loader image

À la chasse aux données personnelles

Internet : l’illusion du libre-arbitre ? – Épisode 2

Dans cette série – Internet : l’illusion du libre-arbitre ? – Anaïs Maréchal s’intéresse à l’impact d’internet sur notre libre-arbitre. Le deuxième épisode de la série dévoile, avec un exemple concret, la quantité et la sensibilité des données que nous laissons sur notre passage en ligne.

«Bon anniversaire, Marc. Le 5 décembre 2008, tu fêteras tes vingt-neuf ans. Tu permets qu’on se tutoie, Marc ? Tu ne me connais pas, c’est vrai. Mais moi, je te connais très bien.» Fin 2008, la revue Le Tigre frappe fort : elle décrit avec précision l’intimité de Marc, un citoyen ordinaire, en se basant uniquement sur des informations disponibles publiquement sur internet.

2021. La prise de conscience est collective. Ipsos estime que 78 % des citoyens se sentent concernés par la confidentialité en ligne. Nous avons même le luxe de choisir : 41 % des internautes refusent systématiquement ou partiellement le dépôt de cookies d’après une étude de juin 2021. Pourtant, nombre d’entre nous continuent à utiliser les réseaux sociaux … voir à les alimenter. Après tout, nous n’avons rien à cacher. C’est le «paradoxe de la vie privée» : nous redoutons la surveillance mais notre pratique est en totale contradiction avec cette pensée.

À travers le récit de ma rencontre avec mon empreinte numérique à moi, Anaïs, que diriez-vous de prendre quelques minutes pour réfléchir librement à ce que vous souhaitez faire de vos données personnelles ?

Arrêtons-nous d’abord sur ApplyMagicSauce. Cet outil de profilage – accessible à tous – a été développé par l’Université de Cambridge sur la base des connaissances actuelles en psychologie. Je commence par télécharger mes données Facebook, Twitter et Linkedin, que je fournis à l’algorithme. Plutôt impulsive qu’organisée, traditionnelle que libérale, décontractée que stressée … voilà le portrait que les géants du numérique dressent de moi ! Leur objectif est simple : établir notre profil pour nous envoyer les publicités les plus pertinentes. Les réseaux sociaux sont les maîtres en la matière : l’entreprise Clario relève que Facebook collecte près de 80 % de nos données personnelles (numéro de téléphone, âge ou encore notre visage et notre voix). L’application est suivie par Instagram (69 %), Tinder (61 %) et Grindr (59 %).

Plus de 250’000 attributs pour nous cibler

Est-ce que mon profil Facebook suffit aux publicitaires pour choisir la réclame la plus adaptée ? L’outil AdAnalyst m’aide à y voir plus clair. Pendant un mois, cette extension m’a renseignée sur les intérêts que Facebook m’attribue et les publicités reçues : j’ai été la cible de 25 annonceurs. «Nos mesures ont montré que les publicitaires peuvent sélectionner parmi plus de 250’000 attributs, dont beaucoup sont très spécifiques et parfois sensibles tels que ‘l’intérêt dans les mouvements anti-avortement’», explique au Journal du CNRS Oana Goga, chercheuse en informatique responsable du projet AdAnalyst. Par exemple, suite à une escale en train à Dijon, j’ai vu des publicités autour de la région. Pourtant, aucune mention de ce trajet sur mon compte Facebook ! Les chercheurs montrent que 90 % des utilisateurs américains sont en fait reliés à des données collectées hors ligne grâce à des partenariats avec des courtiers en données.

Ces spécialistes disposent d’autres informations que celles que nous divulguons sur les réseaux sociaux grâce aux fameux cookies. Ces petits fichiers sont déposés sur notre ordinateur par le navigateur (Firefox, Safari, GoogleChrome, etc.). Lorsque nous visitons un site, un identifiant nous est attribué et inscrit dans le cookie. Plus tard, lorsque nous revisitons le même site, il lira le cookie et comprendra que la même personne s’est de nouveau connectée.

Pour visualiser les cookies déposés lors de votre navigation, rien de plus simple. La Commission nationale informatique et libertés (CNIL) met à disposition le logiciel CookieViz. Une fois celui-ci installé, je m’empresse de naviguer sur internet : à chaque site que j’ouvre, des icônes bourgeonnent autour. Figaro.fr : une cinquantaine de cookies apparaissent. Impots.gouv.fr : hop, un nouveau cookie. Un tour sur Facebook m’emmène sur un article de midilibre.fr. Là, le cookie nommé «xiti» déposé lors de ma visite sur impots.gouv.fr se connecte soudainement à midilibre.fr.

