légitime", je ne peux voir que Sirdata s'appuie sur cette base légale pour "Créer un profil personnalisé de publicité".

Mais la vue "Partenaires" permet bien de lister les différents partenaires et de présenter un lien vers la page de vie privée de chaque partenaire :

partenaire

Pour "Créer un profil personnalisé de publicité" sur L'Express avec la CMP de Didomi, Sirdata s'appuie également sur l'intérêt légitime, via le fameux partenaire "Sirdata Cookieless".

Pour Sirdata, la "meilleure" hiérarchisation des informations de sa CMP ne la rend pas forcément licite, mais suppose une nouvelle décision de l'APD afin de juger de sa licéité.

Limiter le nombre de partenaires afin de ne pas être concerné par la décision de l'APD ?

Principal argument de Sirdata, la décision de l'APD ne s'appliquerait pas à Sirdata, car celui-ci impose un choix de partenaires à ses clients, avec une limite à 200 partenaires pour sa coopérative (hors coopérative, il n'y a pas de limite).

Dans le cadre de la coopérative de choix qu’elle gère, Sirdata va même jusqu’à imposer un plafond de 200 partenaires, très loin des 2000 partenaires potentiels du TCF et du réseau de consentement géré par Google en complément — “AC Mode” —.

De tels garde-fous permettent d’éviter les traitements à grande échelle des préférences des utilisateurs — collectées sous le TCF — dans le cadre du protocole open RTB : selon l’APD les intérêts des personnes concernées ne l’emportent sur l'intérêt légitime des organisations participant au TCF que lorsque ces dernières sont toutes sélectionnées.

Mais dans la décision de l'APD, nulle mention d'un intérêt légitime des organisations qui l'emporterait sur les intérêts des personnes concernées si ces dernières ne sont pas toutes sélectionnées... Sirdata déclare néanmoins s'appuyer sur cet extrait :

Bien que les TCF Policies interdisent aux CMP d'accorder une préférence à certains fournisseurs adtech de la Global Vendors List, et qu'ils sont donc en principe tenus de présenter aux utilisateurs tous les fournisseurs inscrits au TCF, sauf instruction contraire des publishers, quelques auteurs notent qu'un certain nombre de CMP ne respectent pas cette exigence. Soit parce que les CMP imposent aux publishers des fournisseurs présélectionnés, soit parce qu’elles leur refusent la possibilité de déroger à la liste complète des fournisseurs adtech, proposée par défaut. (380)

Ce passage est là pour expliquer pourquoi les CMP doivent être tenus pour co-responsables de traitement, et non pour indiquer une quelconque problématique d'un nombre trop grand de partenaires. Aussi, l'IAB Europe n'impose pas de présenter la liste complète, mais seulement de ne pas discriminer un partenaire en particulier :

In any interaction with the Framework, a CMP may not exclude, discriminate against, or give preferential treatment to a Vendor except pursuant to explicit instructions from the Publisher involved in that interaction and in accordance with the Specifications and the Policies.

Le raisonnement de Sirdata est le suivant :

  • Dans le cadre du TCF, nous sommes tenus de présenter tous les fournisseurs par défaut (ce n'est pas une "obligation", comme le montre le document de l'IAB Europe).
  • Cette présentation n'est pas valable selon l'APD (Sirdata interprète le "en principe" de l'APD comme une obligation).
  • Nous ne respectons pas cette "obligation" du TCF, car nous imposons aux clients de choisir leurs partenaires (200 maximum sous peine de ne pouvoir faire partie de la coopérative, une trentaine par défaut).
  • Et donc la décision de l'APD ne nous concerne pas.

Mais Sirdata suit bien les recommandations de l'IAB Europe car il ne discrimine pas de partenaire en particulier. On peut néanmoins retrouver un autre argument lié au nombre de partenaires dans la décision de l'APD :

En particulier, les destinataires pour lesquels le consentement est recueilli sont si nombreux que les utilisateurs auraient besoin d'un temps disproportionné pour lire ces informations, ce qui signifie que leur consentement peut rarement être suffisamment éclairé. (435)

Pour Sirdata, le fait d'imposer le choix des partenaires (avec plafond à 200 partenaires) ne rend pas nécessairement sa CMP licite, mais une autre évaluation d'une Autorité de régulation serait nécessaire.

L'illégalité des bannières de consentement de l'IAB ne concerne pas que la base légale de traitement

Via cet article, nous n'avons pu qu'effleurer les problèmes posées par les bannières de consentement de l'IAB. Sirdata indique que le fait d'aller "plus loin" que l'implémentation "à minima" du TCF permettrait à ses clients de continuer le "business as usual" avec sa CMP. Cependant, l'illégalité du TCF est systémique, continuer de s'appuyer dessus est légalement risqué. Aussi, faire évoluer le TCF pour le rendre licite ne sera pas facile, le mécanisme même du RTB paraissant irréconciliable avec le RGPD, notamment au regard de la sécurité des données personnelles.

Voici un résumé des infractions au RGPD, dans cet article de l'ICCL (Irish Council for Civil Liberties, l'organisme où travaille maintenant Johnny Ryan) sur la décision de l'APD :

iccl

Quelques adaptations pourraient rendre le TCF légal ?

Vous pourrez approfondir le sujet via la lecture de ces papiers :

Et en regardant cette présentation de Robin Berjon, "Consent of the Governed".

Vers un internet sans surveillance imposée, et sans bannière de consentement

Charge aux CNILs Européennes de s'appuyer sur cette importante décision de l'APD pour correctement sanctionner les différents intervenants (CMP, éditeurs, partenaires publicitaires) et interdire la fuite massive de données personnelles via le RTB. Une interdiction de la publicité ciblée serait appréciée, et pas simplement pour les mineurs, comme le propose le DSA. À minima, la CNIL pourrait se prononcer plus clairement sur la publicité ciblée basée sur l'intérêt légitime.

Aussi, ces bannières de consentement ne devraient pas exister, l'utilisateur devrait être en mesure d'accepter ou de refuser le tracking de l'industrie publicitaire directement via les réglages de son navigateur (opt-in), sur le modèle de ce qu'Apple propose déjà via son système ATT. Et à ce titre, des initiatives comme le Global Privacy Control (GPC) ou le Advanced Data Protection Control (ADPC) méritent d'être développées et soutenues par la loi.

Texte intégral (10470 mots)

À l'origine de cet article

Début février, les CNILs Européennes, emmenées par l'APD (la CNIL Belge), ont jugé que les bannières de consentement estampillées IAB étaient illégales. Pour rappel, l'IAB (International Advertising Bureau) est le lobby de l'adtech, et 80% des sites web Européens utilisent le protocole proposé par l'IAB Europe (le "Transparency & Consent Framework" ou TCF) pour faire fonctionner ces fameuses bannières de consentement.

J'avais déjà pu écrire sur ces bannières de consentement et leurs simulacres de légalité :

Même la directrice de la CNIL anglaise ne semble plus les supporter :

“I often hear people say they are tired of having to engage with so many cookie pop-ups. That fatigue is leading to people giving more personal data than they would like.

“The cookie mechanism is also far from ideal for businesses and other organisations running websites, as it is costly and it can lead to poor user experience. While I expect businesses to comply with current laws, my office is encouraging international collaboration to bring practical solutions in this area.

Pourtant, ces "bannières cookies" sont bien la création d'un lobbying intense de l'adtech, afin d'éviter la création un mécanisme de contrôle "Opt-In" au niveau du navigateur. La fatigue au consentement était prévue et voulue par l'adtech. Et la CNIL anglaise est complice de ce fiasco, comme le raconte Alexander Hanff dans l'article "The truth behind cookie banners".

Avec la décision de l'APD, est-ce la fin des bannières honnies ? Pas forcément, l'IAB Europe, ayant fait appel de la décision de l'APD. Pour rappel, voici un schéma représentant les différentes fuites de données personnelles :

brave

Via Johnny Ryan, du temps où il travaillait chez Brave. Rendre le RTB (et le TCF de l'IAB) compatible avec le RGPD, mission impossible ?

Aussi depuis l'été dernier, j'ai une longue correspondance par e-mail avec Benoit Oberlé, CEO et cofondateur de Sirdata, trésorier de l'IAB France et Vice-Président du comité de pilotage du "Transparency & Consent Framework". Sirdata est une société intéressante à plusieurs titres : elle propose une CMP (Consent Management Platform) aux éditeurs, en version gratuite ou payante. C'est aussi un fournisseur de données contextuelles et comportementales.

Les éditeurs qui acceptent de partager la donnée personnelle des internautes ne paient d'ailleurs pas la CMP Sirdata :

offre

Une CMP pouvant être "financée par la donnée".

Si nous avons des désaccords, Benoit a toujours pris le temps de répondre à mes questions et d'expliciter les choix de Sirdata, et à ce titre, je le remercie vivement. De nos échanges, je souhaitais écrire un article pour illustrer les choix d'une CMP utilisant le protocole de l'IAB, et la CMP Sirdata était le parfait exemple.

Sirdata sur Psychologies.com

Pour étudier la CMP Sirdata, allons sur le site Psychologies.com avec le navigateur Chrome. Nous sommes accueillis par une bannière de consentement en apparence assez classique :

arrivee

À votre avis, sur quel bouton l'internaute pressé va-t-il cliquer ?

Vous noterez la mise en valeur de l'option "Tout accepter et continuer", à la différence des options "Paramétrer vos choix" et surtout "continuer sans accepter". Il s'agit d'un "Dark Pattern" adopté par de nombreux sites web français, ayant reçu la bénédiction de la CNIL.

Si vous ne prenez pas le temps de lire le texte de la bannière de consentement, vous pourriez néanmoins rater 2 informations cruciales :

  • Certaines sociétés de l'adtech ne se basent pas sur votre consentement mais sur l'intérêt légitime pour traiter vos données personnelles.
  • Vos choix ne s'appliquent pas seulement sur Psychologies.com mais également sur quelques 4000 autres sites web.

L'intérêt légitime comme base légale de traitements

Voici un extrait de la bannière de consentement proposé par Sirdata :

Vous pouvez [...] faire un choix plus granulaire ou vous opposer aux traitements basés sur des intérêts légitimes via l'écran de paramétrage.

Traduction : Si vous cliquez simplement sur "Continuer sans accepter", certaines sociétés adtech continueront de se baser sur l'intérêt légitime pour traiter vos données personnelles. Pour vous opposer à ces traitements basés sur des intérêts légitimes, vous devrez aller sur l'écran de paramétrage (option "Paramétrer vos choix").

Revenez donc sur la bannière de consentement pour vérifier vos choix après avoir cliqué sur "Continuer sans accepter". Pour cela, il vous faut scroller jusqu'au pied de page du site Psychologies.com, ne pas cliquer sur "Données personnelles & Cookies" mais sur "Consentement" (le lien ne paraît pas cliquable, pourtant il l'est) :

consentement

Le lien caché, pourtant "il doit être aussi simple de retirer son consentement que de le donner".

Notez l'apparition du bouton "Tout refuser et continuer" :

retour

Puis, afin de vérifier l'effet de votre choix précédent ("Continuer sans accepter"), cliquez sur "Paramétrez vos choix". Vous verrez que les différents traitements publicitaires ne sont pas décochés, comme si vous n'aviez pas déjà choisi :

coche

"Continuer sans accepter" ne veut donc pas dire "refuser", pourquoi ?

Suivez ensuite ces étapes :

  • Développez l'option "Publicité personnalisée".
  • Développez l'option "Créer un profil personnalisé de publicités".
  • Notez que l'option "Pour cette activité, les partenaires suivants se reposent sur leur intérêt légitime", est pré-cochée. Développez l'option.

Vous verrez apparaître le partenaire "Sirdata Cookieless" :

cookieless

"Sirdata Cookieless" apparait comme "non refusé". Vous devez donc vous opposer à l'intérêt légitime pour refuser ce traitement.

Cette option accessible via la CMP Sirdata permet au fournisseur de données comportementales Sirdata de constituer des profils publicitaires même si l'internaute n'a pas donné son consentement.

D'ailleurs, si vous décidiez de développer l'option "Pour cette activité, les partenaires suivants demandent votre consentement", vous verriez apparaitre le partenaire "Sirdata" avec la mention "non accepté" :

consent

"Sirdata" apparait comme "non accepté". Sirdata ne peut pas se baser sur votre consentement pour créer un profil personnalisé de publicité.

Sirdata joue ainsi sur 2 tableaux pour ses traitements publicitaires (dont la création de profil personnalisé de publicité) :

  • Le partenaire "Sirdata" se base sur votre consentement si vous cliquez sur "Tout accepter et continuer".
  • Le partenaire "Sirdata Cookieless" se base sur son intérêt légitime si vous cliquez sur "Continuer sans accepter".

Avec consentement, Sirdata utilise des cookies et peut partager des identifiants et des segments d'audience avec les partenaires publicitaires. Sans consentement et sur la base d'un intérêt légitime, Sirdata se place en amont de la plateforme de vente (adserveur ou SSP) pour qu'elle puisse vendre des campagnes publicitaires ciblées avec de la donnée Sirdata lorsque l'utilisateur appartient au(x) bon(s) segment(s) d'audience.

Avec son offre "Cookieless", Sirdata continue de vous profiler et d'exploiter votre profil pour de la publicité personnalisée, mais le partage d'informations avec des tiers est plus limité. L'offre Sirdata est résumée ici :

averee

Si vous cliquez sur "tout refuser", Sirdata propose de la publicité contextuelle. Au global, Sirdata juge son offre "respectueuse de la vie privée".

Afin de refuser la constitution d'un profil personnalisé de publicité Sirdata (et plus généralement, les différents traitements publicitaires des sociétés de l'adtech), il vous faudra donc lors de votre premier surf :

  • Cliquez sur "Paramétrer vos choix" sur la bannière de consentement.
  • Puis cliquez sur "tout refuser".

Notez qu'une option "Tout refuser et continuer" est disponible en premier niveau, mais seulement lorsque vous désirez revenir sur vos choix (si vous trouvez la fameuse option "Confidentialité" en pied de page de Psychologies.com) :

footer

Une option que l'on aurait bien aimé voir sur la bannière de consentement initiale.

