Respect de la vie privée chez lesnu­me­riques

Dites lesnu­me­riques, quand je viens chez vous j’ai le droit à un superbe cadre pour deman­der mon consen­te­ment à plusieurs usages de mes données person­nelles.

Nos parte­naires et nous-mêmes utili­sons diffé­rentes tech­no­lo­gies, telles que les cookies, pour person­na­li­ser les conte­nus et les publi­ci­tés, propo­ser des fonc­tion­na­li­tés sur les réseaux sociaux et analy­ser le trafic. Merci de cliquer sur le bouton ci-dessous pour donner votre accord. Vous pouvez chan­ger d’avis et modi­fier vos choix à tout moment.

https://www.lesnu­me­riques.com

Ça pour­rait donner confiance dans votre respect de la loi mais…

J’ai soulevé le capot

Accès au site
La conservation d’informations ou l’accès à des informations déjà conservées sur votre appareil, par exemple des identifiants publicitaires, des identifiants de l’appareil, des cookies et des technologies similaires.

Pour­tant avant même que je consente, me voilà avec pile 139 cookies tous neufs (j’ai compté). La plupart contiennent des iden­ti­fiants uniques de pistage publi­ci­taires ou de mesure d’au­dience. Hallu­ci­nant !

Je ne compte pas là ceux qui exploitent des « tech­no­lo­gies simi­laires ». Certains ont utilisé le localS­to­rage du navi­ga­teur. Je serais étonné qu’au­cun ne m’iden­ti­fie via mon adresse IP, l’ex­ploi­ta­tion du cache du navi­ga­teur ou d’autres arti­fices. Pas vu pas pris, conten­tons-nous du certain.

Si je n’étais pas poli je dirais que vous vous foutez de ma gueule. D’au­tant qu’au­cun de ces iden­ti­fiants n’est supprimé si je refuse mon consen­te­ment par la suite. Une fois placés, ils seront utili­sés pour recou­per avec mes visites sur d’autres sites.

Mesure d'audience
La collecte d’informations relatives à votre utilisation du contenu et association desdites informations avec celles précédemment collectées afin d’évaluer, de comprendre et de rendre compte de la façon dont vous utilisez le service. Cela ne comprend pas la Personnalisation, la collecte d’informations relatives à votre utilisation de ce service afin de vous adresser ultérieurement du contenu et/ou des publicités personnalisés dans d’autres contextes, c’est-à-dire sur d’autres services, tels que des sites ou des applications.

Et pour­tant, avant même que je n’ac­cepte ou ne refuse, me voilà déjà pisté par Estat (Media­mé­trie), avec un iden­ti­fiant unique qui expire en 2020. J’ai aussi du Google Analy­tics et du Webo­rama.

Rien que ça.

Ces services ne se contentent pas de m’iden­ti­fier. Je n’ai pas encore pu accé­der au contenu de lesnu­me­riques que j’ai déjà des actions de collecte dans mon audit réseau. Si je visite d’autres sites plus tard, tout ça sera relié sur mon profil chez eux.

J’ai compté, ce fut long. Je suis pisté par au moins 44 services publi­ci­taires ou de profi­lage suite à mon accès initial à lesnu­me­riques. Je n’ai compté que ceux dont je suis certain qu’ils m’iden­ti­fient pour me pister.

À ce stade je n’ai pour­tant toujours consenti à rien, accédé à rien. Je suis encore sur la page qui me demande si j’ac­cepte avant d’al­ler plus loin.


Ça ne s’ar­rête pas là.

Non seule­ment tout ça va relier ma visite sur lesnu­me­riques avec celles que je fais ailleurs, mais dans ces pisteurs j’ai aussi des centres d’échanges.

Il en existe plusieurs mais je peux au moins parler de celui d’App­nexus. Sur lesnu­me­riques il me relie direc­te­ment aux iden­ti­fiants et méthodes de pistages d’au moins 28 services parmi les 44, sachant que eux-même se relient souvent aux autres ensuite. Il ne doit y en avoir qu’une poignée qui refusent d’échan­ger des infor­ma­tions.

Appnexus est présent sur un tiers des sites majeurs sur le web, sachant que même là où il n’est pas, il suffit qu’un seul pisteur parte­naire soit présent pour pouvoir ensuite tout relier. Il y avait une tren­taine de parte­naires directs rien que sur lesnu­me­riques.

À côté j’ai de toutes façons désor­mais un iden­ti­fiant Google Analy­tics. Ce dernier est partagé avec Google Syndi­ca­tion, Google Ad Services, Google Tag Services / Mana­ger, Double­click, Trade­lab et Everst­tech. Rien qu’a­vec ça ma visite sur lesnu­me­riques est relié à 80% des sites majeurs.

Comme ce n’est jamais assez, lors de ma visite sur lesnu­me­riques, mon iden­ti­fiant Appnexus a été partagé à Google Syndi­ca­tion et Everst­tech, eux-même liés à Google Analy­tics.

Tout ça alors que je n’ai toujours consenti à rien. Et me voilà irré­mé­dia­ble­ment relié à toutes mes visites ailleurs sur le web.


Lesnu­me­riques je t’en veux

Je t’en veux parce que tout ça tu le décides toi. Il y a pas mal de choses qui viennent des régies publi­ci­taires mais Appnexus et Google Analy­tics ont été char­gés direc­te­ment par tes pages, avant que j’aie consenti à quoi que ce soit.

