Facebook reçoit des données de milliers d’entreprises, jusqu’à 48 000 pour une personne

Consumer Reports et nos confrères de The Markup viennent de publier le résultat d’une étude sur le partage d’informations entre Facebook et… des dizaines de milliers d’entreprises aux États-Unis. Cela ne devrait pas surprendre grand monde sur le principe, mais l’ampleur reste tout de même impressionnante.

Consumer Reports s’est penché sur la question à l’aide d’un panel de 709 volontaires américains qui ont accepté de partager leurs archives de données Facebook (sur les trois dernières années).

Au total, un peu plus de 1 000 fichiers de données ont été envoyés à Consumer Reports, mais « certains contenaient des informations autres que les données publicitaires […], tandis que d'autres n’avaient aucune donnée ». Ils ont donc été laissés de côté.

L’association de consommateurs a ainsi pu « examiner une technique de suivi normalement cachée : celle de "serveur-to-serveur", dans lequel les données personnelles passent des serveurs d’une entreprise à ceux de Meta ».

709 participants pour… 186 892 entreprises

Consumer Reports prend bien soin de préciser que son étude se base sur « un groupe d’utilisateurs volontaires et que les résultats n’ont pas été ajustés démographiquement », d’autant qu’un nombre « disproportionné » de personnes se trouvait en Californie, à New York et au Texas. De plus, les personnes participant à cette étude sont probablement plus soucieuses que les autres de leurs données personnelles.

L’étude n’est donc pas représentative de la population américaine dans son ensemble. On ne peut pas non plus l’étendre ailleurs dans le monde, notamment en Europe d’autant plus avec le RGPD (nous y reviendrons). Cela ne l’empêche évidemment pas d’être très intéressante, car elle permet d’établir un premier état des lieux. La méthodologie de l’étude est détaillée dans ce document (.pdf).

Consumer Reports a dénombré pas moins de « 186 892 entreprises » partageant des données avec le réseau social… excusez du peu ! « En moyenne, chaque participant de l'étude a vu ses données envoyées à Facebook par 2 230 entreprises ».

Le grand écart des statistiques

Mais cela varie grandement en fonction des personnes, certaines dépassant allégrement les 7 000 entreprises ayant envoyé à Facebook des données les concernant, avec un triste record à près de… 48 000 pour une seule personne ! A contrario, « 52 % des entreprises partageaient des données d’un seul volontaire de l’échantillon, ce qui suggère qu’elles utilisaient des données d'audiences ou d'événements personnalisés pour le "micro-ciblage" ». Cela montre aussi que de petites entreprises (y compris locales) n’hésitent pas à partager leurs données avec le réseau social.

34 % des 186 892 entreprises sont identifiées par une URL. La majorité des sociétés sont par contre « répertoriées sous forme de texte libre et, dans de nombreux cas, ces noms ne correspondaient pas clairement à une entreprise ». Enfin, « plus de 7 000 entreprises portaient des noms totalement non identifiables, impossibles à associer à une société particulière ».

Pas facile en effet de retrouver qui se cache derrière un identifiant du genre « Bm 5 100tkqc nlm ». En moyenne, selon l’étude, « 113 entreprises non identifiables ont partagé des données de consommation sur chaque participant à l'étude ».

Trois data brokers sur le podium, LiveRamp en tête

Le data broker américain LiveRamp sort du lot : il est présent dans 96 % des données des participants de l’étude. Les trois premières places sont occupées par des courtiers en données, avec Acxiom en deuxième position et Experian Marketing Services en troisième.

Signe de l’importance et omniprésence de ces data brokers en ligne, Consumer Reports précise en note de bas de page entretenir « une relation commerciale avec LiveRamp et un autre courtier en données, Acxiom ». Il est question de « partage des données avec chacune de ces entreprises afin d’aider [l’association] à mener à bien sa mission ».

On y retrouve aussi des enseignes comme Home Depot, Macy's et Walmart. Elles apparaissent toutes les trois dans le top 100 de l’étude. Amazon (10e), Etsy (71e), PayPal (18e), Uber (79e) et Walt Disney World (96e) sont également présentes. Consumer Reports apparait elle-même en 56e position.

Deux types de flux de données arrivent chez Meta

Les données viennent de deux canaux. Les audiences personnalisées tout d’abord, qui concernent 693 des 709 volontaires. Elles « permettent aux annonceurs de transférer des listes de clients sur Meta, comprenant souvent des identifiants tels que des adresses e-mail et des identifiants publicitaires mobiles », pour ensuite proposer de la publicité ciblée sur les différents sites de Meta (Facebook, Instagram, Messenger).

« L’autre catégorie de collecte de données, "événements", décrit les interactions que l’utilisateur a eues avec une marque, qui peuvent se produire en dehors des applications Meta et dans le monde réel ». 682 des 709 volontaires sont concernés.

Plusieurs exemples sont mis en avant : visiter une page web, améliorer son niveau dans un jeu, se rendre dans un magasin physique, acheter un produit, etc. Ces « signaux » peuvent venir « du code d’application Meta ajouté dans de nombreuses applications mobiles, des pixels de suivi, que l’on retrouve sur de nombreux sites, et du suivi "server-to-server", où le serveur d'une entreprise transmet des données à ceux de Meta ».

Trois plaintes contre l’abonnement payant de Meta

Pour rappel, ce n’est pas parce que vous n’avez pas de compte Facebook que vous n’êtes pas pisté. Les sites peuvent envoyer des données à Meta lorsque vous effectuez une recherche ou remplissez un formulaire. La simple présence d’un bouton de partage Facebook ou de code du réseau social dans celui de la page peut être suffisant pour envoyer des données vers les serveurs de Meta.

Dans l’Union européenne, le RGPD (Règlement Général sur la Protection des Données) « encadre le traitement des données personnelles » et protège a priori les utilisateurs européens. Pour de tels partages, ils doivent normalement donner leur consentement.

Problème, dans le cas de Meta (et d’autres géants du Net), le respect du RGPD est parfois très approximatif… pour ne pas dire plus. Pour preuve, les amendes de plusieurs centaines de millions d’euros infligées à ces sociétés (ici, là et encore ici par exemple en 2023). Amendes que Meta (et d’autres) rechignent à payer.

• • Amazon, Apple, Google, Meta, TikTok et Twitter/X rechignent à payer leurs amendes record

Fin 2023, Meta a modifié son offre payante : vous pouvez utiliser Instagram et Facebook « gratuitement avec des publicités » personnalisées, ou bien payer pour les utiliser « sans publicité », ce qui ne veut pas dire que le tracking s'arrête. Le montant – à partir de 119,88 euros par an – est par contre bien élevé.

Une offre attaquée par noyb qui estime que les utilisateurs n’ont pas de choix « libre » (comme indiqué dans le RGPD), puis par 19 associations de consommateurs pour qui le choix est « injuste et illégal ». Les deux affaires sont toujours en cours.

noyb vient d'ailleurs de déposer une seconde plainte, au motif que « les utilisateurs ne peuvent retirer leur consentement qu’en passant par le processus compliqué de passage à un abonnement payant ». Un procédé « illégal », estime l'ONG, « car le RGPD indique clairement que retirer votre consentement doit être "aussi simple" que de le donner ».

• • Instagram et Facebook sans publicité : la Meta addition, à partir de 119,88 euros par an