Ne refuser que la "Publicité personnalisée" n'est pas évident, un simple clic sur l'option vaudra consentement à la "Publicité personnalisée", mais aussi à la "Publicité standard" :

accept

Un joli "Dark Pattern" repéré par @fourmeux, il vous faudra maintenant décocher les 2 options.

La publicité ciblée sans consentement basée sur l'adresse IP, une manière d'éviter la directive ePrivacy ?

Sirdata, le fournisseur de données comportementales, s'estime conforme aux réglementations européennes, ePrivacy (directive cookies) et RGPD. Quel argumentaire déploie-t-il ?

Tout d'abord, Sirdata estime que la directive ePrivacy ne s'applique pas à son offre "Cookieless" (ou "Consentless"). Son raisonnement : ePrivacy s'applique au stockage d'informations sur le terminal de l'utilisateur ou à l'accès à des informations déjà stockées sur celui-ci. Mais pour identifier les utilisateurs sans consentement, Sirdata se base uniquement sur l'adresse IP, et celle-ci n'est pas stockée sur le terminal de l'utilisateur.

IP

Sirdata est peu explicite sur le fait que son offre "Cookieless" se sert de l'adresse IP de l'utilisateur. Mais il détaille les traitements supplémentaires effectués sur l'adresse IP sur sa page "Politique de protection des données personnelles et de la vie privée" rubrique "Lexique".

Sirdata considère qu'il applique un fingerprinting "passif" et non "actif". Le fingerprinting "passif" serait uniquement constitué de l'adresse IP, il n'implique pas d'accès au terminal. Le fingerprinting "actif" serait constitué des caractéristiques du terminal telles que le user-agent, les polices installées ou la taille écran.

adresse

Le ciblage via l'adresse IP, le dernier outil des publicitaires pour vous cibler sans consentement ?

Cette distinction entre fingerprinting "passif" (pour lequel ePrivacy ne s'appliquerait pas) et "actif" (pour lequel ePrivacy s'appliquerait) est discutable. Dans l'article 7.2 de l'Avis 9/2014 sur l’application de la directive 2002/58/CE à la capture d’empreintes numériques, du groupe de travail «Article 29» sur la protection des données, la nécessité du consentement pour de la publicité ciblée est clairement énoncée :

La capture d’empreintes numériques à des fins de publicité ciblée exige donc le consentement de l’utilisateur.

Sirdata maintient sa position : pas d'accès au terminal donc ePrivacy ne s'applique pas. Son offre ne rentre pas dans la définition de l'Avis 9/2014, qui n'est d'ailleurs pas une obligation légale.

Concernant le RGPD maintenant, comme Sirdata traite l'adresse IP de l'utilisateur, et que celle-ci est une donnée personnelle, il se doit d'avoir une base légale pour chacun de ses traitements publicitaires. Lorsque l'utilisateur n'a pas donné son consentement, il se base ainsi sur l'intérêt légitime.

À noter que Sirdata a confiance dans cet argumentaire, il le réutilise ainsi dans ses vidéos promotionnelles, exemple avec "le reciblage sans consentement" :

party

Sans consentement, la fête est plus folle pour l'adtech !

Sirdata propose également un produit pour rendre conforme les transferts vers Google Analytics aux USA, l'"Analytics Helper". Pour rappel, la CNIL Autrichienne et Française ont jugé les transferts de données vers Google Analytics aux USA illégaux.

Sirdata prend des précautions pour empêcher les services de renseignements US d'identifier un utilisateur via une demande à Google (anonymisation de l'IP avant envoi à Google, pseudonymisation du Client ID au niveau du proxy Sirdata). Intéressant dans le cadre de cet article, le "modèle légal de tracking" pour cet "Analytics Helper" est similaire au modèle de la CMP Sirdata :

  • Si consentement, tracking habituel Google Analytics via cookies.
  • Si absence de consentement, tracking Google Analytics via un fingerprint généré par Sirdata et "uniquement" basé sur votre adresse IP, avec pour base légale l'intérêt légitime.
  • Si absence de consentement et opposition à l'intérêt légitime, pas de tracking Google Analytics.

Le Sirdata Helper est un produit ingénieux, mais sera-t-il suffisant pour rendre les transferts de données vers Google Analytics aux USA conformes ? La question reste ouverte comme je le détaille sur ce thread.

L'intérêt légitime pour de la publicité ciblée

Il paraît compliqué pour Sirdata fournisseur de données comportementales de se baser sur l'intérêt légitime pour de la publicité ciblée. Et notamment concernant le critère de mise en balance : la question est de savoir si les intérêts poursuivis par les fournisseurs adtech l'emportent sur les libertés et droits fondamentaux des personnes concernées.

L'APD mentionne notamment l'avis 03/2013 du Groupe de travail Article 29, l'ancien nom de l'EDPB (« European Data Protection Board »), pré-RGPD :

En outre, l'EDPB indique que l'intérêt légitime ne constitue pas une base juridique suffisante dans le contexte du marketing direct mettant en œuvre de la publicité comportementale [...] (460)

Groupe de travail Article 29 - Avis 03/2013 sur la limitation de la finalité (WP 203), 2 avril 2013 : « le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi ».

Pour plus de détails, vous pourrez également lire la plainte de La Quadrature du Net contre Amazon pour violation du RGPD, à savoir pour l'absence de base légale concernant la publicité ciblée.

Après le consentement et le contrat, La Quadrature du Net étudie de manière impitoyable l'intérêt légitime comme base légale potentielle (points 36 à 50). Pour l'association de défense et de promotion des droits et libertés sur Internet, cette base légale ne peut fonctionner pour de la publicité ciblée (62). La CNIL Luxembourgeoise a validé son analyse, avec une amende record de 746 millions € contre Amazon.

gafam

La Quadrature du Net contre les GAFAM, malheureusement la CNIL est aux abonnés absents.

Quelques extraits de la plainte de La Quadrature :

C’est la voie que prend le G29 dans l’annexe II de son avis 03/2013, sur le Big Data et l’Open Data : « un consentement préalable libre, spécifique, informé et indubitable devrait presque toujours être requis » dès lors qu’une « organisation souhaite spécifiquement analyser ou prédire les préférences personnelles, le comportement et les attitudes de clients individuels, qui serviront ensuite à guider des “mesures ou décisions” prises à l’égard de ces clients ». (47)

Il donne comme exemple de telles « mesures et décisions » la diffusion « de réductions personnalisées, d’offres spéciales et de publicités ciblées à partir du profil du client ». (49)

Le G29 conclut clairement que le « consentement devrait surtout être requis, par exemple, pour le traçage et le profilage à des fins de prospection directe, de publicité comportementale, de courtage en informations, de publicités fondées sur la localisation ou d’étude de marché numérique fondée sur le traçage ». (50)

Avec Benoit, nous avons donc posé la question de l'intérêt légitime pour de la publicité ciblée à la CNIL l'été dernier (2021), sans réponse.

Vos choix s'appliquent sur une coopérative de 4000 sites

Voici un autre extrait de la bannière de consentement proposé par Sirdata (sur Chrome à minima, car sur Safari, du fait du blocage des cookies tiers, la coopérative de sites est désactivée) :

Vos choix s'appliqueront sur ces sites et dans leurs emails pendant 6 mois, et nous ne vous solliciterons plus avant demain.

Lorsque vous cliquez sur "sites", vous atterrissez sur une nouvelle page d'information, directement sur le site Sirdata. Il vous faut encore cliquer sur "Cliquez ici" en bas de page pour découvrir les sites de la coopérative Sirdata :

framework

Vous retrouverez alors l'ensemble des sites de la coopérative Sirdata, 130 pages paginées, sans option d'export :

liste

Ces sites ont fait le choix de participer à la coopérative de consentement Sirdata (qu'ils utilisent la CMP Sirdata en version gratuite ou payante d'ailleurs).

Alors, est-ce légal ? Selon Sirdata, oui car l'internaute reçoit de l'information en premier niveau. Libre à lui de creuser, et d'aller consulter la liste complète des sites web. Sirdata s'appuie aussi sur cette FAQ de la CNIL :

faq

Il est néanmoins probable que la CNIL n'avait pas prévu ce cas-là, la question 21 faisant probablement référence aux responsables de traitement du site web consulté par l'utilisateur (les partenaires publicitaires), et non à d'autres sites web que l'utilisateur ne consulte pas. Sirdata argumente que ce choix est bénéfique à l'utilisateur en ce sens qu'il réduit la fatigue des bannières de consentement. Encore faut-il que ce choix soit éclairé.

Avec Benoit, nous avons également posé la question de la légalité de ce "choix groupé" à la CNIL l'été dernier (2021), sans réponse.

La coopérative Sirdata, une CMP sous contraintes

La participation d'un site web à la coopérative Sirdata impose certaines contraintes aux bannières de consentement :

  • Pour les utilisateurs situés sur le territoire français, Sirdata impose le fameux "Dark Pattern" validé par la CNIL.
  • Lorsque l'utilisateur revient sur ses choix, un bouton "Tout refuser et continuer" est disponible.
  • L'option "Tout refuser" n'est par contre pas disponible sur la bannière de consentement initiale.
  • Le nombre de partenaires publicitaires ne peut dépasser 200 (il y a plus de 1000 sociétés publicitaires dans le TCF, sans compter les partenaires publicitaires qui ne font pas partie de TCF et que Google décide d'intégrer via son "Mode Consentement supplémentaire").

S'il n'est pas sur Safari, les choix de l'utilisateur sont donc appliqués à l'ensemble des sites de la coopérative Sirdata. À noter qu'à la différence de certains de ses concurrents, afficher un mécanisme de "refus" au premier niveau ("Continuer sans accepter" ou "Tout refuser") est systématique si l'utilisateur est basé en France. Ceci est valable pour tous les clients Sirdata, payant ou non et adhérant ou non à la coopérative.

Sirdata évite ainsi les interfaces "non conformes", sans bouton "Refuser" ou "Continuer sans accepter".

Sirdata et l'illégalité du TCF

Dans sa communication, Sirdata indique que les éditeurs faisant partie de sa coopérative ne sont pas concernés par la décision de l'APD. Pour les éditeurs qui payent la CMP de Sirdata, il suffirait de ne pas activer l'ensemble des partenaires publicitaires pour ne pas être concerné par la décision. Voici le message de Sirdata à ses clients :

De manière générale, les éditeurs ayant suivi nos conseils ne sont pas en situation de risque en raison de ce jugement et n’ont pas de données à supprimer, pas plus que leurs partenaires, ni l’obligation de “poper” à nouveau pour recueillir un nouveau consentement.

Reprenons quelques éléments de la décision de l'APD. Tout d'abord, l'APD considère que la chaîne de caractères permettant le stockage et la transmission des préférences de l'utilisateur (TC String) est une donnée personnelle. Elle est en effet associée à l'adresse IP de l'utilisateur (à laquelle les CMP ont accès), cette chaîne de caractères détermine également les futurs traitements publicitaires de multiples sociétés adtech. Sirdata l'explique très bien :

L’APD confirme donc que le choix — la TC String — en lui-même ne permet pas d'identifier directement des personnes ou des dispositifs mais que, dès lors que le choix est stocké sur le dispositif de l'utilisateur, une CMP a la possibilité d’attribuer un identifiant unique à cette TC String, c'est-à-dire l'adresse IP du dispositif sur lequel il est stocké. La possibilité de combiner la TC String et l'adresse IP implique selon elle qu'il s'agit d'informations concernant un utilisateur identifiable.

L'APD distingue ainsi 2 types de traitements :

  • La capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (via la chaîne de caractères TC String).
  • La capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

En ce qui concerne la licéité et la loyauté du traitement, la Chambre Contentieuse distingue deux activités de traitement : d'une part, la saisie proprement dite du signal de consentement, des objections et des préférences des utilisateurs dans la TC String par les CMP (a), et, d'autre part, la collecte et la diffusion des données à caractère personnel des utilisateurs par les organisations participantes (b). (403)

Autre point important, l'APD considère que les CMP sont bien co-responsables de traitements, pour ces 2 types de traitements :

Cela amène la Chambre Contentieuse à conclure que la défenderesse ainsi que les CMP, les publishers et les fournisseurs adtech participants doivent être considérés comme des responsables conjoints du traitement pour ce qui concerne la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, ainsi que pour le traitement ultérieur de leurs données à caractère personnel. (402)

Sur la CMP Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Démarrons par une clarification de Benoit :

Quand Sirdata agit en tant que CMP, elle capture la TC String et l'envoie vers sa base de données de stockage de la preuve du consentement et de sa validité. Elle ne l'envoie à personne d'autre, et seuls ces traitements s'appuient sur l'obligation légale. La CMP ne transmet pas la string à des Vendors Tiers : les Vendors peuvent y accéder de manière active via une API exposée sur la page mais la CMP de la "dissémine" pas.

S'il n'y a pas "dissémination" de la TC String par la CMP Sirdata, le fait d'exposer la chaîne de caractères via une API permet effectivement sa dissémination ultérieure.

Pour le premier type de traitement (capture et exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs), Sirdata en tant que CMP n'a pas indiqué sur quelle base légale il souhaitait s'appuyer. En effet, avant la décision de l'APD, l'IAB Europe considérait que la TC String n'était pas une donnée personnelle. Hors, nous avons vu que la TC String était bien une donnée personnelle, mais aussi que les CMP étaient co-responsables de traitement.

Ainsi les CMP doivent déclarer une base légale pour ce traitement de données personnelles. Si l'on étudie Sirdata :

  • Le consentement n'est actuellement pas une base légale valable. Sirdata stocke la chaîne de consentement TC String dans le local storage dès l'affichage de la bannière de consentement, et ne demande donc pas son avis à l'utilisateur. Après refus de consentement, la TC String est stockée dans le cookie euconsent-v2.
  • L'intérêt légitime n'est actuellement pas valable non plus selon l'APD, car l'utilisateur n'a aucun moyen de s'opposer au stockage de cette donnée personnelle : "À cet égard, la Chambre Contentieuse trouve remarquable qu'aucune option ne soit offerte aux utilisateurs pour s'opposer complètement au traitement de leurs préférences dans le cadre du TCF. Quel que soit leur choix, la CMP générera une TC String avant de la lier au User ID unique de l'utilisateur, par le biais d'un cookie euconsent-v2 placé sur l'appareil de la personne concernée." (421). L'APD note que ce traitement ne passerait pas le test de "mise en balance" au vu du nombre considérable de sociétés adtech récupérant cette donnée, et du peu de contrôle donné à l'utilisateur (423).

tcstring

Avant toute interaction avec la bannière de consentement Sirdata, la chaîne TC String est stockée avec la clé sddan:cmp sur le local storage de mon navigateur.

