Le Norwegian Consumer Council (NCC) a publié le 14 janvier un rapport alertant de l’échange abusif de données effectué par les entreprises avec des partenaires, pour mieux cibler les publicités. Intelligemment nommé « Out of control » il pointe du doigt les partenaires publicitaires collectant et exploitant les données des consommateurs.

Le scandale autour de Cambridge Analytica a placé Facebook au coeur des luttes pour la protection de nos données personnelles. Sans parler des documents révélés dans le procès opposant le réseau social à la société Six4Three, dans lesquels on apprenait qu’il avait été question, entre 2012 et 2013, de monétiser les données des utilisateurs. Si ce sont des milliards de données, exploitées par Facebook pour son outil de ciblage publicitaire, ce dernier n’est pas l’unique moyen utilisé par les marques pour nous atteindre sur la toile. MoPub (Twitter), OpenX, AppNexus, Braze, Krux (Salesforce), Rubicon … si ces noms de nous disent rien, eux, en revanche, en savent beaucoup sur nous.

Ces entreprises sont des partenaires bien connus du secteur de l’adtech (technologies publicitaires), à la fois pour les marques, mais aussi pour les médias. Nous-même sur Siècle Digital nous les utilisons, parmi plusieurs dizaines d’autres. Ici, ce qui pose problème, ce n’est pas leur utilisation par les sites pour gagner de l’argent. C’est principalement les données que ces plateformes reçoivent afin de mener leurs campagnes et cibler les internautes.

Ce qui ne pose pas de problème : vous allez sur Amazon, Zalando, ou Rakuten, vous recherchez des baskets Nike de tel modèle, mais vous ne les achetez pas. Plus tard, lors de votre navigation sur Facebook, dans des applications mobiles, ou sur Siècle Digital, on vous propose des publicités pour acheter une paire de Nike sur l’un des sites que vous avez visité. On appelle cela du retargeting, c’est un procédé commun dans la publicité sur internet, et c’est assez sain.
Ce qui pose problème : vous avez un compte sur Grindr (application de rencontre entre hommes). Sur OkCupid, vous avez mentionné que vous étiez asiatique, que vous buviez souvent, et que parfois vous consommiez des stupéfiants. Ces deux applications partagent ces données avec l’un des partenaires publicitaires cités plus haut. Ce dernier les conserve et enrichie son outil de ciblage pour de prochains annonceurs. L’un d’eux, moins bien intentionné, les exploitera avec un caractère discriminant ou pire vous manipulera.

10 applications partagent nos données avec 135 partenaires

Dans son étude, le NCC s’est concentré sur les technologies de publicité de 10 applications mobiles populaires, dont 4 sont des applications de rencontres : Grindr, Perfect365, MyDays, OkCupid, Clue, Happn, Muslim: Qibla Finder, My Talking Tom 2, Tinder, Wave Keyboard.

Les tests techniques mis en place révèlent de nombreux manquements à la protection de la vie privée des internautes. Par exemple, les 10 applications transmettent les données des utilisateurs à (au moins) 135 services tiers ayant soit une activité publicitaire, soit une activité dans le ciblage comportemental.

Le service Android Advertising ID est clairement mentionné comme un portail pour le transfert de données. Lancé en 2013, il permet à une entreprise de suivre un consommateur à travers plusieurs services pour le cibler avec des publicités. NCC révèle que votre identifiant a été partagé avec au moins 70 partenaires. L’ONG précise que cet ID était souvent transmis avec un lot de données personnelles comme les localisations GPS, ou les adresses IP. Ceci facilitant la liaison d’un profil avec une personne physique.

D’autre part, toutes les applications ont partagé les données des utilisateurs, et 90% d’entre elles l’ont fait à travers l’ID de l’appareil utilisé (iOS et Android). Comme pour l’Android Advertising ID, on retrouve les adresses IP et les données GPS, mais aussi le genre, l’âge, et les activités sur l’application.

Comme évoqué plus haut, l’ensemble de ces données peuvent être utilisées afin d’établir un profil de consommateur, et créer des ciblages très précis pour des audiences larges. D’autre part, l’aspect sensible des données liées aux appliquées utilisées permet d’identifier l’orientation sexuelle d’un internaute, ou encore ses croyance religieuses.

Plus en détail, Grindr, qui pour moi est l’application la plus sensible, a partagé des données détaillées à de nombreux partenaires. MoPub (Twitter) a été utilisé comme intermédiaire pour une grande partie d’entre elles. Ceci ayant permis à des sociétés comme AppNexus ou OpenX de récupérer des données, puis, à nouveau, de les repartager avec leurs partenaires et annonceurs.

L’application de rencontre OkCupid a donné accès à des données toutes aussi sensibles que celles de Grindr. Notamment l’utilisation de drogue, l’orientation sexuelle (qui y est bien plus détaillée), les opinions politiques… avec la société Braze.

D’autres comme Perfect365, une application d’essai de maquillage, partagent leurs données avec 70 services tiers. Certains revendent même ces données à leurs partenaires.

La publicité en ligne hors de contrôle ?

L’ensemble de ces transmissions de données, qu’elles soient légales, illégales, ou bénéficiant d’un flou juridique, sont un énorme pied de nez au RGPD (Règlement général sur la protection des données). Les internautes n’ont aucun moyen de savoir ce que font leurs données dès lors qu’elles peuvent être transmises à 135 partenaires, et exploitées par des milliers de marques. Sans parler des effets de manipulation de l’opinion qui pourrait en résulter.

Non seulement il n’y a pas d’outil de suivi, mais les applications mobiles bénéficient actuellement d’un vide technique stratosphérique pour continuer à agir de la sorte. C’est également le cas sur le web, où le ciblage publicitaire est plus simple à maîtriser, il est parfois impossible de remonter jusqu’au point de départ de l’utilisation d’une donnée. Situation vécue et narrée par Perrine Signoret, journaliste de Numerama.

L’organisation norvégienne appelle à une régulation du secteur de l’adtech par les pouvoirs européens, même si sur le web, une tendance s’amorce. Google a annoncé la disparition des cookies tiers, notamment pour protéger la confidentialité des internautes. Comprenez par là que Google se rêve en maitre unique de la publicité sur internet. Ceci posant de nombreux problèmes techniques pour les plateformes, mais aussi l’organisme W3C, travaillant sur la standardisation et l’uniformisation du contenu.

Alors que l’on s’attarde – parfois à juste titre, parfois par facilité – sur le cas de Facebook et son utilisation de nos données, nous oublions qu’il y a tout un pan de notre utilisation d’internet qui se joue de nous. À chaque interaction, nous laissons des marqueurs, réutilisés ensuite pour nous suivre, et nous cibler. Or, il serait bon d’explorer le moyen d’inverser cette approche, en marquant nos données, pour savoir de quel point elles sont parties pour ensuite nous retoucher sur un site, ou, encore, sur Facebook. La plateforme a d’ailleurs renforcé ses outils dans ce sens, à travers l’onglet « pourquoi je vois cette publicité ? » lorsque l’on voit une annonce, mais aussi avec l’outil « Vos préférences publicitaires ».