Publié le 31 mai 2023
La collecte de données personnelles sur Internet est le plus souvent réalisée à des fins publicitaires. Nous avons décidé de nous attarder sur deux types d'organismes publicitaires que nous considérons (de façon subjective, disons-le) positionnés aux extrémités du spectre de la collecte de données personnelles : la publicité native et la publicité contextuelle.
Nous avons déjà évoqué ce type de publicité dans un précédent article. La publicité native est une annonce publicitaire qui prend autant que possible la même allure que certains items de l'ensemble de la page visitée. On les retrouve tout particulièrement sur les sites médiatiques. Ces espaces publicitaires apparaissent donc avec le même design que les articles qui l'entourent, avec des titres parfois (volontairement) trompeurs, qui peuvent être de type : "Les dix plus belles histoires d'amour", par exemple. Ces espaces publicitaires mènent vers des sites de vente en ligne.
Ces "faux articles" sont en réalité des liens sponsorisés. Au regard de leur allure, on comprendra facilement que les usagers qui n'y portent pas une attention particulière auront une nette tendance à y cliquer plus souvent, ce qui génère un nombre de clicks sur ces liens significativement bien plus élevé que sur des publicités affichées de façon plus traditionnelle. Et tout click sur une publicité génère de l'argent.
Nous voyons deux difficultés majeures avec ce genre de publicité. La première est que, tout en restant dans la légalité en termes d'aspect, elles n'en restent pas moins volontairement trompeuses en tentant précisément de ne pas apparaître comme telles. Nous trouvons ce principe déloyal et nous estimons qu'on y exploite la crédulité des usagers. Voici ci-dessous un exemple de publicité visible sur un site média national. on pourra relever qu'aucune marque réelle n'y figure ; ce n'est que lorsque vous cliquez sur l'une de ces annonces que vous êtes redirigé vers un site qui va vous vendre quelque chose.
Deux entreprises d'envergue mondiale se partagent le marché : Outbrain et Taboola. Elles ont failli fusionner en 2019, mais cela ne s'est finalement pas fait. Nous avons souhaité connaître les méthodes de tracking de ces organismes, dont les impressions publicitaires apparaissent même en cas de refus de traceurs par l'utilisateur. Les publicités sont-elles, dans un tel contexte, non ciblées ? Nous avions évoqué ce point dans notre article cité plus haut, et avons souhaité approfondir.
Les résultats sont plutôt intéressants, sans pour autant constituer de véritables révélations en termes de tracking. Les méthodes sont en effet plutôt classiques. Mais afin que le lecteur comprenne la façon dont il est traqué, et pour éviter de (trop) se perdre dans les aspects techniques, nous allons décrire un scénario de navigation tout-à-fait plausible.
Avant d'aborder ce scénario, il est très important de préciser un point : Outbrain et Taboola sont parfois (mais fort heureusement rarement) présents sur des sites qui n'affichent pas leur publicité. Nous y voyons deux raisons possibles. Soit il s'agit d'obtenir une source de revenus, soit le site visité souhaite lui-même faire l'objet d'un lien sponsorisé sur d'autres plateformes. On devine facilement que si aucune annonce n'est imprimée sur ces sites, cela n'en constitue pas moins une occasion de profiler les usagers et de collecter des données personnelles. Ainsi, le site de l'assureur GMF déploie avant tout consentement les scripts et pixels d'Outbrain et de Taboola, dès le chargement de la page d'accueil. Si vous réalisez une première visite et que vous n'avez jamais accepté de traceurs nulle part, vous ne serez à priori pas profilé. Mais autant dire que ce n'est pratiquement jamais le cas. Un exemple concret, avec le navigateur "Google Chrome", qui représente plus de 80 % des navigateurs utilisés dans le monde.
Imaginons que vous souhaitiez lire un article du Figaro que vous avez découvert sur une page d'accueil de moteur de recherche ou sur un réseau social. Vous allez vous retrouver face à un cookie Wall qui va vous demander soit d'accepter les cookies, soit de payer. Vous acceptez les cookies et lisez votre article, pour peu qu'il ne soit pas réservé aux abonnés (Sujet que nous avons abordé dans notre article cité plus haut , mais ceci est une autre histoire). Après la lecture de votre article, vous allez sur le site de la GMF pour réaliser un devis en vue d'assurer votre habitation, par exemple. Mais cette fois-ci, vous refusez les traceurs car vous ne souhaitez pas être profilé par des organismes publicitaires pendant une navigation que vous estimez plus sensible à titre personnel.