D'après la décision de l'APD, la CMP Sirdata ne semble pas avoir de base légale pour la capture et l'exposition du signal de consentement et des objections à l'intérêt légitime des utilisateurs. Mais après discussions avec Benoit, je comprends que Sirdata s'appuie en fait sur une autre base légale pour la capture et l'exposition du signal TC String, l'obligation légale.

L'obligation légale comme base légale de traitement ?

L'information comme quoi la CMP Sirdata s'appuie sur l'obligation légale comme base de traitement pour la capture et l'exposition du signal TC String est absente de la bannière de consentement de Sirdata et elle n'est pas mentionnée dans l'article de Sirdata qui revient sur la décision de l'APD. Cependant, elle est indiqué dans les CGU de la CMP Sirdata :

9.5. The TC string and strictly necessary data, such as the date of the last prompt used to limit subsequent prompts, will be stored on the user's device, in local storage, in a cookie named euconsent-v2 which can be used as a first party cookie or a third party cookie linked to the domain name consentframework.com. The Parties agree that, in accordance with CNIL Deliberation n°2020-092 of September 17, 2020 adopting a recommendation proposing practical modalities of compliance in the event of recourse to "cookies and other tracers" the storage of or access to this data in the terminal is not subject to prior consent, and if the TC String and the necessary data are considered personal data, the processing will be carried out by Sirdata as a data processor acting on behalf of You, data controller on the basis of the legal obligation under GDPR.

D'après l'APD, Sirdata n'est pas un simple sous-traitant mais bien co-responsable de traitement. Ceci-dit, cela n'impacte pas la base légale invoquée par Sirdata, l'obligation légale. L'argumentaire de Sirdata pour se baser sur l'obligation légale est le suivant : l’éditeur et ses partenaires doivent légalement faire la preuve d'un consentement, se souvenir d'un refus/retrait de consentement et mémoriser l'opposition pour ne pas "harceler" l'utilisateur.

Il est dommage que l'IAB Europe et l'APD n'ait pas discuté de cette base légale de traitement, il nous manque une décision juridique pour savoir si cette base légale tient vraiment.

Sirdata invoque la délibération n°2020-092 du 17 septembre 2020 de la CNIL (modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs"), mais celle-ci propose seulement un nommage du traceur permettant de stocker le choix des utilisateurs :

  1. Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs eu-consent, en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

La délibération n° 2020-091 du 17 septembre 2020 (lignes directrices "cookies et autres traceurs") porte sur l'exemption de consentement concernant le choix exprimé par les utilisateurs sur le dépôt des traceurs :

  1. En l’état des pratiques portées à sa connaissance, la Commission estime que les traceurs suivants peuvent, notamment, être regardés comme exemptés :
    • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
    • [...]

Mais la CNIL ne parle pas de base légale de traitement pour le RGPD, encore moins d'une quelconque obligation légale comme base légale. Une lecture attentive du texte de la CNIL sur l'obligation légale pose d'autres questions :

  • L'obligation légale doit être prévue dans le cadre juridique national ou européen. Sur quel texte légal Sirdata peut-il alors s'appuyer ?
  • Le responsable du traitement souhaitant se fonder sur cette base légale ne doit pas avoir le choix de se conformer ou non à l’obligation (nécessité).
  • En particulier, l'organisme doit s'assurer qu'il n'existe pas de moyen moins intrusif d'atteindre cet objectif.

Hors, Sirdata pourrait très bien ajouter un paramètre opt-in aux appels vers sa CMP. Si appel à https://sirdata...?opt-in=0, alors pas de création de la TC String, et donc pas d'appel aux partenaires adtech. L'obligation légale ne semble donc pas nécessaire.

La CMP Sirdata pourrait s'appuyer sur l'intérêt légitime comme base légale de traitement de la TC String (via le paramètre opt-in, l'utilisateur pourrait s'opposer au stockage de la TC String). Encore faudrait-il passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Ici, Sirdata argumentera qu'en limitant le nombre de partenaires dans sa coopérative à 200 maximum, le jugement de l'APD ne s'applique pas.

Pour le partenaire publicitaire Sirdata, quelle base légale pour la capture et la dissémination du signal TC String ?

Rappelez-vous, Sirdata opère en tant que CMP, mais il opère aussi en tant que fournisseur de données contextuelles et comportementales. Dans ce rôle, Sirdata capture et dissémine la TC String. Reprenons les explications de Benoit :

Quand Sirdata agit en tant que Vendor s'appuyant sur le consentement (Vendor "Sirdata"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base du consentement et nous vérifions si l'entité à qui nous nous apprêtons à l'envoyer a le droit de la recevoir. Quand Sirdata agit en tant que Vendor s'appuyant sur l'intérêt légitime (Vendor "Sirdata cookieless"), nous pouvons capturer et transférer la TC String et d'autres données personnelles sur la base d'un intérêt légitime et nous ne transmettons pas cette donnée.

Pour le futur, et précisément à cause de l'APD, nous allons changer la base légale du traitement de la TC String en tant que Vendor, afin de pouvoir transmettre un retrait de consentement : nous nous appuierons bientôt uniquement sur l'intérêt légitime (mais uniquement pour la TC String utilisée dans ce cadre).

Le même commentaire semble ici s'appliquer : il faudra passer le test de mise en balance au vu du nombre considérable de partenaires récupérant cette donnée (423). Sirdata pourra probablement argumenter que lorsqu'il agit en tant que partenaire publicitaire ("Vendor"), il transmet la TC String à un nombre limité de partenaires.

Nous avons précédemment étudié les potentielles bases légales pour le premier type de traitements indiqué par l'APD : la capture et la dissémination du signal de consentement et des objections à l'intérêt légitime des utilisateurs (côté Sirdata CMP, mais aussi côté Sirdata "Vendor"). Passons maintenant au deuxième type de traitements : la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech.

L'intérêt légitime comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Pour rappel, ici nous ne parlons plus de capture ou de dissémination de la TC String mais bien des différents traitements publicitaires effectués avec vos données personnelles :

finalites

Les finalités telles que définies dans la v2 du TCF, notez l'exception de la finalité "Stocker et/ou accéder aux informations d'un appareil", ne pouvant s'appuyer que sur votre consentement.

Étudions la décision de l'APD concernant l'intérêt légitime pour des traitements publicitaires dans le cadre du TCF. Ces traitements incluent donc la publicité ciblée, mais pas seulement. Le recours à l'intérêt légitime comme base légale de traitement est soumis à 3 conditions :

  • Il doit être "légitime" : l'APD n'a pas d'opinion sur la question de savoir si l'intérêt économique d'un acteur de l'adtech à effectuer des traitements publicitaires est légitime. Mais cette condition n'est déjà pas remplie car l'APD considère que les traitements publicitaires ne sont pas assez spécifiquement décrits dans le cadre du TCF (452).
  • Il doit satisfaire à la condition de "nécessité" : l'APD considère que cette condition n'est pas remplie car dans le cadre du RTB (Real-Time Bidding, enchères publicitaires en temps-réel), il n'y a aucune protection contre la dissémination d'informations personnelles (456).
  • Il ne doit pas heurter les droits et intérêts des personnes dont les données sont traitées : selon l'APD, le nombre important d'acteurs publicitaires est problématique, ainsi que les nombreuses informations transmises dans le cadre d'une enchère publicitaire. L'APD cite également l'EDBP (le Comité européen de la protection des données) et l'ICO (la CNIL anglaise), jugeant tout deux que l'intérêt légitime n'est pas une base légale valide de traitement pour la publicité ciblée, notamment dans le cadre du RTB (460).

Lisons par exemple l'avis de l'EDBP :

Le consentement devrait être exigé, par exemple, pour le suivi et le profilage à des fins de marketing direct, de publicité comportementale, de courtage de données, de publicité basée sur la localisation ou d'études de marché numériques basées sur le suivi.

Et voici la décision de l'APD :

À la lumière des considérations susmentionnées, la Chambre Contentieuse estime que l'intérêt légitime des organisations participantes ne peut être considéré comme une base juridique adéquate pour les activités de traitement effectuées selon le protocole OpenRTB, conformément aux préférences et aux choix des utilisateurs saisis dans le cadre du TCF.

L'analyse de Sirdata maintenant : ce jugement ne s'applique pas au TCF dans sa globalité, mais seulement aux traitements liés au RTB. Par exemple, cela ne concerne pas le profilage effectué par Sirdata via son offre "Cookieless", qui a lieu en amont des échanges RTB, et n'entraîne pas de partage d'identifiants et de segments d'audience avec des partenaires publicitaires. Et donc la CMP Sirdata peut continuer à proposer à ses partenaires l'intérêt légitime comme base légale d'un traitement.

On pourra ici noter que sans même parler du RTB, l'intérêt légitime ne passe déjà pas le test de légitimité. Pour approfondir, vous pouvez lire le papier de Célestin Matte, Cristiana Santos et Nataliia Bielova, "Purposes in IAB Europe's TCF: which legal basis and how are they used by advertisers?". Celui-ci étudie chaque finalité, indépendamment des éventuels traitements liés au RTB, mais la conclusion reste la même pour l'intérêt légitime, cette base légale ne tient pas :

etude

La nouvelle version du TCF détaille mieux les finalités, mais l'intérêt légitime ne serait toujours pas valide.

Même si ce papier est très solide, Sirdata pourra argumenter qu'il manque une décision légale sur la validité de l'intérêt légitime via le TCF, hors protocole OpenRTB. Le TCF est certes lié au protocole OpenRTB comme l'indique l'APD :

La Chambre Contentieuse constate que l'argument de la défenderesse ne peut être suivi, étant donné que la défenderesse indique à plusieurs reprises dans ses conclusions que la raison d'être du TCF est précisément de mettre les traitements de données à caractère personnel fondés sur le protocole OpenRTB, entre autres, en conformité avec la réglementation applicable, en ce compris le RGPD et la directive ePrivacy. Bien que la Chambre Contentieuse comprenne que le TCF puisse également être utilisé par les publishers pour d'autres applications, en collaboration ou non avec les CMP, il est également certain que le TCF n'a jamais été conçu pour être un écosystème autonome et indépendant. (368)

Mais le TCF est également utilisé hors OpenRTB, argument que pourra ressortir Sirdata pour maintenir la base légale "intérêt légitime" dans sa CMP. Avec donc son propre exemple : en l'absence de consentement, l'utilisation de l'intérêt légitime pour de la publicité ciblée basée sur l'adresse IP, techniquement hors RTB (en amont de celui-ci).

Le consentement comme base légale pour la capture, la dissémination et le traitement des données personnelles par les sociétés de l'adtech ?

Nous avons vu précédemment que l'intérêt légitime n'était pas une base légale valide pour les traitements de données personnelles dans l'OpenRTB telles que facilitées par le TCF, à fortiori pour les traitements relatifs à la publicité ciblée. L'APD détaille également pourquoi le consentement n'est pas une base légale valide pour les traitements de données personnelles.

L'argumentaire de Sirdata pour échapper à cette décision est alors le suivant (que ce soit pour l'intérêt légitime ou pour le consentement). Dans le cadre de sa coopérative, la CMP Sirdata va plus loin que le TCF lorsqu'il est implémenté à minima, avec notamment une meilleure hiérarchisation des données, une meilleure information et surtout une limitation du nombre de partenaires.

Sirdata est toutefois parfaitement consciente que le TCF n’a jamais eu vocation à garantir à lui tout seul une conformité au RGPD. Sirdata CMP implémente donc ce standard comme d’autres, et apporte en complément des mesures additionnelles et règles spécifiques permettant un respect des réglementations locales et régionales bien au-delà de ce que requiert le TCF.

Nous pourrions souligner que l'absence de base légale de traitement est loin d'être la seule violation du RGPD pointée par l'APD, et qu'il ne suffit pas de mieux adresser un des problèmes pour être conforme.

Ce à quoi Sirdata répondra qu'il n'est pas nécessairement conforme, mais qu'il faudrait une nouvelle analyse d'une Autorité de protection des données afin de déterminer la validité, qui s'apprécie au cas par cas. Il pourra notamment citer ce passage de la décision de l'APD :

Il convient également de noter que les CMP ont une grande marge d'appréciation en ce qui concerne l'interface qu'elles offrent aux utilisateurs. En effet, les TCF Policies n'imposent que des exigences d’interface minimales aux CMP participantes, avec pour conséquence qu'en pratique, les interfaces et le respect des principes d'équité et de transparence peuvent varier considérablement selon la CMP avec laquelle les publishers de sites web et d'applications collaborent. (381)

Ce passage de l'analyse de l'APD relevait la responsabilité conjointe des CMP concernant les finalités et les moyens du traitement des données personnelles. Étudions plutôt certaines des "mesures additionnelles" et "règles spécifiques" avancées par Sirdata.

Regrouper des finalités afin de ne pas être concerné par la décision de l'APD ?

