Usage des données person­­­nelles par France Info et France Télé­vi­sion

En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience.

Bandeau en haut de page sur meta-media.fr

Pardon ? Ai-je bien lu ?

Alors j’ai fouillé et ce n’est pas beau à voir. Chaque point est à ma connais­sance une viola­tion du RGPD.

Les fautes sont graves et massives. Elles néces­sitent proba­ble­ment au moins de suppri­mer toutes les données dont on ne peut pas prou­ver qu’elles ont été obte­nues sans vice de consen­te­ment. Il est aussi possible que consi­dé­rant l’am­pleur des données concer­nées, un signa­le­ment offi­ciel de l’ano­ma­lie à la CNIL soit néces­saire de la part du respon­sable de trai­te­ment.

Ce qui suit concerne France Info et France Tele­vi­sion, et proba­ble­ment une majo­rité des sites du même groupe.

1/ Manque de consen­te­ment préa­lable

Lors de l’ac­cès à la page d’ac­cueil de France Info, sans réali­ser aucune inter­ac­tion clavier ni aucune inter­ac­tion souris (pas de clic, pas de dépla­ce­ment de souris au dessus d’élé­ments, pas de défi­le­ment de la page), le site fait des appels à xiti, chart­beat, urba­nair, et face­book avec des iden­ti­fiants uniques.

Cela veut dire qu’ils opèrent au mini­mum des collectes et trai­te­ments de mesures d’au­dience (et proba­ble­ment des collectes en vue de person­na­li­sa­tion futures) avant d’avoir un quel­conque consen­te­ment, qu’il soit impli­cite ou expli­cite.

Depuis mai 2018, le RGPD impose pour­tant un consen­te­ment préa­lable avant tout trai­te­ment de données person­nelles, hors certains cas légi­times qui ne peuvent pas inclure la mesure d’au­dience ou la person­na­li­sa­tion de conte­nus, ni la parti­ci­pa­tion à du pistage par des tiers (Face­book).

Je ne prends pas en compte ici les appels aux régies de publi­cité et autres bases de données de rela­tion client. Il est possible (voire probable) que ces services fassent du pistage et/ou de la person­na­li­sa­tion mais je ne peux pas m’en assu­rer.

2/ Manque de consen­te­ment expli­cite

Un bandeau appa­rait à la première visite avec l’in­for­ma­tion suivante :

« En pour­sui­vant votre navi­ga­tion sur ce site de France Télé­vi­sions, vous accep­tez l’uti­li­sa­tion de cookies et traceurs servant à mesu­rer l’au­dience, à person­na­li­ser votre expé­rience et vous consen­tez à rece­voir de la publi­cité et des offres adap­tées à votre profil. »

Sur meta-media.fr j’ai un message simi­laire :

« En pour­sui­vant votre navi­ga­tion sur ce site, vous accep­tez l’uti­li­sa­tion de cookies pour vous permettre de parta­ger du contenu via les boutons de partage de réseaux sociaux, pour vous propo­ser des publi­ci­tés ciblées adap­tées à vos centres d’in­té­rêts et pour nous permettre de mesu­rer l’au­dience. »

Tout ou partie des usages décrits néces­sitent un consen­te­ment expli­cite et éclairé de la part des personnes concer­nées depuis la mise en place du RGPD en mai 2018.

La pour­suite de navi­ga­tion ne peut être consi­dé­rée comme un consen­te­ment expli­cite et éclairé suivant les termes du RGPD. Les collectes corres­pon­dantes sont donc viciées.

3/ Impos­si­bi­lité de refus de consen­te­ment

Quand on souhaite confi­gu­rer ses consen­te­ments, l’ou­til proposé n’offre pas de refus possible pour la caté­go­rie « réseaux sociaux », quand bien même ils sont « suscep­tibles d’iden­ti­fier les données de connexion et de navi­ga­tion de l’in­ter­naute ».

