Facebook est une plateforme dont la qualité du ciblage publicitaire n’est plus à vanter. Des affinités avec des marques, des sujets, des appareils, ou même un degré de maturité dans une décision d’achat … il y existe de nombreux paramètres qui permettent aux annonceurs d’aller au-delà des simples critères âge, genre, ville. L’exploitation des données des utilisateurs est un trésor bien gardé par la société de Mark Zuckerberg. En 2019, 98,5% des revenus de Facebook provenaient des dépenses publicitaires des annonceurs. Une ressource stratégique et vitale, qui reste souvent pointée du doigt, à cause de ses qualités, justement. Mais figurez-vous que le réseau social n’est pas seul maître de l’apparition des publicités dans le fil d’actualité.

Au fil de la période de confinement, au hasard de mes pérégrinations sur Facebook, entre des vidéos de Konbini, celles d’indonésiens qui construisent des cabanes dans la forêt, et des recettes de Tasty, une publicité attire mon attention. On veut me vendre un sweat-shirt personnalisé sur le site Teezily. Imprimé au milieu du vêtement, c’est mon nom de famille qui est écrit.

Un sweatshirt personnalisé au nom de famille avec écrit : RELAX, BLANCHOT EST LÀ

“RELAX, BLANCHOT EST LÀ”. Capture d’écran : Siècle Digital / Facebook.

Créée en 2013, Teezily offre à ses utilisateurs la possibilité de vendre des impressions à la demande, à partir de visuels qu’ils auront créé au préalable, grâce à une quarantaine d’imprimeurs à travers le monde. Plébiscitée par de nombreux internautes, elle enregistre des pics de création allant « de 17 000 à 20 000 t-shirts par jour », précise Charles Dilaser, PDG de Teezily.

Comment cette publicité peut-elle arriver jusqu’à moi ?! Est-ce que Facebook autorise les annonceurs à cibler les utilisateurs par leur nom de famille ?

Dans ses règles publicitaires, Facebook reste évasif sur les méthodes de ciblage qui peuvent être pratiquées. C’est notamment le cas du ciblage par nom de famille. Puisque son Ad Manager le permet, c’est autorisé. Néanmoins, les annonceurs ne doivent pas être explicites dans leurs accroches. Par cette règle, l’effet intrusif est proscrit, à l’avantage de Facebook.

Voici ce qui est énoncé dans les règles publicitaires prohibées :
Les publicités ne doivent pas inclure de contenu affirmant ou insinuant des attributs personnels.
Ce qui est autorisé : « Nous imprimons des t-shirts et stickers personnalisés portant votre nom ! »
Ce qui n’est pas autorisé : « Billy Taylor, recevez ce t-shirt portant votre nom imprimé ! » « C’est le truc de Billy » (si son nom est Billy).

Cette mesure n’a été mise en place qu’en 2014. Et si Facebook prend spécifiquement l’exemple d’une publicité pour un t-shirt personnalisé, ce n’est pas anodin. Quelques mois plus tôt, beaucoup d’annonces, aux États-Unis notamment, avaient pollué le réseau social. Elle ciblaient les utilisateurs par leur nom de famille, et parfois par leur prénom. Ce tour de magie était rendu possible grâce à une technologie développée par le réseau social en personne : l’Open Graph.

Point faible : trop fort, et pas assez contrôlé. C’est justement de cet Open Graph qu’est arrivé le scandale Cambridge Analytica en mars 2018. Une fuite massive de données d’utilisateurs de Facebook, réutilisées pour affiner de façon granulaire le ciblage de publicités, dans le but d’influencer les électeurs américains. Un véritable choc pour Facebook. Il aura fallu plus de 10 ans pour que le réseau social prenne conscience de la grande responsabilité qu’il a vis-à-vis de la protection des données personnelles, et de la vie privée de ses utilisateurs. À la suite de cette affaire, de nombreux outils de transparence ont été élaborés pour nous aider à contrôler l’accès à nos informations, paramétrer notre confidentialité, et enrayer des dérives mises en lumière par les médias.

Malgré ce long travail d’introspection pour Facebook, et l’instauration du RGPD, il existe encore des failles, souvent exploitées pour vendre des vêtements personnalisés. Un jeu du chat et de la souris entre des plateformes impuissantes, des annonceurs peu scrupuleux, et un Facebook qui tente de protéger son trésor publicitaire, parfois ses utilisateurs. Des failles qui ne datent pas d’hier comme le présentait Le Figaro. Aujourd’hui, elles permettent à un annonceur de me cibler par mon nom de famille, mais aussi celui de milliers d’autres personnes.

Nous avons dû arrêter de compter

Ce que nous avons découvert, ce sont plusieurs milliers de pages Facebook faisant la promotion de sweatshirts personnalisés vendus sur le site Teezily, depuis septembre 2019. Elles sont administrées par groupe. Par exemple, un premier que nous avons remarqué allait du nom Family Apparel A1 à Family Apparel Z10. En creusant nous avons identifié d’autres incrémentations allant de Family AA No1 à Family ZZ5 No1, ou encore avec la forme AB8 Store. Certaines pages étaient de temps à autre créées en double.

Pendant nos semaines de recherches, certaines étaient créées la veille, dévoilant un autre pan de la méthode de vente : la publicité. À plusieurs jours d’intervalles, des pages diffusaient des dizaines d’annonces, chacune ciblant un nom de famille différent. Après avoir noté les ID de publicité et de page, ce sont plus de 1 000 annonces que nous avons enregistrées. Pour écouler ces produits, deux pays étaient principalement visés : la France et l’Allemagne. Dans les paramètres des publicités, 8 pays au total étaient ciblés : la France, l’Egypte, la Belgique, la Suisse, les Pays-Bas, le Luxembourg, l’Allemagne, et l’Autriche. Plus nous notions les pages dans notre tableur, plus il y avait de publicités à ajouter, si bien que nous avons dû arrêter de compter tant la tâche devenait chronophage.