Pour l'APD, le consentement n'est pas une base légale valide :

Le consentement n'est pas une base valide pour les opérations de traitement dans l'OpenRTB telles que facilitées par le TCF. (428) La Chambre Contentieuse estime que le consentement recueilli par les CMP et les publishers dans la version actuelle du TCF est insuffisamment libre, spécifique, éclairé et dénué d’ambiguïté. (432)

L'APD constate notamment que les finalités de traitement proposées ne sont pas décrites de manière suffisamment claire, et dans certains cas, sont même trompeuses :

À titre d'exemple, la Chambre Contentieuse constate que les finalités 8 (« Measure content performance ») et 9 (« Apply market research to generate audience insights ») fournissent peu ou pas d'indications sur la portée du traitement, la nature des données à caractère personnel traitées, ou encore la durée de conservation des données à caractère personnel collectées tant que l'utilisateur ne retire pas son consentement. (433)

Ce à quoi Sirdata indique avoir déjà répondu, via notamment le regroupement de ces 2 finalités sous le chapeau "Mesure d'audience" :

audience

Sirdata précise sur son blog :

Pour permettre un consentement éclairé, en second niveau les “purposes” du TCF sont regroupées sous des finalités “chapeau” définies par la CNIL dans sa Recommandation Traceurs du 17 septembre 2021, telles que la “publicité ciblée” ou la “mesure d’audience”.

Sauf que ces finalités publicitaires sont en réalité très différentes de la mesure d'audience et de la fréquentation d'un site, telle que peut l'effectuer un outil tel que Google Analytics, AT Internet ou Matomo. En général, il s'agit plutôt de traitements effectués par des outils de panel et d'analyse de marché tels que des Nielsen ou autres Comscore. Ainsi par ce regroupement, Sirdata apporte de la confusion à des finalités déjà existantes.

Différents modes d'accès aux pages de vie privée des partenaires afin de ne pas être concerné par la décision de l'APD ?

Autre point sur lequel Sirdata déclare aller "plus loin que le TCF", et ainsi échapper à la décision de l'APD, l'accès à l'information sur les opérations de traitement spécifiques de chaque fournisseur adtech. Voici un passage de la décision de l'APD :

En outre, les informations que les CMP fournissent aux utilisateurs demeurent trop générales pour refléter les opérations de traitement spécifiques de chaque fournisseur adtech, ce qui empêche la nécessaire granularité du consentement. (436)

Que fait donc Sirdata ? Voici ce qu'il déclare :

L’information obligatoire dans le cadre du TCF est en effet un socle commun brut insuffisant : Sirdata et ses clients vont bien au-delà.

En plus de refléter les mentions obligatoires du TCF, l’UI de Sirdata CMP apporte un éclairage additionnel sur les données traitées et la finalité de ces traitements, et en hiérarchise l’information pour une compréhension et un contrôle utilisateur facilités.

Une partie de l’information est disponible en premier niveau, une autre, comme la liste des destinataires, l’est aisément en second niveau, et l’accès aux informations additionnelles comme les conditions d’exercice des droits est accessible via des liens vers les pages de Vie Privée.

En pratique, lorsque vous zoomez sur une finalité via la bannière de consentement, vous pouvez afficher la liste des partenaires. Si vous cliquez sur un des partenaires, vous aurez alors un lien vers sa page "vie privée" :

vieprivee

Le partenaire "Sirdata Cookieless", qui se base sur l'intérêt légitime pour créer un profil personnalisé de publicités.

On peut noter que ce lien vers la page "vie privée" est déjà imposé par le TCF de l'IAB :

When making use of a so-called layered approach, a secondary layer must be provided that allows the user to: review the list of named Vendors, their Purposes, Special Purposes, Features, Special Features, associated Legal Bases, and a link to each Vendor’s privacy policy.

Mais Sirdata indique aller plus loin que certaines CMP, qui n'imposent pas de pouvoir lister les partenaires à partir d'une finalité donnée. Nous pouvons voir la différence avec le site de L'Express, qui utilise la CMP de Didomi :

nolink

Je ne peux pas développer "Intérêt légitime", je ne peux voir que Sirdata s'appuie sur cette base légale pour "Créer un profil personnalisé de publicité".

Mais la vue "Partenaires" permet bien de lister les différents partenaires et de présenter un lien vers la page de vie privée de chaque partenaire :

partenaire

Pour "Créer un profil personnalisé de publicité" sur L'Express avec la CMP de Didomi, Sirdata s'appuie également sur l'intérêt légitime, via le fameux partenaire "Sirdata Cookieless".

Pour Sirdata, la "meilleure" hiérarchisation des informations de sa CMP ne la rend pas forcément licite, mais suppose une nouvelle décision de l'APD afin de juger de sa licéité.

Limiter le nombre de partenaires afin de ne pas être concerné par la décision de l'APD ?

Principal argument de Sirdata, la décision de l'APD ne s'appliquerait pas à Sirdata, car celui-ci impose un choix de partenaires à ses clients, avec une limite à 200 partenaires pour sa coopérative (hors coopérative, il n'y a pas de limite).

Dans le cadre de la coopérative de choix qu’elle gère, Sirdata va même jusqu’à imposer un plafond de 200 partenaires, très loin des 2000 partenaires potentiels du TCF et du réseau de consentement géré par Google en complément — “AC Mode” —.

De tels garde-fous permettent d’éviter les traitements à grande échelle des préférences des utilisateurs — collectées sous le TCF — dans le cadre du protocole open RTB : selon l’APD les intérêts des personnes concernées ne l’emportent sur l'intérêt légitime des organisations participant au TCF que lorsque ces dernières sont toutes sélectionnées.

Mais dans la décision de l'APD, nulle mention d'un intérêt légitime des organisations qui l'emporterait sur les intérêts des personnes concernées si ces dernières ne sont pas toutes sélectionnées... Sirdata déclare néanmoins s'appuyer sur cet extrait :

Bien que les TCF Policies interdisent aux CMP d'accorder une préférence à certains fournisseurs adtech de la Global Vendors List, et qu'ils sont donc en principe tenus de présenter aux utilisateurs tous les fournisseurs inscrits au TCF, sauf instruction contraire des publishers, quelques auteurs notent qu'un certain nombre de CMP ne respectent pas cette exigence. Soit parce que les CMP imposent aux publishers des fournisseurs présélectionnés, soit parce qu’elles leur refusent la possibilité de déroger à la liste complète des fournisseurs adtech, proposée par défaut. (380)

Ce passage est là pour expliquer pourquoi les CMP doivent être tenus pour co-responsables de traitement, et non pour indiquer une quelconque problématique d'un nombre trop grand de partenaires. Aussi, l'IAB Europe n'impose pas de présenter la liste complète, mais seulement de ne pas discriminer un partenaire en particulier :

In any interaction with the Framework, a CMP may not exclude, discriminate against, or give preferential treatment to a Vendor except pursuant to explicit instructions from the Publisher involved in that interaction and in accordance with the Specifications and the Policies.

Le raisonnement de Sirdata est le suivant :

  • Dans le cadre du TCF, nous sommes tenus de présenter tous les fournisseurs par défaut (ce n'est pas une "obligation", comme le montre le document de l'IAB Europe).
  • Cette présentation n'est pas valable selon l'APD (Sirdata interprète le "en principe" de l'APD comme une obligation).
  • Nous ne respectons pas cette "obligation" du TCF, car nous imposons aux clients de choisir leurs partenaires (200 maximum sous peine de ne pouvoir faire partie de la coopérative, une trentaine par défaut).
  • Et donc la décision de l'APD ne nous concerne pas.

Mais Sirdata suit bien les recommandations de l'IAB Europe car il ne discrimine pas de partenaire en particulier. On peut néanmoins retrouver un autre argument lié au nombre de partenaires dans la décision de l'APD :

En particulier, les destinataires pour lesquels le consentement est recueilli sont si nombreux que les utilisateurs auraient besoin d'un temps disproportionné pour lire ces informations, ce qui signifie que leur consentement peut rarement être suffisamment éclairé. (435)

Pour Sirdata, le fait d'imposer le choix des partenaires (avec plafond à 200 partenaires) ne rend pas nécessairement sa CMP licite, mais une autre évaluation d'une Autorité de régulation serait nécessaire.

L'illégalité des bannières de consentement de l'IAB ne concerne pas que la base légale de traitement

Via cet article, nous n'avons pu qu'effleurer les problèmes posées par les bannières de consentement de l'IAB. Sirdata indique que le fait d'aller "plus loin" que l'implémentation "à minima" du TCF permettrait à ses clients de continuer le "business as usual" avec sa CMP. Cependant, l'illégalité du TCF est systémique, continuer de s'appuyer dessus est légalement risqué. Aussi, faire évoluer le TCF pour le rendre licite ne sera pas facile, le mécanisme même du RTB paraissant irréconciliable avec le RGPD, notamment au regard de la sécurité des données personnelles.

Voici un résumé des infractions au RGPD, dans cet article de l'ICCL (Irish Council for Civil Liberties, l'organisme où travaille maintenant Johnny Ryan) sur la décision de l'APD :

iccl

Quelques adaptations pourraient rendre le TCF légal ?

Vous pourrez approfondir le sujet via la lecture de ces papiers :

Et en regardant cette présentation de Robin Berjon, "Consent of the Governed".

Vers un internet sans surveillance imposée, et sans bannière de consentement

Charge aux CNILs Européennes de s'appuyer sur cette importante décision de l'APD pour correctement sanctionner les différents intervenants (CMP, éditeurs, partenaires publicitaires) et interdire la fuite massive de données personnelles via le RTB. Une interdiction de la publicité ciblée serait appréciée, et pas simplement pour les mineurs, comme le propose le DSA. À minima, la CNIL pourrait se prononcer plus clairement sur la publicité ciblée basée sur l'intérêt légitime.

Aussi, ces bannières de consentement ne devraient pas exister, l'utilisateur devrait être en mesure d'accepter ou de refuser le tracking de l'industrie publicitaire directement via les réglages de son navigateur (opt-in), sur le modèle de ce qu'Apple propose déjà via son système ATT. Et à ce titre, des initiatives comme le Global Privacy Control (GPC) ou le Advanced Data Protection Control (ADPC) méritent d'être développées et soutenues par la loi.

03.08.2021 à 11:02

Avec les "signaux résilients" de Facebook, la surveillance publicitaire évolue

La publicité, le produit de Facebook

Les résultats financiers de Facebook sont limpides, plus de 98% de ses revenus proviennent de la publicité. Facebook dispose ici de 2 leviers de croissance :

  • Augmenter l'offre : à savoir, proposer plus d'opportunités publicitaires aux annonceurs.
  • Augmenter la demande : à savoir, convaincre les annonceurs existants d'augmenter leurs budgets publicitaires, et signer de nouveaux annonceurs.

Augmenter l'offre : votre temps de cerveau disponible

Le moyen le plus direct d'augmenter l'offre publicitaire est d'acquérir de nouveaux utilisateurs. Comme l'indique ce mémo interne, Facebook a appliqué cette stratégie de croissance à tout prix, à l'extrême :

That can be bad if they make it negative. Maybe it costs a life by exposing someone to bullies. Maybe someone dies in a terrorist attack coordinated on our tools.

[...] The ugly truth is that we believe in connecting people so deeply that anything that allows us to connect more people more often is de facto good. It is perhaps the only area where the metrics do tell the true story as far as we are concerned.

Autre levier, se diversifier via le rachat d'applications existantes. En 2012, Facebook a ainsi racheté Instagram, ses utilisateurs et son savoir-faire :

instagram

Zuckerberg sur le rachat d'Instagram : Facebook s'achète du temps, afin d'incorporer dans ses Apps les mécanismes de croissance d'Instagram (à l'époque en avance sur le mobile et sur les photos).

L'augmentation de l'offre publicitaire passe également par la monétisation de l'inventaire de tiers : Facebook propose aux Apps d'utiliser son ad-network, le "Facebook Audience Network", contre une commission. À noter que la monétisation de l'inventaire de tiers dépend de la capacité de lire les données Facebook de l'utilisateur, et c'est sans doute une des raisons qui ont poussé Facebook à fermer son ad-network sur le web mobile. Via Intelligent Tracking Prevention (ITP), les utilisateurs de Safari ont des protections contre le tracking de Facebook sur des sites tiers.

Avoir des milliards d'utilisateurs sur Facebook ou Instagram ne suffit pas, il faut les rendre dépendants, quel qu'en soit le coût. Voici un bon résumé de Robin Kelly, sénateur américain de l'Illinois :

The business model for your platforms is quite simple: keep users engaged. The more time people spend on social media, the more data harvested and targeted ads sold. To build that engagement, social media platforms amplify content that gets attention. That can be cat videos or vacation pictures, but too often it means content that’s incendiary, contains conspiracy theories or violence. Algorithms on the platforms can actively funnel users from the mainstream to the fringe, subjecting users to more extreme content, all to maintain user engagement.

Dernier levier, afficher toujours de publicités (en comparaison avec les publications de vos amis et des pages que vous suivez). Si vous êtes encore sur Instagram, vous avez pu noter l'invasion progressive des publicités dans votre fil et dans les stories. Instagram s'est mis au diapason de Facebook, et nous sommes probablement arrivés au point de saturation. Même si Facebook et Instagram n'ont pas vraiment de concurrents, la pression publicitaire est à son maximum.

Augmenter la demande : consumérisme et propagande

Proposer de nombreuses opportunités publicitaires ne suffit pas, encore faut-il convaincre les annonceurs de l'efficacité de la publicité sur les applis Facebook et sur son réseau de partenaires. Facebook a plusieurs points forts : sa capacité à cibler une grande partie de la population, à différents moments de la journée, ses critères de ciblages multiples ainsi que ses formats publicitaires "natifs". Mais le point clé est la rentabilité : Facebook doit prouver qu'il fait gagner de l'argent aux annonceurs, et non l'inverse.

Comment Facebook optimise-t-il une campagne publicitaire ? Voici un process standard :

  1. En démarrant la campagne publicitaire sans ciblage à priori : cela permet de toucher des utilisateurs et de tester les messages publicitaires.
  2. Puis en observant les conversions : afin de comprendre les caractéristiques des utilisateurs qui atteignent l'objectif de l'annonceur, les messages publicitaires les plus efficaces, le meilleur moment et le meilleur contexte pour diffuser la publicité, etc.
  3. Enfin en ciblant les utilisateurs similaires : les "lookalikes" ou "audiences similaires" dans le jargon de l'adtech.

Ainsi, l'efficacité des campagnes publicitaires de Facebook est étroitement liée aux informations qu'il détient sur ses utilisateurs ainsi qu'à sa capacité à mesurer correctement les conversions.

manager

Par défaut, l'annonceur indique son but, son budget et son message, l'algorithme de Facebook gère le ciblage automatiquement.