Cette infor­ma­tion a été confir­mée par les conseillers gérant le compte twit­ter :

Cette impos­si­bi­lité de refu­ser des trai­te­ments annexes les met là aussi très certai­ne­ment en viola­tion du RGPD mais ce n’est pas tout :

4/ Faux à l’en­re­gis­tre­ment des consen­te­ments

Si l’uti­li­sa­teur ne se voit pas propo­ser d’op­tion pour refu­ser le consen­te­ment, cette option est bien présente. Elle est juste cachée.

Comme elle est acti­vée par défaut, la vali­da­tion de la page de consen­te­ment, même pour ceux qui ont conscien­cieu­se­ment tout désac­tivé, enverra un consen­te­ment posi­tif expli­cite au registre des consen­te­ment.

Plus qu’une absence de choix expli­cite, France Tele­vi­sion produit un faux consen­te­ment posi­tif. On dépasse à mon sens les erreurs d’im­plé­men­ta­tions. Il y a là trom­pe­rie et produc­tion de faux.

5/ Absence d’in­for­ma­tion

Vous ne pouvez pas vous oppo­ser au trai­te­ment des réseaux sociaux dans l’ou­til, il enre­gis­trera tout de même un consen­te­ment posi­tif expli­cite alors que vous ne l’avez pas donné, mais il y a une infor­ma­tion qu’on pour­rait s’op­po­ser à certains de ces cookies sur la page « poli­tique de gestion des cookies et sdk ».

Sur cette longue page, on voit effec­ti­ve­ment en défi­lant qu’il existe un « sdk » pour Twit­ter. Aucun lien ou procé­dure n’est toute­fois donné pour s’y oppo­ser.

Ce défaut d’in­for­ma­tion est d’au­tant plus gênant que les équipes connaissent ces liens et savent les donner quand une personne sait que c’est un problème et le signale :

6/ Collecte et trai­te­ment malgré refus de consen­te­ment

Après avoir refusé expli­ci­te­ment tous les consen­te­ments sur les inter­faces, France Info et France Tele­vi­sion conti­nuent pour­tant la collecte et le trai­te­ment des données.

Ainsi, bien que les mesures d’au­dience soient expli­ci­te­ment refu­sées, des appels partent encore à Xiti, New Relic (la partie audience et mesures), Global Stats coun­ter, Outbrain et Google Tag.

Ici encore, je ne prétends pas faire une liste exhaus­tive et je ne prends pas en compte plusieurs pres­ta­taires du domaine publi­ci­taire dont il m’est impos­sible de confir­mer s’ils font ou pas du pistage par iden­ti­fiant unique et/ou de la person­na­li­sa­tion (même si c’est probable).


Le DPO de France Tele­vi­sion a été informé par email.

Mouais… Pauvre Benoît Pelle­tier… Il y a un peu de diffé­rence entre l’au­to­pro­mo­tion et la réalité.

Réponse de France Tele­vi­sion

J’ai eu une réponse le 14 février. Je ne vais pas dire que c’est rapide, mais j’ai telle­ment de réponses qui prennent parfois 2 mois quand je parle données person­nelles, que j’en viens presque à trou­ver ça posi­tif.

La réponse l’est moins. Extrait :

Les déca­lages obser­vés dans la gestion des cookies et autres traceurs sur les sites visés (meta-media.frfran­cet­vinfo.frfran­ce­te­le­vi­sions.fr) par rapport aux nouvelles lignes direc­trices de la CNIL en la matière ont bien été iden­ti­fiés, et les correc­tions néces­saires inté­grées à notre plan de mise en confor­mité dans les délais requis par la CNIL.