Peine perdue.
Voici la relecture "technique" de ce scénario de navigation, qui va vous aider (on l'espère) à comprendre.
Vous vous rendez donc sur le site du Figaro pour lire votre article. A cette occasion, l'acceptation de traceurs fait qu'un pixel et un cookie identifiant utilisateur de Taboola , partenaire du journal "Le Figaro" (en l'espèce "t_gid"), sont mis en oeuvre et déposés. Rien de scandaleux ni d'illégal, puisque vous y avez consenti.
Abordons maintenant la navigation sur le site "gmf.fr". Ce site déploie les scripts de Taboola dès le chargement de la page d'accueil. Si Taboola ne vous connaît pas, il ne se passe rien, et cela pourrait justifier réglementairement ce déploiement de script.
La difficulté, c'est que dans votre cas, Taboola vous connaît. Ainsi, même en refusant les traceurs sur "gmf.fr", vous aurez malgré tout le dépôt du même pixel et du même cookie de Taboola (avec bien sûr la même valeur identifiante que sur "lefigaro.fr") avant tout consentement, permettant le suivi et la collecte de toute votre navigation sur le site de la GMF.
Comme vous pouvez le constater, ce cookie provient du domaine taboola.com, encadré en orange sur notre image, c'est pourquoi il s'agit d'un cookie dit "tiers". Mais est-il si "tiers" que cela, dans la mesure où "gmf.fr" déploie les scripts propriétaires d'Outbrain et Taboola avant tout consentement ? Sans ceux-ci, il n'y aurait pas de cookie tiers : le déploiement de ces scripts permet ce tracking. "t_gid" est dans ce contexte un cookie tiers, certes, mais en tout état de cause un cookie dont le responsable de traitement de "gmf.fr" a parfaite connaissance.
Nous avons cité Taboola, mais il est possible de reproduire exactement le même schéma avec Outbrain, qui use exactement des mêmes méthodes. Ainsi, le fait de se rendre sur le site du journal "Le Monde" (qui a Outbrain cette fois-ci pour partenaire) provoque exactement les mêmes effets si l'on se rend sur le site de la GMF par la suite, (la GMF déployant, on le rappelle, les deux scripts respectifs d'Outbrain et Taboola).
Les conclusions sur Outbrain et Taboola : si vous avez le malheur d'accepter les traceurs sur un seul des sites les ayant pour partenaire, vous serez trackés sur tous ceux qui déploient les scripts au chargement de la page d'accueil, quel que soit votre consentement, et bien évidemment sur tous ceux pour lesquels vous aurez donné votre consentement. Ce fait étant sensible, voici un tableau récaptilatif (NDLR : en date du 30 mai 2023), déployant ces solutions dès le chargement de la page d'accueil (et donc avant tout consentement), sur les sites plus visités en France. On observera que cela concerne essentiellement des sites médiatiques, heureusement peu nombreux.
Secundo : Il est plus que vraisemblable, pour approfondir notre article précédent, que vous fassiez l'objet d'un profilage et d'impression de publicités ciblées, sur de nombreux sites médias, même si vous y avez refusé les cookies et traceurs.
Il existe heureusement de nouvelles tendances en termes de profilage publicitaire, qui n'exploitent pas vos données personnelles, ou du moins de façon très indirecte. Nous allons prendre l'exemple d' "Implcit", Adtech de ciblage dite contextuelle par pannel.
le ciblage contextuel consiste à analyser et profiler non pas l'usager, mais ce qu'il voit sur son écran. Implcit analyse la structure des pages Internet de ses sites client, le design et l'emplacement des impressions publicitaires, le type d'impression (image ou video par ex.), etc. Il n'existe donc pas de collecte de données personnelles : les données collectées sont les données techniques de structure de site et de ses impressions publicitaires, si l'on peut dire. Mais on parle pourtant bien de publicité ciblée, qui est effectivement réalisée en définitive.