Assez souvent, Facebook connaît à l'avance le type d'utilisateurs à cibler car l'annonceur lui a transmis une liste de clients appelée "audience personnalisée" et lui a demandé de cibler des utilisateurs similaires.

audience

L'annonceur peut laisser Facebook trouver les bonnes audiences ou uploader une "audience personnalisée" ou renseigner manuellement des critères de ciblage. Il verra instantanément une estimation du nombre de personnes touchées.

Cela peut paraître presque innocent dit comme cela, mais le ciblage Facebook a contribué à la victoire de Trump en 2016. L'algorithme de Facebook ne se contente pas d'optimiser les campagnes publicitaires, il favorise également la diffusion de propagande à grande échelle et représente donc une menace sérieuse pour les démocraties.

Facebook vous espionne, partout

Sur ses applications

Le grand public connaît l'application Facebook. Mais celui-ci est également propriétaire des applications Instagram et WhatsApp, qui font partie des applications les plus utilisées au monde. Facebook a également un pied dans le futur avec Oculus, sa plateforme de réalité virtuelle, sur laquelle il aimerait d'ailleurs bien diffuser de la publicité. Chacune de vos interactions y est exploitée pour vous rendre dépendant et monétiser votre attention.

Ici , vous pouvez supprimer vos comptes Facebook et Instagram, faire migrer vos contacts de WhatsApp vers Signal, et ne pas acheter de casque Oculus. Un piège pour Facebook et Instagram, il ne vous faudra pas simplement désactiver vos comptes mais bien les supprimer.

Partout ailleurs

Ce que le grand public ignore, c'est que Facebook vous espionne aussi ailleurs. La liste des outils mis à la disposition de tiers est longue comme le bras, et ceux-ci sont fournis avec une contrepartie, permettre à Facebook de collecter toujours plus d'informations sur vous, pour son propre usage.

Voici quelques exemples, non exhaustifs :

La plupart des sites et applications utilisent au moins un des outils de Facebook. Et comme l'on vous demande rarement votre avis, Facebook est souvent au courant de ce que vous faites, ceci même si vous n'avez pas de compte Facebook ou Instagram. La publicité vidéo d'Apple pour l'App Tracking Transparency est une bonne illustration du côté invasif de Facebook.

Depuis début 2020 et en réaction à de multiples scandales, Facebook permet à ses utilisateurs de prendre conscience de l'activité "en dehors de Facebook" et de la dissocier de leurs comptes :

offsite

Ne vous laissez pas abuser par la propagande de Facebook, "parfois" signifie "en général".

Dissocier l'activité ne veut pas dire la supprimer des serveurs de Facebook... La firme conserve bien toutes vos interactions mais ne les associent plus à votre compte. À noter que Facebook ne vous facilitera pas la tâche : pour dissocier vos activités, il vous faudra :

Ce serait trop beau si c'était un peu plus visible et en une seule étape... Comme sur votre compte Google par exemple :

history

Google, l'autre big browser, vous facilite un peu plus la vie.

Bien évidemment, ni Facebook (ni Google) ne supprime votre activité, celle-ci a une trop grande valeur. Il s'agit simplement de ne plus l'associer à votre compte.

Et si vous n'avez pas de compte Facebook ni Instagram ? Facebook vous surveille quand même, il a vos coordonnées via les carnets d'adresses qu'il a pu aspirer chez vos amis, il conserve précieusement vos activités sur le web, dans les apps et hors ligne. Quel intérêt pour son modèle publicitaire ?

  • Facebook mesure l'impact de ses publicités en comparant les taux de conversion entre les personnes exposées à la publicité et les personnes non exposées.
  • Vous pourriez être exposé aux publicités du Facebook Audience Network sur des applis tierces.
  • Plus généralement, votre comportement permet à l'algorithme de Facebook d'améliorer ses modèles prédictifs.

Une surveillance en danger

Les internautes étant de plus en plus sensibilisés à la protection de la vie privée, la surveillance hors applis Facebook devient plus difficile. Nous allons étudier comment Facebook s'adapte et communique auprès des annonceurs, via le livre blanc "Why you should leverage Facebook's resilient signals", co-écrit avec l'agence française Fifty-Five.

Pourquoi communiquer auprès des annonceurs ? Facebook a besoin de complices pour vous surveiller hors de son App, les annonceurs doivent correctement utiliser les outils mis à disposition par Facebook pour que vos données personnelles remontent correctement et de manière durable (les fameux "signaux résilients") vers l'ogre de Menlo Park.

Tout d'abord, pourquoi est-ce que la surveillance de Facebook hors de ses applis serait en danger ? Pour 3 raisons selon Facebook et Fifty-Five :

crumble

Quel impact pour les campagnes publicitaires des annonceurs ?

impact

Les traceurs actuels de Facebook, pixels et autres SDKs, des signaux peu résilients. On voit également l'opportunité pour Facebook d'étendre sa surveillance à ce que vous faites hors ligne.

Comme on peut le voir :

  • Facebook peut continuer à mesurer ce que vous faites sur ses applis (Facebook, Instagram).
  • Facebook a du mal à mesurer ce que vous faites sur les sites et applis des annonceurs : en raison des protections navigateurs et autres adblockers, les anciens traceurs Facebook sont de moins en moins efficaces.
  • Facebook n'a qu'une vue très partielle de ce que vous faites hors ligne.

En quoi cette vision partielle est-elle problématique pour les annonceurs ? Ici Facebook et Fifty-Five doivent expliquer en quoi la surveillance généralisée serait nécessaire :

precise

Ici, Facebook tente de vous rassurer avec des critères de ciblage très génériques. En réalité, votre profil publicitaire est incroyablement plus détaillé.

La mesure de la performance publicitaire est essentielle. Si Facebook a accès à moins de conversions (achats, inscriptions, installations...), son algorithme aura moins d'informations sur les critères qui fonctionnent (profils utilisateurs, message publicitaire, contexte publicitaire), ce qui diminuera l'efficacité de sa publicité. L'annonceur devra potentiellement payer plus cher pour un résultat moindre.

Comment faire peur aux annonceurs ? S'ils ne permettent pas à Facebook de vous surveiller suffisamment bien, leurs campagnes publicitaires ne fonctionneront plus correctement :

feat

Des "trous" dans la mesure chez les annonceurs ? Une catastrophe selon Facebook...

Si l'annonceur ne comblent pas ces "trous" de mesure, voici les conséquences :

  • Moins de conversions attribuées à Facebook : certaines conversions ne seront pas mesurées, le reporting montrera des campagnes publicitaires moins efficaces qu'elles ne le sont en réalité, avec un coût d'acquisition client plus important.
  • Une campagne publicitaire réellement moins efficace : Facebook aura moins d'informations pour optimiser la campagne.
  • Une information imparfaite : la conséquence, l'annonceur doutera du reporting d'éventuelles futures campagnes publicitaires.

Les "signaux résilients", où comment Facebook contourne vos protections

Comment Facebook permet-il aux annonceurs de combler ces "trous" ? Via ce qu'il appelle les "signaux résilients" :

resilient

Avec votre adblocker, vous pensiez être protégé de la surveillance invasive de Facebook ? Erreur...

Avec la complicité des annonceurs, voici comment Facebook contourne vos protections :

Lorsqu'Apple l'y contraint, des publicités Facebook plus respectueuses de votre vie privée

L'outil de mesure agrégée des évènements (aussi appelé AEM) : permet à Facebook de mesurer l'efficacité des campagnes publicitaires de manière agrégée (256 campagnes publicitaires maximum, pas de suivi individuel) lorsque l'utilisateur a refusé le tracking Facebook ou Instagram sur iOS (via ATT). C'est un outil inspiré de la solution d'Apple, WebKit Private Click Measurement ou PCM, et c'est l'unique solution respectueuse de la vie privée proposée par Facebook.

Vous pourriez être surpris connaissant Facebook : pourquoi ne pas surveiller sur le web les utilisateurs d'iOS qui ont refusé le tracking sur les Apps Facebook ou Instagram ? Parce que dans ses directives pour les développeurs d'applications, Apple est très clair :

Tracking refers to the act of linking user or device data collected from your app with user or device data collected from other companies’ apps, websites, or offline properties for targeted advertising or advertising measurement purposes

Si Facebook violait cette règle, il prendrait le risque de se faire expulser de l'App Store. Vous pouvez approfondir le sujet avec l'article "Understanding Facebook’s updated iOS14 advertising guidance".

Et pourquoi n'avoir pas directement utilisé PCM ? Mystère, Facebook déclare seulement :

Notre solution est semblable à l’outil privé de mesure des clics d’Apple. Toutefois, elle répond à certains cas d’utilisation clés par les annonceurs non pris en compte par Apple.

Notez que si vous refusez le tracking Facebook ou Instagram via la fenêtre iOS ATT, Facebook déclare répercuter ce choix dans le traitement des évènements envoyés via l'API Conversion :

Les évènements envoyés à Facebook via l’API Conversions seront également traités conformément aux limites définies par l’outil de mesure agrégée des évènements.

Comment Facebook traite-t-il les évènements des autres "signaux résilients" (la correspondance avancée et les conversions hors ligne) ? Mystère...

À noter que Facebook peut également être source de propositions lorsqu'il s'agit de proposer des standards publicitaires qui respectent mieux la vie privée. Certaines discussions entre ingénieurs d'Apple et de Facebook (à savoir John Wilander et Ben Savage) permettent parfois de dépasser le conflit Apple vs Facebook, avec des propositions permettant de répondre à des cas d'usages publicitaires, tout en préservant la vie privée des internautes :

Les évolutions des navigateurs afin de mieux protéger la vie privée sont discutées au sein du "Privacy Community Group" du W3C, l'organisme chargé de co-construire les standards du web. Facebook joue donc ici son rôle, tenter d'influer sur les évolutions des navigateurs afin de limiter l'impact sur son business publicitaire. Et pour cela, Facebook doit être crédible auprès des ingénieurs d'Apple, de Firefox ou de Brave. Ceux-ci ont pour premier principe le respect de la vie privée des internautes (les ingénieurs Chrome ont souvent le biais publicitaire de Google).

Sur le sujet du W3C et de cette guerre d'influence, lisez l'excellent article "Concern trolls and power grabs: Inside Big Tech’s angry, geeky, often petty war for your privacy".

Les contournements illustrés, exemples de campagnes publicitaires

Afin d'illustrer l'impact des "signaux résilients", Facebook et Fifty-Five donnent 2 exemples.

L'utilisateur voit une publicité mais ne clique pas

Premier cas, l'utilisateur voit une publicité sur Facebook, ne clique pas dessus, mais va ensuite sur le site de l'annonceur pour compléter un formulaire. Il sera rappelé par un centre d'appel, pour finalement s'inscrire.

exemple1

Vu que le navigateur (Safari ou Firefox par exemple) de cet utilisateur bloque les cookies tiers de Facebook, le traceur de Facebook (pixel) ne peut pas lire l'identifiant utilisateur Facebook sur le site de l'annonceur. Facebook n'est donc pas capable de faire le lien entre l'exposition publicitaire de l'utilisateur et son surf sur le site de l'annonceur.

Mais lorsque l'utilisateur remplit le formulaire, l'annonceur est capable d'appeler l'API Conversion ou la correspondance avancée pour le web. Il peut ainsi envoyer à Facebook les données personnelles d'identification du formulaire (nom, adresse email, numéro de téléphone, etc) et celui-ci peut ainsi faire le lien avec le compte de l'utilisateur. De même, après inscription de l'utilisateur via téléphone, l'annonceur utilisera l'API Conversion pour transmettre l'inscription à Facebook.

L'utilisateur clique sur une publicité

Deuxième cas, l'utilisateur est sur Safari, il clique sur une publicité Facebook, puis il consulte une page produit de l'annonceur 8 jours après pour enfin acheter hors ligne.

exemple2

Lorsque l'utilisateur clique sur la publicité Facebook, celui-ci parvient à déposer un cookie first-party sur le site de l'annonceur. Le Facebook pixel installé sur le site de l'annonceur récupère en effet l'identifiant de clic fbclid contenu en paramètre d'URL, et le stocke dans le cookie first-party _fbc. Notons que Safari pourrait très bien supprimer ces paramètres de tracking, comme le fait déjà Brave depuis l'année dernière.

Depuis 2019 et la mise à jour ITP 2.1, Safari supprime les cookies créés côté client au bout de 7 jours (ici le cookie _fbc créé par le Facebook pixel). Lorsque l'utilisateur consulte la page produit de l'annonceur après 8 jours, Facebook ne peut plus faire le lien avec son clic initial, il ne reconnaît pas l'utilisateur.

Le contournement est indiqué par Facebook et Fifty-Five : le pré-requis est de passer par du serveur-side tagging comme celui de Google Tag Manager, ce qui permet de créer un cookie HTTP via le header HTTP Set-Cookie et ainsi de contourner la durée de vie à 7 jours des cookies clients.

L'étape suivante est de configurer l'API Conversions pour fonctionner avec Google Tag Manager, action déjà très bien documentée par Facebook et par Simo Ahava.

Ainsi lorsque l'utilisateur consulte la page produit, Google Tag Manager est appelé avec un cookie first-party permanent, le mapping avec l'identifiant de clic fbclic est bien enregistré et le containeur serveur de Google Tag Manager peut correctement appeler l'API Conversions de Facebook pour transmettre les informations. "Bénéfice" supplémentaire : le contournement des adblockers ! Ensuite, lorsque l'utilisateur achète en magasin, l'annonceur utilise l'outil de conversions hors ligne pour transmettre à Facebook les achats de l'utilisateur.

Les antisèches de la surveillance

Pour pousser les annonceurs à adopter ses "signaux résilients", Facebook a profité du remarquable travail de Fifty-Five. Le livre blanc contient ainsi des fiches récapitulatives de chaque "signal".

ecosystem

Un récapitulatif des différents "signaux résilients".

L'API Conversions

Voici l'antisèche pour l'équipe marketing :

capi

Facebook et Fifty-Five conseillent d'installer l'API Conversions en parallèle du pixel Facebook, et donc de collecter les évènements à la fois côté client et serveur.