Lors de la présen­ta­tion de son plan d’ac­tion sur le ciblage publi­ci­taire pour l’an­née 2019–2020, la CNIL a en effet indiqué que son ancienne recom­man­da­tion du 5 décembre 2013 rela­tive aux cookies et autres traceurs était deve­nue obso­lète suite à l’en­trée en appli­ca­tion du RGPD, en ce qu’elle permet­tait le recueil du consen­te­ment de l’uti­li­sa­teur via la simple pour­suite de sa navi­ga­tion. Sa déli­bé­ra­tion du 4 juillet 2019 prévoit ainsi la fin de la pour­suite de la navi­ga­tion comme moyen d’ex­pres­sion du consen­te­ment. Afin toute­fois de lais­ser aux éditeurs de sites le temps néces­saire à l’adap­ta­tion tech­nique de leurs sites, la CNIL prévoit une période de mise en confor­mité à ses nouvelles règles, qui pren­dra fin à l’ex­pi­ra­tion d’un délai de six mois suivant l’adop­tion défi­ni­tive de sa recom­man­da­tion sur les moda­li­tés pratiques de recueil du consen­te­ment, dont le projet est actuel­le­ment soumis à consul­ta­tion publique jusqu’au 25 février 2020.

Cette posi­tion de la CNIL est un vrai problème. Elle n’a aucun pouvoir ni légis­la­tif ni judi­ciaire et son pouvoir admi­nis­tra­tif ne l’au­to­rise en rien à donner un sauf-conduit sur l’ap­pli­ca­tion de la loi française ou euro­péenne (et donc du RGPD qui est appli­cable depuis mai 2018 au niveau euro­péen et enté­riné dans la loi française en juin 2018).

Ce qui est en viola­tion du RGPD reste illé­gal et punis­sable auprès des tribu­naux, quand bien même la CNIL renon­ce­rait à faire dili­gence sur sa propre mission admi­nis­tra­tive.

Malheu­reu­se­ment les éditeurs se servent des lenteurs de la CNIL et d’un texte de 2013, pré-RGPD, comme paravent pour s’exo­né­rer de leurs obli­ga­tions. Ces fumis­te­ries doivent prendre fin très rapi­de­ment !

Je ne compte même pas la mauvaise foi :

Dans cet inter­valle, nous conti­nuons à travailler sur l’amé­lio­ra­tion de la gestion des traceurs utili­sés sur nos sites. Celle-ci se heurte à certaines contraintes tech­niques impo­sées par des tiers comme Face­book, dont les cookies font l’objet d’une infor­ma­tion des utili­sa­teurs sur les moyens de s’op­po­ser à leur utili­sa­tion via les liens présents dans notre poli­tique de gestion des cookies, et non direc­te­ment dans notre gestion­naire de cookies.

Je tiens aussi à vous infor­mer que pour remé­dier à certaines de ces diffi­cul­tés, et proté­ger davan­tage les données person­nelles de nos utili­sa­teurs, nous avons pris la déci­sion de mettre un terme à l’usage du « social login » (le dispo­si­tif permet­tant de créer un compte utili­sa­teur via son compte de réseau social) avec Face­book et Google sur les sites fran­cet­vinfo.fr et france.tv.

Il y a peu de chances que le retrait des créa­tion de compte via un four­nis­seur d’iden­tité tiers (Face­book, Google) ait été motivé pour limi­ter la collecte de données person­nelles. En tout cas reti­rer une fonc­tion­na­lité qui ne peut être que ponc­tuelle, volon­taire et expli­cite de la part du visi­teur et en paral­lèle lais­ser les traceurs invi­sibles de la même source sans donner de moyen simple de s’y oppo­ser… j’ap­pelle ça être hypo­crite.


Publié

dans

par

Étiquettes :

Commentaires

Une réponse à “Usage des données person­­­nelles par France Info et France Télé­vi­sion”

  1. Avatar de Sam

    Oooops c’est clairement se moquer de ses visiteurs là. Merci pour cette enquête poussée. Peut-on évoquer les dark patterns (intentionnellement ou pas omission, peut-être même par limite de compétence technologique ?)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *