Facebook reçoit des données de milliers d’entreprises, jusqu’à 48 000 pour une personne
IT Zucks
Consumer Reports et nos confrères de The Markup viennent de publier le résultat d’une étude sur le partage d’informations entre Facebook et… des dizaines de milliers d’entreprises aux États-Unis. Cela ne devrait pas surprendre grand monde sur le principe, mais l’ampleur reste tout de même impressionnante.
Consumer Reports s’est penché sur la question à l’aide d’un panel de 709 volontaires américains qui ont accepté de partager leurs archives de données Facebook (sur les trois dernières années).
Au total, un peu plus de 1 000 fichiers de données ont été envoyés à Consumer Reports, mais « certains contenaient des informations autres que les données publicitaires […], tandis que d'autres n’avaient aucune donnée ». Ils ont donc été laissés de côté.
L’association de consommateurs a ainsi pu « examiner une technique de suivi normalement cachée : celle de "serveur-to-serveur", dans lequel les données personnelles passent des serveurs d’une entreprise à ceux de Meta ».
709 participants pour… 186 892 entreprises
Consumer Reports prend bien soin de préciser que son étude se base sur « un groupe d’utilisateurs volontaires et que les résultats n’ont pas été ajustés démographiquement », d’autant qu’un nombre « disproportionné » de personnes se trouvait en Californie, à New York et au Texas. De plus, les personnes participant à cette étude sont probablement plus soucieuses que les autres de leurs données personnelles.
L’étude n’est donc pas représentative de la population américaine dans son ensemble. On ne peut pas non plus l’étendre ailleurs dans le monde, notamment en Europe d’autant plus avec le RGPD (nous y reviendrons). Cela ne l’empêche évidemment pas d’être très intéressante, car elle permet d’établir un premier état des lieux. La méthodologie de l’étude est détaillée dans ce document (.pdf).
Consumer Reports a dénombré pas moins de « 186 892 entreprises » partageant des données avec le réseau social… excusez du peu ! « En moyenne, chaque participant de l'étude a vu ses données envoyées à Facebook par 2 230 entreprises ».
Le grand écart des statistiques
Mais cela varie grandement en fonction des personnes, certaines dépassant allégrement les 7 000 entreprises ayant envoyé à Facebook des données les concernant, avec un triste record à près de… 48 000 pour une seule personne ! A contrario, « 52 % des entreprises partageaient des données d’un seul volontaire de l’échantillon, ce qui suggère qu’elles utilisaient des données d'audiences ou d'événements personnalisés pour le "micro-ciblage" ». Cela montre aussi que de petites entreprises (y compris locales) n’hésitent pas à partager leurs données avec le réseau social.
34 % des 186 892 entreprises sont identifiées par une URL. La majorité des sociétés sont par contre « répertoriées sous forme de texte libre et, dans de nombreux cas, ces noms ne correspondaient pas clairement à une entreprise ». Enfin, « plus de 7 000 entreprises portaient des noms totalement non identifiables, impossibles à associer à une société particulière ».
Pas facile en effet de retrouver qui se cache derrière un identifiant du genre « Bm 5 100tkqc nlm ». En moyenne, selon l’étude, « 113 entreprises non identifiables ont partagé des données de consommation sur chaque participant à l'étude ».
Trois data brokers sur le podium, LiveRamp en tête
Le data broker américain LiveRamp sort du lot : il est présent dans 96 % des données des participants de l’étude. Les trois premières places sont occupées par des courtiers en données, avec Acxiom en deuxième position et Experian Marketing Services en troisième.
Signe de l’importance et omniprésence de ces data brokers en ligne, Consumer Reports précise en note de bas de page entretenir « une relation commerciale avec LiveRamp et un autre courtier en données, Acxiom ». Il est question de « partage des données avec chacune de ces entreprises afin d’aider [l’association] à mener à bien sa mission ».
On y retrouve aussi des enseignes comme Home Depot, Macy's et Walmart. Elles apparaissent toutes les trois dans le top 100 de l’étude. Amazon (10e), Etsy (71e), PayPal (18e), Uber (79e) et Walt Disney World (96e) sont également présentes. Consumer Reports apparait elle-même en 56e position.
Deux types de flux de données arrivent chez Meta
Les données viennent de deux canaux. Les audiences personnalisées tout d’abord, qui concernent 693 des 709 volontaires. Elles « permettent aux annonceurs de transférer des listes de clients sur Meta, comprenant souvent des identifiants tels que des adresses e-mail et des identifiants publicitaires mobiles », pour ensuite proposer de la publicité ciblée sur les différents sites de Meta (Facebook, Instagram, Messenger).
« L’autre catégorie de collecte de données, "événements", décrit les interactions que l’utilisateur a eues avec une marque, qui peuvent se produire en dehors des applications Meta et dans le monde réel ». 682 des 709 volontaires sont concernés.