L'API Conversion permet ainsi de contourner les protections de navigateurs tels que Safari (limite à 7 jours sur les cookies créés en javascript). Elle permet également de contourner les adblockers lorsqu'elle est utilisée conjointement avec du serveur-side tagging. Cette API permet finalement de transmettre des informations hors ligne, telles que le scoring utilisateur.

Voici l'antisèche pour l'équipe technique :

capi2

On note en particulier le conseil suivant : "CAPI is a way to secure data for sensitive sector (Bank, Insurance, ...)". Et oui, vos données bancaires ou d'assurance fuitent vers Facebook, mais ne vous inquiétez pas, la connexion est sécurisée ! Encore une fois, tout est fait pour faciliter la fuite de toutes vos interactions, notamment via les intégrations natives :

  • Tag Managers pour vos interactions avec le site de l'annonceur
  • Plateformes eCommerce, CRM et Customer Data Platforms pour vos achats et interactions hors-ligne.

Mise en avant d'une intégration native au Tag Manager de Google :

server

L'intégration de l'API Conversions avec le Server-Side Tagging de Google Tag Manager est mise en avant par Facebook, comme l'indique Simo Ahava.

La correspondance avancée

Voici l'antisèche pour l'équipe marketing :

correspondance1

Cette option permet de contourner le blocage des cookies tiers par les navigateurs, et de fuiter vos données personnelles même si vous n'avez jamais cliqué sur une publicité Facebook. En effet, l'annonceur envoie à Facebook vos données personnelles d'identification, ce qui permet à celui-ci de faire le lien avec votre compte Facebook.

On note dans les limitations :

  • "Although cookie-less, it is key you collect consent from users" : Facebook et Fifty-Five considèrent-ils que votre consentement n'est pas nécessaire avec les autres "signaux résilients" ?
  • "If you work in sensitive sectors such as Banking, a heavier setup is required" : il faut alors passer par la correspondance avancée manuelle et non automatique, à savoir configurer soi-même le pixel (IMG) permettant d'envoyer les données personnelles d'identification plutôt que de laisser le pixel Facebook (javascript) récupérer automatiquement les bons champs du formulaire.

Voici l'antisèche pour l'équipe technique :

correspondance2

Rien de nouveau, si ce n'est le rappel qu'il faut utiliser la correspondance avancée manuelle pour les secteurs "sensibles".

Les conversions hors-ligne

Voici l'antisèche pour l'équipe marketing :

offline1

Encore rien de nouveau, seulement le constat que la surveillance continue hors-ligne, elle s'appuie sur vos données personnelles d'identification (nom, email, numéro de téléphone, etc).

Voici l'antisèche pour l'équipe technique :

offline2

On peut de nouveau noter le fait qu'il est possible pour l'annonceur d'importer les conversions hors ligne par lui-même, ou de passer par un des nombreux partenaires de Facebook. Le capitalisme de surveillance de Facebook fonctionne grâce à un vaste écosystème.

L'outil de mesure agrégée des évènements (AEM)

Voici l'antisèche pour l'équipe marketing :

aem

Ce paramétrage permet à l'annonceur et à Facebook de "limiter la casse" sur les utilisateurs iOS refusant le tracking. Facebook remonte des informations de performances agrégées, ce qui lui permet d'optimiser les campagnes publicitaires.

À noter que Facebook peut très bien apprendre des campagnes qui tournent sur Android et sur les utilisateurs iOS acceptant le tracking pour mieux comprendre ce qui marche, ce qui ne marche pas (profils utilisateurs et messages publicitaires), et ainsi optimiser les campagnes sur les utilisateurs iOS refusant le tracking.

Facebook et Google, les précurseurs de l'adtech

Comme nous avons pu le voir, Facebook a mis en place une série d'outils pour contourner vos protections et mieux vous surveiller, les "signaux résilients". Ces outils sont proposés aux annonceurs, clé en main, avec une documentation complète :

Le complexe de surveillance de Facebook est impressionnant, mais Google n'est pas en reste. L'API Conversions de Facebook peut s'appuyer sur l'infrastructure du Server-Side Tagging de Google Tag Manager pour contourner adblockers et protections navigateurs. Et Google fait évoluer sa propre surveillance sur le modèle de l'API Conversion avec son "suivi avancé des conversions".

Ces nouvelles pratiques seront malheureusement une source d'inspiration pour d'autres acteurs publicitaires, rendant la surveillance publicitaire encore plus omniprésente et difficile à éviter.

Que peut-on faire ? Cette course à l'armement (marketing de surveillance vs navigateurs et adblockers) ne suffit pas, elle ne protègera jamais les moins informés. Il nous faut donc bannir la publicité ciblée directement dans la loi :

Texte intégral (6235 mots)

La publicité, le produit de Facebook

Les résultats financiers de Facebook sont limpides, plus de 98% de ses revenus proviennent de la publicité. Facebook dispose ici de 2 leviers de croissance :

  • Augmenter l'offre : à savoir, proposer plus d'opportunités publicitaires aux annonceurs.
  • Augmenter la demande : à savoir, convaincre les annonceurs existants d'augmenter leurs budgets publicitaires, et signer de nouveaux annonceurs.

Augmenter l'offre : votre temps de cerveau disponible

Le moyen le plus direct d'augmenter l'offre publicitaire est d'acquérir de nouveaux utilisateurs. Comme l'indique ce mémo interne, Facebook a appliqué cette stratégie de croissance à tout prix, à l'extrême :

That can be bad if they make it negative. Maybe it costs a life by exposing someone to bullies. Maybe someone dies in a terrorist attack coordinated on our tools.

[...] The ugly truth is that we believe in connecting people so deeply that anything that allows us to connect more people more often is de facto good. It is perhaps the only area where the metrics do tell the true story as far as we are concerned.

Autre levier, se diversifier via le rachat d'applications existantes. En 2012, Facebook a ainsi racheté Instagram, ses utilisateurs et son savoir-faire :

instagram

Zuckerberg sur le rachat d'Instagram : Facebook s'achète du temps, afin d'incorporer dans ses Apps les mécanismes de croissance d'Instagram (à l'époque en avance sur le mobile et sur les photos).

L'augmentation de l'offre publicitaire passe également par la monétisation de l'inventaire de tiers : Facebook propose aux Apps d'utiliser son ad-network, le "Facebook Audience Network", contre une commission. À noter que la monétisation de l'inventaire de tiers dépend de la capacité de lire les données Facebook de l'utilisateur, et c'est sans doute une des raisons qui ont poussé Facebook à fermer son ad-network sur le web mobile. Via Intelligent Tracking Prevention (ITP), les utilisateurs de Safari ont des protections contre le tracking de Facebook sur des sites tiers.

Avoir des milliards d'utilisateurs sur Facebook ou Instagram ne suffit pas, il faut les rendre dépendants, quel qu'en soit le coût. Voici un bon résumé de Robin Kelly, sénateur américain de l'Illinois :

The business model for your platforms is quite simple: keep users engaged. The more time people spend on social media, the more data harvested and targeted ads sold. To build that engagement, social media platforms amplify content that gets attention. That can be cat videos or vacation pictures, but too often it means content that’s incendiary, contains conspiracy theories or violence. Algorithms on the platforms can actively funnel users from the mainstream to the fringe, subjecting users to more extreme content, all to maintain user engagement.

Dernier levier, afficher toujours de publicités (en comparaison avec les publications de vos amis et des pages que vous suivez). Si vous êtes encore sur Instagram, vous avez pu noter l'invasion progressive des publicités dans votre fil et dans les stories. Instagram s'est mis au diapason de Facebook, et nous sommes probablement arrivés au point de saturation. Même si Facebook et Instagram n'ont pas vraiment de concurrents, la pression publicitaire est à son maximum.

Augmenter la demande : consumérisme et propagande

Proposer de nombreuses opportunités publicitaires ne suffit pas, encore faut-il convaincre les annonceurs de l'efficacité de la publicité sur les applis Facebook et sur son réseau de partenaires. Facebook a plusieurs points forts : sa capacité à cibler une grande partie de la population, à différents moments de la journée, ses critères de ciblages multiples ainsi que ses formats publicitaires "natifs". Mais le point clé est la rentabilité : Facebook doit prouver qu'il fait gagner de l'argent aux annonceurs, et non l'inverse.

Comment Facebook optimise-t-il une campagne publicitaire ? Voici un process standard :

  1. En démarrant la campagne publicitaire sans ciblage à priori : cela permet de toucher des utilisateurs et de tester les messages publicitaires.
  2. Puis en observant les conversions : afin de comprendre les caractéristiques des utilisateurs qui atteignent l'objectif de l'annonceur, les messages publicitaires les plus efficaces, le meilleur moment et le meilleur contexte pour diffuser la publicité, etc.
  3. Enfin en ciblant les utilisateurs similaires : les "lookalikes" ou "audiences similaires" dans le jargon de l'adtech.

Ainsi, l'efficacité des campagnes publicitaires de Facebook est étroitement liée aux informations qu'il détient sur ses utilisateurs ainsi qu'à sa capacité à mesurer correctement les conversions.

manager

Par défaut, l'annonceur indique son but, son budget et son message, l'algorithme de Facebook gère le ciblage automatiquement.

Assez souvent, Facebook connaît à l'avance le type d'utilisateurs à cibler car l'annonceur lui a transmis une liste de clients appelée "audience personnalisée" et lui a demandé de cibler des utilisateurs similaires.

audience

L'annonceur peut laisser Facebook trouver les bonnes audiences ou uploader une "audience personnalisée" ou renseigner manuellement des critères de ciblage. Il verra instantanément une estimation du nombre de personnes touchées.

Cela peut paraître presque innocent dit comme cela, mais le ciblage Facebook a contribué à la victoire de Trump en 2016. L'algorithme de Facebook ne se contente pas d'optimiser les campagnes publicitaires, il favorise également la diffusion de propagande à grande échelle et représente donc une menace sérieuse pour les démocraties.

Facebook vous espionne, partout

Sur ses applications

Le grand public connaît l'application Facebook. Mais celui-ci est également propriétaire des applications Instagram et WhatsApp, qui font partie des applications les plus utilisées au monde. Facebook a également un pied dans le futur avec Oculus, sa plateforme de réalité virtuelle, sur laquelle il aimerait d'ailleurs bien diffuser de la publicité. Chacune de vos interactions y est exploitée pour vous rendre dépendant et monétiser votre attention.

Ici , vous pouvez supprimer vos comptes Facebook et Instagram, faire migrer vos contacts de WhatsApp vers Signal, et ne pas acheter de casque Oculus. Un piège pour Facebook et Instagram, il ne vous faudra pas simplement désactiver vos comptes mais bien les supprimer.

Partout ailleurs

Ce que le grand public ignore, c'est que Facebook vous espionne aussi ailleurs. La liste des outils mis à la disposition de tiers est longue comme le bras, et ceux-ci sont fournis avec une contrepartie, permettre à Facebook de collecter toujours plus d'informations sur vous, pour son propre usage.

Voici quelques exemples, non exhaustifs :

La plupart des sites et applications utilisent au moins un des outils de Facebook. Et comme l'on vous demande rarement votre avis, Facebook est souvent au courant de ce que vous faites, ceci même si vous n'avez pas de compte Facebook ou Instagram. La publicité vidéo d'Apple pour l'App Tracking Transparency est une bonne illustration du côté invasif de Facebook.

Depuis début 2020 et en réaction à de multiples scandales, Facebook permet à ses utilisateurs de prendre conscience de l'activité "en dehors de Facebook" et de la dissocier de leurs comptes :

offsite

Ne vous laissez pas abuser par la propagande de Facebook, "parfois" signifie "en général".

Dissocier l'activité ne veut pas dire la supprimer des serveurs de Facebook... La firme conserve bien toutes vos interactions mais ne les associent plus à votre compte. À noter que Facebook ne vous facilitera pas la tâche : pour dissocier vos activités, il vous faudra :

Ce serait trop beau si c'était un peu plus visible et en une seule étape... Comme sur votre compte Google par exemple :

history

Google, l'autre big browser, vous facilite un peu plus la vie.

Bien évidemment, ni Facebook (ni Google) ne supprime votre activité, celle-ci a une trop grande valeur. Il s'agit simplement de ne plus l'associer à votre compte.

Et si vous n'avez pas de compte Facebook ni Instagram ? Facebook vous surveille quand même, il a vos coordonnées via les carnets d'adresses qu'il a pu aspirer chez vos amis, il conserve précieusement vos activités sur le web, dans les apps et hors ligne. Quel intérêt pour son modèle publicitaire ?

  • Facebook mesure l'impact de ses publicités en comparant les taux de conversion entre les personnes exposées à la publicité et les personnes non exposées.
  • Vous pourriez être exposé aux publicités du Facebook Audience Network sur des applis tierces.
  • Plus généralement, votre comportement permet à l'algorithme de Facebook d'améliorer ses modèles prédictifs.

Une surveillance en danger

Les internautes étant de plus en plus sensibilisés à la protection de la vie privée, la surveillance hors applis Facebook devient plus difficile. Nous allons étudier comment Facebook s'adapte et communique auprès des annonceurs, via le livre blanc "Why you should leverage Facebook's resilient signals", co-écrit avec l'agence française Fifty-Five.

Pourquoi communiquer auprès des annonceurs ? Facebook a besoin de complices pour vous surveiller hors de son App, les annonceurs doivent correctement utiliser les outils mis à disposition par Facebook pour que vos données personnelles remontent correctement et de manière durable (les fameux "signaux résilients") vers l'ogre de Menlo Park.

Tout d'abord, pourquoi est-ce que la surveillance de Facebook hors de ses applis serait en danger ? Pour 3 raisons selon Facebook et Fifty-Five :

crumble

Quel impact pour les campagnes publicitaires des annonceurs ?

impact

Les traceurs actuels de Facebook, pixels et autres SDKs, des signaux peu résilients. On voit également l'opportunité pour Facebook d'étendre sa surveillance à ce que vous faites hors ligne.