Tu es respon­sable de tout ça. J’es­père juste me trom­per, avoir des expli­ca­tions, ou au moins voire des chan­ge­ments rapides.


Et après le refus ?

Après le refus c’est de toutes façons trop tard mais je suis allé jusqu’au bout des tests : J’ai refusé mon consen­te­ment, en bloc, sur toutes les options, avant de navi­guer plus loin.

Lors de mes premiers tests j’ai simple­ment cliqué sur « tout refu­ser ». L’en­semble des coches de la page sont passées au rouge, tout va bien.

Plus tard je suis revenu pour voir les parte­naires et j’en découvre un bon tiers au vert, auto­ri­sés !?!

Je refais le test avec un profil neuf et je suis capable de confir­mer : Quand je clique « tout refu­ser » le lien tout en bas qui mène vers la page des parte­naires me laisse encore actifs un bon tiers des parte­naires.

Là on n’est plus dans une mauvaise inter­face, on est carré­ment dans la trom­pe­rie !

Je décoche tout ça et je conti­nue. Les iden­ti­fiants posés sont restés. Aucune requête réseau n’a été envoyée aux diffé­rents services pour leur dire que je refu­sais le pistage.

Lors des inter­ac­tions suivantes les outils de mesure d’au­dience comme le profi­lage à visée publi­ci­taire ont conti­nué à envoyer des jour­naux de collecte, avec les mêmes iden­ti­fiants de pistage. La plupart en tout cas.


Quelque part c’est le moins grave mais l’ou­til qui permet de choi­sir si je consens envoie lui-même des jour­naux d’au­dit iden­ti­fiants à un tiers, avant et après mon choix, quel qu’il soit.

Ça montre juste à quel point tout ceci est une farce.


Peut-être qu’en interne j’ai eu de la publi­cité non-ciblée au lieu de la publi­cité ciblée. Peut-être que les trai­te­ments réali­sés par les divers services se permettent des choses diffé­rentes. Je n’en sais rien. Ça ne chan­ge­rait pas tous les problèmes déjà rele­vés.

Rejoindre la conversation

8 commentaires

  1. Note : J’ai eu un premier contact juste là, en plus de la part de quelqu’un avec qui j’ai déjà travaillé et en qui j’ai confiance, donc à minima je devrais avoir des explications.

      1. J’ai une une prise de contact de la directrice technique qui s’est révélée est une ancienne bonne collègue d’une vie professionnelle précédente. J’attends ses retours. J’ai prévu de reprendre contact après un mois.

        Je n’ai par contre toujours pas eu de retours à partir du formulaire de contact où je demande la procédure pour faire des requêtes/signalement auprès du DPO. Ca c’est plus gênant.

  2. J’avais dit que je donnerai des nouvelles :

    * J’ai eu un premier contact technique d’une ancienne connaissance suite au buzz twitter (c’est ainsi que ça m’a été dit). Il m’a été dit qu’ils regarderaient par rapport à la CMP Quantcast qu’ils utilisent et m’ont incité à les contacter directement via le formulaire en cas de problèmes.

    * Je n’ai pas eu de réponse à ma demande de contact DPO faite préalablement via le formulaire en question.

    * Je n’ai plus eu de nouvelles malgré une relance directe le 31 mars. Le délai prévu par le RGPD étant largement expiré.

    1. Rien. J’ai relancé la directrice technique mais sans succès. J’ai prévu de faire une passe technique pour confirmer que le problème existe toujours avant de faire un signalement à la CNIL.

      Après :
      – Je ne l’ai toujours pas fait et je ne sais pas quand je le ferais (question de temps, de priorités persos)
      – Ca n’aura probablement pas beaucoup d’effet si je suis le seul à le faire

  3. Bonjour,
    Ils ne vous ont toujours rien communiqué de plus ?

    Que pouvons-nous faire de façon collective afin de les faire bouger ? De plus en plus de sites utilisent quantcast.

    Merci

    1. Rien de plus malgré la relance. Je n’en attends plus rien. Maintenant ce qu’il faut c’est faire une belle plainte à la CNIL chacun de son côté.

      Pour ça :

      1- Constater que le site opère du traitement des données personnelles qui imposent un consentement libre et inconditionné au sens du RGPD (soit dans les faits via les requêtes réseau, soit via leurs propres déclarations dans les mentions légales)

      2- Constater que ce traitement est actif sans votre consentement explicite (soit avant que vous n’opériez de refus, soit même après ce refus)

      3- Chercher un point de contact RGPD sur le site. À défaut, prendre le moyen de contact générique et demander l’adresse de contact du DPO ou de la personne en charge des requêtes au titre du RGPD.

      4- Constater l’absence de réponse après un mois, ou l’absence d’explication satisfaisante aux éléments trouvés en 1 et 2

      5- Faire une plainte en ligne auprès de la CNIL avec les éléments 1 à 4 détaillés. J’insiste qu’il ne faut pas vous baser sur mon propre billet d’il y a plusieurs mois mais faire vos propres constatations et lettres.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par Scaleway, ONLINE SAS, joignable par téléphone au +33 (0)1 84 13 00 00 et joignable par courrier à l'adresse BP 438 - 75366 Paris Cedex 08.