Plusieurs exemples sont mis en avant : visiter une page web, améliorer son niveau dans un jeu, se rendre dans un magasin physique, acheter un produit, etc. Ces « signaux » peuvent venir « du code d’application Meta ajouté dans de nombreuses applications mobiles, des pixels de suivi, que l’on retrouve sur de nombreux sites, et du suivi "server-to-server", où le serveur d'une entreprise transmet des données à ceux de Meta ».
Trois plaintes contre l’abonnement payant de Meta
Pour rappel, ce n’est pas parce que vous n’avez pas de compte Facebook que vous n’êtes pas pisté. Les sites peuvent envoyer des données à Meta lorsque vous effectuez une recherche ou remplissez un formulaire. La simple présence d’un bouton de partage Facebook ou de code du réseau social dans celui de la page peut être suffisant pour envoyer des données vers les serveurs de Meta.
Dans l’Union européenne, le RGPD (Règlement Général sur la Protection des Données) « encadre le traitement des données personnelles » et protège a priori les utilisateurs européens. Pour de tels partages, ils doivent normalement donner leur consentement.
Problème, dans le cas de Meta (et d’autres géants du Net), le respect du RGPD est parfois très approximatif… pour ne pas dire plus. Pour preuve, les amendes de plusieurs centaines de millions d’euros infligées à ces sociétés (ici, là et encore ici par exemple en 2023). Amendes que Meta (et d’autres) rechignent à payer.
Fin 2023, Meta a modifié son offre payante : vous pouvez utiliser Instagram et Facebook « gratuitement avec des publicités » personnalisées, ou bien payer pour les utiliser « sans publicité », ce qui ne veut pas dire que le tracking s'arrête. Le montant – à partir de 119,88 euros par an – est par contre bien élevé.
Une offre attaquée par noyb qui estime que les utilisateurs n’ont pas de choix « libre » (comme indiqué dans le RGPD), puis par 19 associations de consommateurs pour qui le choix est « injuste et illégal ». Les deux affaires sont toujours en cours.
noyb vient d'ailleurs de déposer une seconde plainte, au motif que « les utilisateurs ne peuvent retirer leur consentement qu’en passant par le processus compliqué de passage à un abonnement payant ». Un procédé « illégal », estime l'ONG, « car le RGPD indique clairement que retirer votre consentement doit être "aussi simple" que de le donner ».
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/01/2024 à 14h04
Je retourne à ma lecture. Bonne journée 😙
Le 18/01/2024 à 22h26
Le 18/01/2024 à 23h29
Le 19/01/2024 à 13h15
Le 18/01/2024 à 15h12
Le 18/01/2024 à 16h19
- Le bouton de partage permet à l'éditeur de proposer de partager la page sur FB, et FB en profite pour collecter des données (c'est donnant-donnant).
- Le pixel de suivi permet à l'éditeur de savoir que tu es passé chez lui, pour ensuite demander à FB de te cibler quand tu consultes ton mur FB (dans ce cas c'est l'éditeur qui paye FB) pour revenir chez lui.
Modifié le 18/01/2024 à 19h20
Partager les données de tous les visiteurs avec Facebook, permet à Facebook de trouver des similitudes entre les visiteurs (notamment ceux ayant payé l'éditeur). Ensuite l’éditeur peut activer de la publicité sur Facebook, automatiquement ciblée sur les bons profils (pas seulement ceux ayant visité le site, mais ceux avec des centres d’intérêts/comportements similaires).
Suite à un clic sur un pub, le tracking permet de vérifier si le clic sur la publicité a donné lui à un achat/une conversion.
Le premier point « justifie » l’intérêt pour les sites d’envoyer le max d’info à Facebook, de tous les visiteurs…
Modifié le 18/01/2024 à 19h51
Modifié le 19/01/2024 à 00h11
Le 18/01/2024 à 23h31
Même 7000, c'est déjà énorme !
Modifié le 19/01/2024 à 00h10
Le 19/01/2024 à 09h00
Le 19/01/2024 à 13h17
Ça peut aller très vite.
Le 19/01/2024 à 14h08
Le 19/01/2024 à 15h07
Le logiciel Cookieviz 2.3, à télécharger gratuitement depuis le compte Github de la CNIL, analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l'installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations. Il vous permet de créer des parcours de visite manuellement ou depuis un fichier texte, d'effectuer des analyses par histogramme, voronoï et par graphe.
Le 18/01/2024 à 20h50
Le 20/01/2024 à 14h58
Ça envoie toutes les conneries que je raconte dans les commentaires chez FB ?
Le 20/01/2024 à 17h10
Tu peux également chercher des éléments externes qui seraient chargés avec la page et t'espionneraient sans ton consentement mais c'est peine perdue heureusement.
Le 20/01/2024 à 17h54
Par contre, je n'ai pas trouvé ce qui affichait la possibilité de partager sur Facebook juste après l'article.