Aperçu de la diffusion publicitaire d’une page Facebook


Aperçu de la diffusion publicitaire d’une page du réseau identifié. Capture d’écran : Siècle Digital / Facebook.

Si nous avons noté plus de 1 000 publicités ciblant un nom de famille différent, il est fort probable qu’en réalité plusieurs dizaines de milliers d’annonces aient été diffusées depuis septembre 2019 ! Une opération bien en place dont la légalité est difficile à prouver. Du côté de Facebook en tout cas, les règles de bases sont respectées : les attributs personnels ne sont pas cités directement, seulement en image.

Ce qui laisse un (très) gros doute sur la légalité d’une telle opération, au-delà de la création de milliers de pages, c’est le ciblage des utilisateurs par leur nom de famille. Pour y parvenir, les publicités exploitent en masse une donnée très personnelle (des adresses email) pour les faire correspondre à un profil. En effet, les outils de transparence publicitaire de Facebook permettent de savoir “pourquoi je vois cette publicité”, avec le détail du ciblage. Dans mon cas, le réseau social me rappelle ceci : Family Apparel Q1 a utilisé une liste pour vous montrer cette pub.

Soit. Mais est-ce que je connais la marque Family Apparel (Q1), a-t-elle mon autorisation pour utiliser mes données personnelles ? Évidemment non. Mais comme dans le cas Perrine Signoret, journaliste de Numerama qui avait tenté de remonter à la source de l’utilisation de son adresse email, il est possible que les pages passent par un système opaque de location de données – malheureusement, ce n’est pas LiveRamp que l’on voit apparaître grâce aux outils de Facebook… Pire encore, il est fort probable que la vaste base de données utilisée soit piratée, tant il est facile de s’en procurer aujourd’hui. Même Facebook encore en 2019 laissait quelques centaines de millions de données s’échapper. En cliquant sur l’onglet que me propose Facebook pour en savoir plus, j’apprends que je figure « sur une liste importée par Pham Huy-BM 25 ». Une liste « hashed » contenant mon adresse e-mail.

Capture d'écran du détail du ciblage publicitaire à partir des outils de transparence de Facebook

Capture d’écran : Siècle Digital / Facebook

Pham Huy-BM 25, n’est ni une société, ni une personne. Pham Huy-BM 25 ne possède pas de page Facebook, n’est pas identifiable comme une entreprise basée au Vietnam ou ailleurs, et il n’existe pas de profil pouvant l’identifier avec certitude. Pham Huy-BM 25 n’est rien. C’est un fantôme qui exploite des pages fantômes. En revanche, les personnes derrières les adresses e-mail dans sa base de données et les produits qu’il vend sont bien réels.

Comment toutes ces adresses ont été obtenues ? Le mystère reste entier.

Teezily laisse faire, Facebook prospère, l’internaute y perd

« Ils sont très très organisés. (…) il y a la personne qui va trouver les niches, la personne qui va trouver les noms de famille les plus utilisés, il y a l’équipe de designers, il y a une personne en charge de lancer les pubs, et une dernière en charge d’optimiser ces pubs. Ce sont des équipes d’une centaine de personnes derrière », nous explique Charles Dilaser, PDG et co-fondateur de Teezily.

Si presque tous les vendeurs qui font de la publicité pour promouvoir leurs produits sur Teezily suivent les règles, on s’avoue impuissant face à un phénomène connu, et qui n’est pas récent. « C’est peut-être un constat d’échec, mais ce sont des gens qui sont plus malins que moi. Vous me signalez un compte, je bannis ce compte, mais la personne derrière va en créer un 5 minutes après, avec un nouvel email et une série de chiffres derrière. On recommence, et c’est un nouveau compte, avec un email similaire », poursuit Charles Dilasser. « Moi, la commande, une fois qu’elle est arrivée et que quelqu’un a payé, je gère le processus de création, l’achat, l’expédition, le service client… Le marketing qui suit la création du produit, ce n’est pas ma responsabilité. »

Du côté de Facebook en revanche, il semblerait que le processus de protection des utilisateurs soit quelque peu laxiste. Comment un annonceur peut-il importer une telle base de données, l’utiliser sur autant de pages, et générer autant de publicités, sans que le moindre contrôle soit effectué ? Chez Facebook, on nous assure que nous aurons des réponses à nos nombreuses interrogations. Nous attendons toujours, malgré la transmission de la quasi-totalité des informations récoltées.

Autre problème : le profil de l’annonceur ayant disparu depuis, impossible de faire valoir un quelconque droit sur ses données.

Il ne faut pas chercher bien loin pour comprendre à qui profite le crime. D’un côté, et à juste titre, Teezily ne peut surveiller ses vendeurs, mais encaisse tout de même l’achat du vêtement ; de l’autre Facebook se dédouanera probablement en expliquant qu’il ne peut contrôler chaque base de données importée sur son site, mais empoche les dépenses publicitaires. L’internaute en sort irrémédiablement perdant.

Évidemment, des deux côtés, des processus de contrôle simples pourraient voir le jour dans le but de protéger l’utilisateur, ou enrayer ce phénomène, mais quel intérêt ? On pourrait espérer voir le RGPD évoluer sur la traçabilité des données personnelles, comme c’est le cas avec les produits alimentaires. Sans cadre juridique pour responsabiliser Facebook et les plateforme de vente de vêtements personnalisés, habituées à ces pratiques, il sera impossible d’avancer.