Comme on peut le voir :

  • Facebook peut continuer à mesurer ce que vous faites sur ses applis (Facebook, Instagram).
  • Facebook a du mal à mesurer ce que vous faites sur les sites et applis des annonceurs : en raison des protections navigateurs et autres adblockers, les anciens traceurs Facebook sont de moins en moins efficaces.
  • Facebook n'a qu'une vue très partielle de ce que vous faites hors ligne.

En quoi cette vision partielle est-elle problématique pour les annonceurs ? Ici Facebook et Fifty-Five doivent expliquer en quoi la surveillance généralisée serait nécessaire :

precise

Ici, Facebook tente de vous rassurer avec des critères de ciblage très génériques. En réalité, votre profil publicitaire est incroyablement plus détaillé.

La mesure de la performance publicitaire est essentielle. Si Facebook a accès à moins de conversions (achats, inscriptions, installations...), son algorithme aura moins d'informations sur les critères qui fonctionnent (profils utilisateurs, message publicitaire, contexte publicitaire), ce qui diminuera l'efficacité de sa publicité. L'annonceur devra potentiellement payer plus cher pour un résultat moindre.

Comment faire peur aux annonceurs ? S'ils ne permettent pas à Facebook de vous surveiller suffisamment bien, leurs campagnes publicitaires ne fonctionneront plus correctement :

feat

Des "trous" dans la mesure chez les annonceurs ? Une catastrophe selon Facebook...

Si l'annonceur ne comblent pas ces "trous" de mesure, voici les conséquences :

  • Moins de conversions attribuées à Facebook : certaines conversions ne seront pas mesurées, le reporting montrera des campagnes publicitaires moins efficaces qu'elles ne le sont en réalité, avec un coût d'acquisition client plus important.
  • Une campagne publicitaire réellement moins efficace : Facebook aura moins d'informations pour optimiser la campagne.
  • Une information imparfaite : la conséquence, l'annonceur doutera du reporting d'éventuelles futures campagnes publicitaires.

Les "signaux résilients", où comment Facebook contourne vos protections

Comment Facebook permet-il aux annonceurs de combler ces "trous" ? Via ce qu'il appelle les "signaux résilients" :

resilient

Avec votre adblocker, vous pensiez être protégé de la surveillance invasive de Facebook ? Erreur...

Avec la complicité des annonceurs, voici comment Facebook contourne vos protections :

Lorsqu'Apple l'y contraint, des publicités Facebook plus respectueuses de votre vie privée

L'outil de mesure agrégée des évènements (aussi appelé AEM) : permet à Facebook de mesurer l'efficacité des campagnes publicitaires de manière agrégée (256 campagnes publicitaires maximum, pas de suivi individuel) lorsque l'utilisateur a refusé le tracking Facebook ou Instagram sur iOS (via ATT). C'est un outil inspiré de la solution d'Apple, WebKit Private Click Measurement ou PCM, et c'est l'unique solution respectueuse de la vie privée proposée par Facebook.

Vous pourriez être surpris connaissant Facebook : pourquoi ne pas surveiller sur le web les utilisateurs d'iOS qui ont refusé le tracking sur les Apps Facebook ou Instagram ? Parce que dans ses directives pour les développeurs d'applications, Apple est très clair :

Tracking refers to the act of linking user or device data collected from your app with user or device data collected from other companies’ apps, websites, or offline properties for targeted advertising or advertising measurement purposes

Si Facebook violait cette règle, il prendrait le risque de se faire expulser de l'App Store. Vous pouvez approfondir le sujet avec l'article "Understanding Facebook’s updated iOS14 advertising guidance".

Et pourquoi n'avoir pas directement utilisé PCM ? Mystère, Facebook déclare seulement :

Notre solution est semblable à l’outil privé de mesure des clics d’Apple. Toutefois, elle répond à certains cas d’utilisation clés par les annonceurs non pris en compte par Apple.

Notez que si vous refusez le tracking Facebook ou Instagram via la fenêtre iOS ATT, Facebook déclare répercuter ce choix dans le traitement des évènements envoyés via l'API Conversion :

Les évènements envoyés à Facebook via l’API Conversions seront également traités conformément aux limites définies par l’outil de mesure agrégée des évènements.

Comment Facebook traite-t-il les évènements des autres "signaux résilients" (la correspondance avancée et les conversions hors ligne) ? Mystère...

À noter que Facebook peut également être source de propositions lorsqu'il s'agit de proposer des standards publicitaires qui respectent mieux la vie privée. Certaines discussions entre ingénieurs d'Apple et de Facebook (à savoir John Wilander et Ben Savage) permettent parfois de dépasser le conflit Apple vs Facebook, avec des propositions permettant de répondre à des cas d'usages publicitaires, tout en préservant la vie privée des internautes :

Les évolutions des navigateurs afin de mieux protéger la vie privée sont discutées au sein du "Privacy Community Group" du W3C, l'organisme chargé de co-construire les standards du web. Facebook joue donc ici son rôle, tenter d'influer sur les évolutions des navigateurs afin de limiter l'impact sur son business publicitaire. Et pour cela, Facebook doit être crédible auprès des ingénieurs d'Apple, de Firefox ou de Brave. Ceux-ci ont pour premier principe le respect de la vie privée des internautes (les ingénieurs Chrome ont souvent le biais publicitaire de Google).

Sur le sujet du W3C et de cette guerre d'influence, lisez l'excellent article "Concern trolls and power grabs: Inside Big Tech’s angry, geeky, often petty war for your privacy".

Les contournements illustrés, exemples de campagnes publicitaires

Afin d'illustrer l'impact des "signaux résilients", Facebook et Fifty-Five donnent 2 exemples.

L'utilisateur voit une publicité mais ne clique pas

Premier cas, l'utilisateur voit une publicité sur Facebook, ne clique pas dessus, mais va ensuite sur le site de l'annonceur pour compléter un formulaire. Il sera rappelé par un centre d'appel, pour finalement s'inscrire.

exemple1

Vu que le navigateur (Safari ou Firefox par exemple) de cet utilisateur bloque les cookies tiers de Facebook, le traceur de Facebook (pixel) ne peut pas lire l'identifiant utilisateur Facebook sur le site de l'annonceur. Facebook n'est donc pas capable de faire le lien entre l'exposition publicitaire de l'utilisateur et son surf sur le site de l'annonceur.

Mais lorsque l'utilisateur remplit le formulaire, l'annonceur est capable d'appeler l'API Conversion ou la correspondance avancée pour le web. Il peut ainsi envoyer à Facebook les données personnelles d'identification du formulaire (nom, adresse email, numéro de téléphone, etc) et celui-ci peut ainsi faire le lien avec le compte de l'utilisateur. De même, après inscription de l'utilisateur via téléphone, l'annonceur utilisera l'API Conversion pour transmettre l'inscription à Facebook.

L'utilisateur clique sur une publicité

Deuxième cas, l'utilisateur est sur Safari, il clique sur une publicité Facebook, puis il consulte une page produit de l'annonceur 8 jours après pour enfin acheter hors ligne.

exemple2

Lorsque l'utilisateur clique sur la publicité Facebook, celui-ci parvient à déposer un cookie first-party sur le site de l'annonceur. Le Facebook pixel installé sur le site de l'annonceur récupère en effet l'identifiant de clic fbclid contenu en paramètre d'URL, et le stocke dans le cookie first-party _fbc. Notons que Safari pourrait très bien supprimer ces paramètres de tracking, comme le fait déjà Brave depuis l'année dernière.

Depuis 2019 et la mise à jour ITP 2.1, Safari supprime les cookies créés côté client au bout de 7 jours (ici le cookie _fbc créé par le Facebook pixel). Lorsque l'utilisateur consulte la page produit de l'annonceur après 8 jours, Facebook ne peut plus faire le lien avec son clic initial, il ne reconnaît pas l'utilisateur.

Le contournement est indiqué par Facebook et Fifty-Five : le pré-requis est de passer par du serveur-side tagging comme celui de Google Tag Manager, ce qui permet de créer un cookie HTTP via le header HTTP Set-Cookie et ainsi de contourner la durée de vie à 7 jours des cookies clients.

L'étape suivante est de configurer l'API Conversions pour fonctionner avec Google Tag Manager, action déjà très bien documentée par Facebook et par Simo Ahava.

Ainsi lorsque l'utilisateur consulte la page produit, Google Tag Manager est appelé avec un cookie first-party permanent, le mapping avec l'identifiant de clic fbclic est bien enregistré et le containeur serveur de Google Tag Manager peut correctement appeler l'API Conversions de Facebook pour transmettre les informations. "Bénéfice" supplémentaire : le contournement des adblockers ! Ensuite, lorsque l'utilisateur achète en magasin, l'annonceur utilise l'outil de conversions hors ligne pour transmettre à Facebook les achats de l'utilisateur.

Les antisèches de la surveillance

Pour pousser les annonceurs à adopter ses "signaux résilients", Facebook a profité du remarquable travail de Fifty-Five. Le livre blanc contient ainsi des fiches récapitulatives de chaque "signal".

ecosystem

Un récapitulatif des différents "signaux résilients".

L'API Conversions

Voici l'antisèche pour l'équipe marketing :

capi

Facebook et Fifty-Five conseillent d'installer l'API Conversions en parallèle du pixel Facebook, et donc de collecter les évènements à la fois côté client et serveur.

L'API Conversion permet ainsi de contourner les protections de navigateurs tels que Safari (limite à 7 jours sur les cookies créés en javascript). Elle permet également de contourner les adblockers lorsqu'elle est utilisée conjointement avec du serveur-side tagging. Cette API permet finalement de transmettre des informations hors ligne, telles que le scoring utilisateur.

Voici l'antisèche pour l'équipe technique :

capi2

On note en particulier le conseil suivant : "CAPI is a way to secure data for sensitive sector (Bank, Insurance, ...)". Et oui, vos données bancaires ou d'assurance fuitent vers Facebook, mais ne vous inquiétez pas, la connexion est sécurisée ! Encore une fois, tout est fait pour faciliter la fuite de toutes vos interactions, notamment via les intégrations natives :

  • Tag Managers pour vos interactions avec le site de l'annonceur
  • Plateformes eCommerce, CRM et Customer Data Platforms pour vos achats et interactions hors-ligne.

Mise en avant d'une intégration native au Tag Manager de Google :

server

L'intégration de l'API Conversions avec le Server-Side Tagging de Google Tag Manager est mise en avant par Facebook, comme l'indique Simo Ahava.

La correspondance avancée

Voici l'antisèche pour l'équipe marketing :

correspondance1

Cette option permet de contourner le blocage des cookies tiers par les navigateurs, et de fuiter vos données personnelles même si vous n'avez jamais cliqué sur une publicité Facebook. En effet, l'annonceur envoie à Facebook vos données personnelles d'identification, ce qui permet à celui-ci de faire le lien avec votre compte Facebook.

On note dans les limitations :

  • "Although cookie-less, it is key you collect consent from users" : Facebook et Fifty-Five considèrent-ils que votre consentement n'est pas nécessaire avec les autres "signaux résilients" ?
  • "If you work in sensitive sectors such as Banking, a heavier setup is required" : il faut alors passer par la correspondance avancée manuelle et non automatique, à savoir configurer soi-même le pixel (IMG) permettant d'envoyer les données personnelles d'identification plutôt que de laisser le pixel Facebook (javascript) récupérer automatiquement les bons champs du formulaire.

Voici l'antisèche pour l'équipe technique :

correspondance2

Rien de nouveau, si ce n'est le rappel qu'il faut utiliser la correspondance avancée manuelle pour les secteurs "sensibles".

Les conversions hors-ligne

Voici l'antisèche pour l'équipe marketing :

offline1

Encore rien de nouveau, seulement le constat que la surveillance continue hors-ligne, elle s'appuie sur vos données personnelles d'identification (nom, email, numéro de téléphone, etc).

Voici l'antisèche pour l'équipe technique :

offline2

On peut de nouveau noter le fait qu'il est possible pour l'annonceur d'importer les conversions hors ligne par lui-même, ou de passer par un des nombreux partenaires de Facebook. Le capitalisme de surveillance de Facebook fonctionne grâce à un vaste écosystème.

L'outil de mesure agrégée des évènements (AEM)

Voici l'antisèche pour l'équipe marketing :

aem

Ce paramétrage permet à l'annonceur et à Facebook de "limiter la casse" sur les utilisateurs iOS refusant le tracking. Facebook remonte des informations de performances agrégées, ce qui lui permet d'optimiser les campagnes publicitaires.

À noter que Facebook peut très bien apprendre des campagnes qui tournent sur Android et sur les utilisateurs iOS acceptant le tracking pour mieux comprendre ce qui marche, ce qui ne marche pas (profils utilisateurs et messages publicitaires), et ainsi optimiser les campagnes sur les utilisateurs iOS refusant le tracking.

Facebook et Google, les précurseurs de l'adtech

Comme nous avons pu le voir, Facebook a mis en place une série d'outils pour contourner vos protections et mieux vous surveiller, les "signaux résilients". Ces outils sont proposés aux annonceurs, clé en main, avec une documentation complète :

Le complexe de surveillance de Facebook est impressionnant, mais Google n'est pas en reste. L'API Conversions de Facebook peut s'appuyer sur l'infrastructure du Server-Side Tagging de Google Tag Manager pour contourner adblockers et protections navigateurs. Et Google fait évoluer sa propre surveillance sur le modèle de l'API Conversion avec son "suivi avancé des conversions".

Ces nouvelles pratiques seront malheureusement une source d'inspiration pour d'autres acteurs publicitaires, rendant la surveillance publicitaire encore plus omniprésente et difficile à éviter.

Que peut-on faire ? Cette course à l'armement (marketing de surveillance vs navigateurs et adblockers) ne suffit pas, elle ne protègera jamais les moins informés. Il nous faut donc bannir la publicité ciblée directement dans la loi :

09.06.2021 à 18:48

Comment les éditeurs se moquent de la CNIL

3 ans pour se préparer

En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture des traceurs "non essentiels". Depuis l'entrée en vigueur du RGPD il y a déjà 3 ans, les exigences en matière de validité du consentement ont été renforcées.

Le 1er octobre 2020, la CNIL a publié des lignes directrices modificatives et sa recommandation sur les cookies et autres traceurs. Elle a également accordé 6 mois aux éditeurs pour se conformer aux règles.

