Usage des données person­­­nelles par France Info et France Télé­vi­sion

En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience.

Bandeau en haut de page sur meta-media.fr

Pardon ? Ai-je bien lu ?

Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connais­sance une viola­tion du RGPD.

Les fautes sont graves et massives. Elles néces­sitent proba­ble­ment au moins de suppri­mer toutes les données dont on ne peut pas prou­ver qu’elles ont été obte­nues sans vice de consen­te­ment. Il est aussi possible que consi­dé­rant l’am­pleur des données concer­nées, un signa­le­ment offi­ciel de l’ano­ma­lie à la CNIL soit néces­saire de la part du respon­sable de trai­te­ment.

Ce qui suit concerne France Info et France Tele­vi­sion, et proba­ble­ment une majo­rité des sites du même groupe.

1/ Manque de consen­te­ment préa­lable

Lors de l’ac­cès à la page d’ac­cueil de France Info, sans réali­ser aucune inter­ac­tion clavier ni aucune inter­ac­tion souris (pas de clic, pas de dépla­ce­ment de souris au dessus d’élé­ments, pas de défi­le­ment de la page), le site fait des appels à xiti, chart­beat, urba­nair, et face­book avec des iden­ti­fiants uniques.

Cela veut dire qu’ils opèrent au mini­mum des collectes et trai­te­ments de mesures d’au­dience (et proba­ble­ment des collectes en vue de person­na­li­sa­tion futures) avant d’avoir un quel­conque consen­te­ment, qu’il soit impli­cite ou expli­cite.

Depuis mai 2018, le RGPD impose pour­tant un consen­te­ment préa­lable avant tout trai­te­ment de données person­nelles, hors certains cas légi­times qui ne peuvent pas inclure la mesure d’au­dience ou la person­na­li­sa­tion de conte­nus, ni la parti­ci­pa­tion à du pistage par des tiers (Face­book).

Je ne prends pas en compte ici les appels aux régies de publi­cité et autres bases de données de rela­tion client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la person­na­li­sa­tion mais je ne peux pas m’en assu­rer.

2/ Manque de consen­te­ment expli­cite

Un bandeau appa­rait à la première visite avec l’in­for­ma­tion suivante :

« En pour­sui­vant votre navi­ga­tion sur ce site de France Télé­vi­sions, vous accep­tez l’uti­li­sa­tion de cookies et traceurs servant à mesu­rer l’au­dience, à person­na­li­ser votre expé­rience et vous consen­tez à rece­voir de la publi­cité et des offres adap­tées à votre profil. »

Sur meta-media.fr j’ai un message simi­laire :

« En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience. »

Tout ou partie des usages décrits néces­sitent un consen­te­ment expli­cite et éclairé de la part des personnes concer­nées depuis la mise en place du RGPD en mai 2018.

La pour­suite de navi­ga­tion ne peut être consi­dé­rée comme un consen­te­ment expli­cite et éclairé suivant les termes du RGPD. Les collectes corres­pon­dantes sont donc viciées.

3/ Impos­si­bi­lité de refus de consen­te­ment

Quand on souhaite confi­gu­rer ses consen­te­ments, l’ou­til proposé n’offre pas de refus possible pour la caté­go­rie « réseaux sociaux », quand bien même ils sont « suscep­tibles d’iden­ti­fier les données de connexion et de navi­ga­tion de l’in­ter­naute ».

Cette infor­ma­tion a été confir­mée par les conseillers gérant le compte twit­ter :

Cette impos­si­bi­lité de refu­ser des trai­te­ments annexes les met là aussi très certai­ne­ment en viola­tion du RGPD mais ce n’est pas tout :

4/ Faux à l’en­re­gis­tre­ment des consen­te­ments

Si l’uti­li­sa­teur ne se voit pas propo­ser d’op­tion pour refu­ser le consen­te­ment, cette option est bien présente. Elle est juste cachée.

Comme elle est acti­vée par défaut, la vali­da­tion de la page de consen­te­ment, même pour ceux qui ont conscien­cieu­se­ment tout désac­tivé, enverra un consen­te­ment posi­tif expli­cite au registre des consen­te­ment.

Plus qu’une absence de choix expli­cite, France Tele­vi­sion produit un faux consen­te­ment posi­tif. On dépasse à mon sens les erreurs d’im­plé­men­ta­tions. Il y a là trom­pe­rie et produc­tion de faux.

5/ Absence d’in­for­ma­tion

Vous ne pouvez pas vous oppo­ser au trai­te­ment des réseaux sociaux dans l’ou­til, il enre­gis­trera tout de même un consen­te­ment posi­tif expli­cite alors que vous ne l’avez pas donné, mais il y a une infor­ma­tion qu’on pour­rait s’op­po­ser à certains de ces cookies sur la page « poli­tique de gestion des cookies et sdk ».

Sur cette longue page, on voit effec­ti­ve­ment en défi­lant qu’il existe un « sdk » pour Twit­ter. Aucun lien ou procé­dure n’est toute­fois donné pour s’y oppo­ser.

Ce défaut d’in­for­ma­tion est d’au­tant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

6/ Collecte et trai­te­ment malgré refus de consen­te­ment

Après avoir refusé expli­ci­te­ment tous les consen­te­ments sur les inter­faces, France Info et France Tele­vi­sion conti­nuent pour­tant la collecte et le trai­te­ment des données.

Ainsi, bien que les mesures d’au­dience soient expli­ci­te­ment refu­sées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats coun­ter, Outbrain et Google Tag.

Ici encore, je ne prétends pas faire une liste exhaus­tive et je ne prends pas en compte plusieurs pres­ta­taires du domaine publi­ci­taire dont il m’est impos­sible de confir­mer s’ils font ou pas du pistage par iden­ti­fiant unique et/ou de la person­na­li­sa­tion (même si c’est probable).


Le DPO de France Tele­vi­sion a été informé par email.

Mouais… Pauvre Benoît Pelle­tier… Il y a un peu de diffé­rence entre l’au­to­pro­mo­tion et la réalité.

Rejoindre la conversation

1 commentaire

  1. Oooops c’est clairement se moquer de ses visiteurs là. Merci pour cette enquête poussée. Peut-on évoquer les dark patterns (intentionnellement ou pas omission, peut-être même par limite de compétence technologique ?)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par Scaleway, ONLINE SAS, joignable par téléphone au +33 (0)1 84 13 00 00 et joignable par courrier à l'adresse BP 438 - 75366 Paris Cedex 08.