Des cookies déposés par des dizaines d’entreprises tierces

Comme ce lien est-il possible ? Xiti a en fait été déposé par une entreprise tierce lors de ma navigation : il n’est géré ni par impots.gouv.fr, ni par midilibre.fr. Ces cookies-tiers sont souvent déposés par des régies publicitaires ou des annonceurs. Dans une étude publiée en février 2021, le Laboratoire d’innovation numérique de la CNIL analyse 1000 sites internet. Leur ouverture peut permettre jusqu’à 79 tiers d’accéder aux informations de navigation ! Ils enregistrent par exemple notre lieu de connexion ou la durée de visite. Les publicitaires ont tout intérêt à les placer sur différents sites, comme le décrit Tiphaine Caulier, juriste à la CNIL : « Les cookies sont des traceurs qui permettent de suivre l’internaute de site en site et ainsi d’enrichir son profil. » En 2016, des chercheurs de l’Université de Princeton visitent un million de sites internet différents. Ils dénombrent 81’000 entreprises tierces capables de suivre les internautes, la plupart du temps seulement sur quelques sites internet. Parmi elles, Facebook, Google et Twitter détiennent le monopole : ils sont en mesure de traquer les utilisateurs parmi plus de 100’000 sites différents ! 

À ce stade, l’enquête se corse. Il est possible d’interroger ces entreprises tierces : le Règlement général sur la protection des données (RGPD) prévoit un droit d’accès aux données. La CNIL propose même un e-mail prêt à l’emploi. En réponse à cet e-mail, plusieurs sociétés me demandent une pièce d’identité ou encore un numéro de téléphone. Pire, le courtier Acxiom ne donne accès à son formulaire qu’une fois la carte d’identité envoyée et validée par une entreprise externe. «Ce sont des demandes complétement abusives : le RGPD ne requiert pas d’apporter une preuve par défaut de l’identité !», commente Bastien Le Querrec, membre de la Quadrature du Net, une association de défense des droits et libertés sur internet. Au final, parmi la dizaine de sociétés contactées, une n’a jamais répondu, et les autres affirment ne disposer d’aucune information sur moi. Sauf Valiuz, une alliance regroupant des sociétés comme Auchan, Leroy Merlin, Norauto ou encore Kiabi.

Dans le tableur que la société m’envoie, je peux lire l’historique de ma navigation sur le site leroymerlin.fr : quels produits j’ai consultés, combien de temps a duré ma session, etc. Et comme Valiuz est une alliance de commerçants, elle dispose d’autres informations. En créant des comptes fidélité chez différentes enseignes, j’ai communiqué mon adresse, la composition de mon foyer, et mes achats sur internet et en magasin sont enregistrés. Valiuz peut très facilement comprendre qu’au printemps dernier, j’ai réalisé des travaux de décoration chez moi et ainsi m’envoyer la publicité adaptée ! La clé de la publicité ciblée est de croiser le plus d’informations possibles. Les courtiers récupèrent donc les données des cookies mais également celles en accès libre, des formulaires ou encore celles des cartes fidélité.

À partir de cet instant, exit les cookies, je refuse systématiquement. Opération incognito : je vide le cache de mon navigateur ; je navigue avec Firefox, qui intègre des protections contre le traçage ; j’installe un bloqueur de traceurs comme uBlock Origin ou Ghostery ; et je contacte Valiuz pour leur demander d’exercer mon droit à l’effacement. Me voici prête à surfer anonymement sur internet, et tant pis si les publicités ne me correspondent pas !

Impossible d’échapper complétement au pistage

Il faut surmonter quelques obstacles. Difficile parfois de trouver le bouton «Je refuse» à l’arrivée sur un site internet. «Refuser les cookies doit être aussi facile que d’accepter, détaille Tiphaine Caulier. C’est l’une de nos priorités d’action actuelles, 40 entreprises ont reçu une mise en demeure pour se mettre en conformité.» Encore pire : marmiton.org m’oblige à accepter les cookies si je veux naviguer gratuitement ! «Pour nous ce n’est pas conforme à l’esprit du RGPD, nous sommes effarés que la CNIL laisse passer ces pratiques, répond Bastien Le Querrec. C’est un manque de volonté politique.»

Il est très compliqué de bloquer complétement le pistage sur internet. «Il s’agit sans cesse d’un jeu du chat et de la souris, les régies publicitaires étant toujours à la recherche de nouvelles techniques de contournement», confirme Bastien Le Querrec. Des entreprises comme Criteo, l’un des leaders français du ciblage publicitaire, ont mis au point des techniques qui trompent les bloqueurs de traqueurs en changeant le nom du cookie déposé. «Cela permet de contourner certaines restrictions du navigateur, mais le recueil du consentement de l’utilisateur reste toujours nécessaire», précise Nacéra Bekhat, adjointe à la cheffe du service des affaires économiques de la CNIL.

Alors, que vous ayez consenti librement ou pas, une fois vos informations personnelles divulguées, elles vont passer de main en main, être triturées, triées, classifiées … une véritable épopée parmi l’écosystème de la publicité, que nous vous proposons de découvrir dans le prochain épisode !

Newsletter de Liber-thé

Des articles, des études, toute l'actualité libérale dans notre newsletter. Une fois par mois.
Je m'inscris
close-link