Comme nous avions pu le voir sur ce blog, les anciennes lignes directrices, pourtant laxistes, n'étaient déjà pas respectées. Voici quelques articles pour illustrer l'impunité :

Qu'en est-il des nouvelles lignes directrices ?

La CNIL recommande un "Dark pattern" pour "optimiser" le taux de consentement

En lisant la recommandation de la CNIL, on y découvre une première proposition de design de l'interface de consentement :

standard

Page 9, Figure 4 : une interface claire, un choix aisé pour l'utilisateur.

Ainsi que des considérations générales sur l'interface (j'ai mis les passages clés en gras) :

  • "Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité."
  • "Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement."
  • "Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement «tout accepter» et «tout refuser», «autoriser» et «interdire», ou «consentir» et «ne pas consentir», ou toute autre formulation équivalente et suffisamment claire."

Lorsque l'on continue la lecture du document, on voit une deuxième proposition de design :

dark

Page 10, Figure 5 : recommandation de la CNIL ! Le "Continuer sans accepter" peut facilement être loupé.

Juste au-dessous de ce design trompeur, la CNIL se contredit :

  • "Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre."
  • "Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique."

Ce "Dark pattern" a rapidement été "évangélisé" auprès des éditeurs :

optimiser

Conseils de Converteo (agence conseil data et techno) aux éditeurs : suivez la "marge de manœuvre" proposée par la CNIL !

Le 1er avril 2021, c'est le grand jour, les sites et applications doivent enfin être en conformité comme le rappelle la CNIL :

lancement

Celle-ci n'a pas ménagé les efforts d'éducation, comme rappelé sur son site :

  • Dix-huit webinaires pour les professionnels du secteur privé et public.
  • De nombreux conseils pratiques et outils disponibles sur le site de la CNIL.
  • Une campagne de sensibilisation des organismes publics et privés.

Pour quels résultats ? C'est ce que nous allons regarder via quelques threads Twitter (cliquez sur les liens pour dérouler les nombreux exemples).

L'interface de consentement, une calamité

La plupart des éditeurs ont bien compris comment "optimiser les taux de consentement", avec l'aide de la CNIL :

pattern

Le "Dark pattern" de la CNIL, interface standard sur les sites médias.

Vous en redemandez ? Voici le "Dark pattern" de la CNIL en version App :

dark

Gare aux gros doigts !

Autre option, assez largement adoptée, se moquer de la réglementation :

moque

Facebook se fiche de la loi, mais il n'est pas seul.

Mention spéciale à Google :

Google

5 étapes pour refuser la surveillance, mais évidemment cela ne marche pas.

Sur les Apps, ce n'est pas mieux :

app

Un pari sur le fait que la CNIL n'audite pas les Apps ?

Si vous refusez de donner votre consentement, certains sites décident de pourrir votre expérience de lecture :

pourrir

Nos éditeurs ont du talent.

Autre option pour vous surveiller, prétendre "l'intérêt légitime" :

legitime

Bien sûr, la pratique est illégale.

Il faut le souligner, quelques éditeurs proposent une interface respectueuse :

conforme

Une interface propre, encore faut-il que vos choix soient respectés.

Quelques rares exceptions également sur les Apps :

exceptions

Message à rallonge, mais choix clair (passez sur Twitter pour la capture d'écran complète).

Les cookie walls, un chantage aux données personnelles

Adopté par certains éditeurs comme Webedia ou Prisma Media, le cookie wall en a énervé plus d'un :

wall

Chantage aux données personnelles, bonjour.

On retrouve également le cookie wall sur Apps :

wallapp

Chantage aux données personnelles, suite.

Le cookie wall est-il légal ? La CNIL a voulu l'interdire, sans succès :

Le « cookie wall » consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. Dans certains cas, cette pratique, également appelée « pay wall », conditionne cet accès à une contrepartie financière, comme un abonnement.

Le Conseil d'État a estimé, le 19 juin 2020, que la CNIL ne pouvait pas interdire, par principe, cette pratique.

Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

On attend donc impatiemment les premières décisions de la CNIL... D'ici là, vous pouvez lire ces excellents articles :

Un consentement fictif

Vous pourriez vous dire : OK, ce n'est pas si facile de refuser la surveillance, mais j'ai maintenant le choix. Encore faut-il que les éditeurs respectent ce choix... Dans la vraie vie, c'est rarement le cas :

  • Nombreux sont les éditeurs qui fuitent vos données personnelles avant même que vous ayez donné (ou refusé) votre consentement.
  • Nombreux sont les éditeurs qui fuitent vos données personnelles alors que vous avez refusé de donner votre consentement.

Longue illustration :

fuite

L'hypocrisie des éditeurs qui font semblant de respecter la loi.

Sur les Apps, ce n'est pas mieux :

avant

Sur les Apps, souvent le Far West.

Regardons les données personnelles qui fuitent :

apps

Via le logiciel Charles Proxy, il est possible d'observer toutes les requêtes.

À noter qu'Apple ATT n'empêche pas la fuite de données personnelles, seulement le tracking (la surveillance multi-Apps).

Cook

Apple vous protège bien mieux que Google contre la surveillance publicitaire, mais si vous voulez éviter toutes les fuites de données personnelles, il vous faudra passer par un bloqueur de traceurs tel que NextDNS.

Comment faire respecter la loi ?

La CNIL a récemment annoncé une vingtaine de mises en demeure :

demeure

Au vu de l'historique de l'organisme, je suis circonspect. Lisez par exemple le retour d'expérience de la Quadrature du Net : "Les GAFAM échappent au RGPD, la CNIL complice".

Noyb va néanmoins tenter l'aventure auprès des différentes CNIL européennes :

noyb

Pendant que la CNIL envoie péniblement une vingtaine de mises en demeure, Noyb prévoit d'envoyer 10.000 plaintes. On parle ici d'une petite association avec quelques bénévoles : preuve que la CNIL ne manque pas de moyens mais surtout de volonté politique.

Alors, aucun espoir ? Pas si sûr, les avancées les plus importantes pourraient venir des autorités de la concurrence, comme le décrit bien cet article. On croise les doigts et d'ici là, protégez-vous.

Texte intégral (2401 mots)

3 ans pour se préparer

En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture des traceurs "non essentiels". Depuis l'entrée en vigueur du RGPD il y a déjà 3 ans, les exigences en matière de validité du consentement ont été renforcées.

Le 1er octobre 2020, la CNIL a publié des lignes directrices modificatives et sa recommandation sur les cookies et autres traceurs. Elle a également accordé 6 mois aux éditeurs pour se conformer aux règles.

Comme nous avions pu le voir sur ce blog, les anciennes lignes directrices, pourtant laxistes, n'étaient déjà pas respectées. Voici quelques articles pour illustrer l'impunité :

Qu'en est-il des nouvelles lignes directrices ?

La CNIL recommande un "Dark pattern" pour "optimiser" le taux de consentement

En lisant la recommandation de la CNIL, on y découvre une première proposition de design de l'interface de consentement :

standard

Page 9, Figure 4 : une interface claire, un choix aisé pour l'utilisateur.

Ainsi que des considérations générales sur l'interface (j'ai mis les passages clés en gras) :

  • "Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité."
  • "Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement."
  • "Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement «tout accepter» et «tout refuser», «autoriser» et «interdire», ou «consentir» et «ne pas consentir», ou toute autre formulation équivalente et suffisamment claire."

Lorsque l'on continue la lecture du document, on voit une deuxième proposition de design :

dark

Page 10, Figure 5 : recommandation de la CNIL ! Le "Continuer sans accepter" peut facilement être loupé.

Juste au-dessous de ce design trompeur, la CNIL se contredit :

  • "Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre."
  • "Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique."

Ce "Dark pattern" a rapidement été "évangélisé" auprès des éditeurs :

optimiser

Conseils de Converteo (agence conseil data et techno) aux éditeurs : suivez la "marge de manœuvre" proposée par la CNIL !

Le 1er avril 2021, c'est le grand jour, les sites et applications doivent enfin être en conformité comme le rappelle la CNIL :

lancement

Celle-ci n'a pas ménagé les efforts d'éducation, comme rappelé sur son site :

  • Dix-huit webinaires pour les professionnels du secteur privé et public.
  • De nombreux conseils pratiques et outils disponibles sur le site de la CNIL.
  • Une campagne de sensibilisation des organismes publics et privés.

Pour quels résultats ? C'est ce que nous allons regarder via quelques threads Twitter (cliquez sur les liens pour dérouler les nombreux exemples).

L'interface de consentement, une calamité

La plupart des éditeurs ont bien compris comment "optimiser les taux de consentement", avec l'aide de la CNIL :

pattern

Le "Dark pattern" de la CNIL, interface standard sur les sites médias.

Vous en redemandez ? Voici le "Dark pattern" de la CNIL en version App :

dark

Gare aux gros doigts !

Autre option, assez largement adoptée, se moquer de la réglementation :

moque

Facebook se fiche de la loi, mais il n'est pas seul.

Mention spéciale à Google :

Google

5 étapes pour refuser la surveillance, mais évidemment cela ne marche pas.

Sur les Apps, ce n'est pas mieux :

app

Un pari sur le fait que la CNIL n'audite pas les Apps ?

Si vous refusez de donner votre consentement, certains sites décident de pourrir votre expérience de lecture :

pourrir

Nos éditeurs ont du talent.

Autre option pour vous surveiller, prétendre "l'intérêt légitime" :

legitime

Bien sûr, la pratique est illégale.

Il faut le souligner, quelques éditeurs proposent une interface respectueuse :

conforme

Une interface propre, encore faut-il que vos choix soient respectés.

Quelques rares exceptions également sur les Apps :

exceptions

Message à rallonge, mais choix clair (passez sur Twitter pour la capture d'écran complète).

Les cookie walls, un chantage aux données personnelles

Adopté par certains éditeurs comme Webedia ou Prisma Media, le cookie wall en a énervé plus d'un :

wall

Chantage aux données personnelles, bonjour.

On retrouve également le cookie wall sur Apps :

wallapp

Chantage aux données personnelles, suite.

Le cookie wall est-il légal ? La CNIL a voulu l'interdire, sans succès :

Le « cookie wall » consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. Dans certains cas, cette pratique, également appelée « pay wall », conditionne cet accès à une contrepartie financière, comme un abonnement.

Le Conseil d'État a estimé, le 19 juin 2020, que la CNIL ne pouvait pas interdire, par principe, cette pratique.

Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

On attend donc impatiemment les premières décisions de la CNIL... D'ici là, vous pouvez lire ces excellents articles :

Un consentement fictif

Vous pourriez vous dire : OK, ce n'est pas si facile de refuser la surveillance, mais j'ai maintenant le choix. Encore faut-il que les éditeurs respectent ce choix... Dans la vraie vie, c'est rarement le cas :

  • Nombreux sont les éditeurs qui fuitent vos données personnelles avant même que vous ayez donné (ou refusé) votre consentement.
  • Nombreux sont les éditeurs qui fuitent vos données personnelles alors que vous avez refusé de donner votre consentement.

Longue illustration :

fuite

L'hypocrisie des éditeurs qui font semblant de respecter la loi.

Sur les Apps, ce n'est pas mieux :

avant

Sur les Apps, souvent le Far West.

Regardons les données personnelles qui fuitent :

apps

Via le logiciel Charles Proxy, il est possible d'observer toutes les requêtes.

À noter qu'Apple ATT n'empêche pas la fuite de données personnelles, seulement le tracking (la surveillance multi-Apps).

Cook

Apple vous protège bien mieux que Google contre la surveillance publicitaire, mais si vous voulez éviter toutes les fuites de données personnelles, il vous faudra passer par un bloqueur de traceurs tel que NextDNS.

Comment faire respecter la loi ?

La CNIL a récemment annoncé une vingtaine de mises en demeure :

demeure

Au vu de l'historique de l'organisme, je suis circonspect. Lisez par exemple le retour d'expérience de la Quadrature du Net : "Les GAFAM échappent au RGPD, la CNIL complice".

Noyb va néanmoins tenter l'aventure auprès des différentes CNIL européennes :

noyb

Pendant que la CNIL envoie péniblement une vingtaine de mises en demeure, Noyb prévoit d'envoyer 10.000 plaintes. On parle ici d'une petite association avec quelques bénévoles : preuve que la CNIL ne manque pas de moyens mais surtout de volonté politique.

Alors, aucun espoir ? Pas si sûr, les avancées les plus importantes pourraient venir des autorités de la concurrence, comme le décrit bien cet article. On croise les doigts et d'ici là, protégez-vous.

6 / 20
 Persos A à L
Mona CHOLLET
Anna COLIN-LEBEDEV
Julien DEVAUREIX
Cory DOCTOROW
EDUC.POP.FR
Michel GOYA
Hubert GUILLAUD
Gérard FILOCHE
Alain GRANDJEAN
Hacking-Social
Samuel HAYAT
Dana HILLIOT
François HOUSTE
Tagrawla INEQQIQI
Infiltrés (les)
Clément JEANNEAU
Paul JORION
Michel LEPESANT
Frédéric LORDON
LePartisan.info
 
 Persos M à Z
Henri MALER
Christophe MASUTTI
Romain MIELCAREK
Richard MONVOISIN
Corinne MOREL-DARLEUX
Timothée PARRIQUE
Emmanuel PONT
Nicos SMYRNAIOS
VisionsCarto
Yannis YOULOUNTAS
Michaël ZEMMOUR
 
  Numérique
Binaire [Blogs Le Monde]
Christophe DESCHAMPS
Louis DERRAC
Olivier ERTZSCHEID
Olivier EZRATY
Framablog
Francis PISANI
Pixel de Tracking
Irénée RÉGNAULD
Nicolas VIVANT
 
  Collectifs
Arguments
Bondy Blog
Dérivation
Dissidences
Mr Mondialisation
Palim Psao
Paris-Luttes.info
ROJAVA Info
 
  Créatifs / Art / Fiction
Nicole ESTEROLLE
Julien HERVIEUX
Alessandro PIGNOCCHI
XKCD
🌓