Alors comment le lien entre l'analyse d'un site et l'Internaute est-il construit ?
Implcit s'est fondé en amont sur une étude comportementale poussée. Pour ce faire, il a contractualisé avec un échantillon de 5000 Internautes consentants, via Mediamétrie, une étude comportementale très approfondie et très complète. A partir de cet échantillon, Implcit extrapole les données collectées pour déterminer des profils comportementaux, in extenso des segments, modulables à loisir.
Ainsi, à titre d'exemple (destiné à faire comprendre la technologie : il n'y a aucune réalité concrète dans l'exemple suivant), il est capable de déterminer que "l'espace publicitaire X, affiché en bandeau horizontal en tête de page, sur le site "jelismonjournal.com", attirera l'attention d'un Internaute entre 30 et 40 le matin, et plutôt entre 20 et 30 ans l'après midi". De cette façon, Implcit, agissant en qualité de d' "intermédiaire fournisseur d'affichage publicitaire" (plus techniquement Supply Side Platform, SSP), prétend afficher une publicité plus pertinente pour telle ou telle catégorie de personne en fonction de l'heure de la journée, par exemple. L'impression publicitaire ne se réalise donc pas techniquement en fonction des données de la visite de l'Internaute, mais plus sur l'environnement dans lequel une publicité s'affiche, i.e. son contexte, d'où son appellation.
On comprendra en revanche qu'il y a bien eu, à un moment, une collecte poussée et massive de données comportementales sur cet échantillon (pannel) de 25000 personnes. Le partenariat entre Médiamétrie et Implcit en la matière est fondamental. Absolument rien d'illégal, car ces personnes étaient clairement informées et consentantes. Nous nous étions permis de poser la question sur Twitter au sujet de Médiamétrie sous la forme : "Médiamétrie, institut de mesure d'audience ou DMP ?" (NDLR : une DMP est une Data Managment Platform, organisme qui réalise la même chose que l'étude du pannel évoqué plus haut, mais en collectant cette fois-ci les données personnelles des Internautes pendant leur visite et en temps réel). Effectivement, les données comportementales sont anonymisées, et le lecteur comprendra que l'intérêt de cette collecte consiste à créer des profils comportementaux anonymes, mais appliquables. Ce fut du reste l'idée générale de FLOC (Federated Learning of Cohorts), un outil qu'a tenté sans succès de développer Google, qui voulait fonder ses impressions publicitaires sur des groupes de personnes, et non sur des individus.
Si cette technologie reste tout de même plus louable dans la mesure où elle ne collecte pas les données personnelles de l'Internaute quand il visite un site, plusieurs questions se posent malgré tout.
La première concerne Médiamétrie. Même si on rappelle qu'on ne doute pas du caractère légal et réglementaire de l'étude comportementale par pannel, on se pose malgré tout la question de la vocation de cet organisme, dont on pourrait légitimement penser qu'elle devrait être plus sociale qu'entrepreunariale. Le flirt de Médiamétrie avec le marketing suscite de notre part, on doit le dire, des interrogations, même si, historiquement, il a toujours plus ou moins existé à bas bruit.
Par ailleurs, on estime, au regard de cette technologie qui risque fort de se développer significativement dans un avenir proche, que chaque Internaute est désormais confronté à de nouvelles questions. En effet, de façon générale, les réfractaires à la publicité en ligne l'étaient pour plusieurs raisons à la fois, de façon plus ou moins confuse. Avec l'apparition du ciblage contextuel, il s'agit désormais de préciser cette réticence.
Celles-ci peuvent se résumer en une seule, dans le domaine de la publicité sur Internet : au bilan, que souhaitons-nous ?
Préférons-nous payer un abonnement qui garantit le respect de notre vie privée, ou acceptons-nous la gratuité d'un site au prix de nos données ?
Ainsi, remettons-nous en cause une technologie jugée intrusive, ou plutôt en définitive un modèle économique ?Et, de façon plus générale, sommes-nous effrayés par la somme d'annonces publicitaires sur Internet, qu'on peut considérer de nature à prédéterminer nos comportements et potentiellement restreindre notre liberté ?
Dignilog.