symboles d'empreintes de pas et de géolocalisation

Facebook reçoit des données de milliers d’entreprises, jusqu’à 48 000 pour une personne

IT Zucks

Avatar de l'auteur
Sébastien Gavois

Publié dans

ÉconomieRéseaux sociaux

18/01/2024
19

symboles d'empreintes de pas et de géolocalisation

Consumer Reports et nos confrères de The Markup viennent de publier le résultat d’une étude sur le partage d’informations entre Facebook et… des dizaines de milliers d’entreprises aux États-Unis. Cela ne devrait pas surprendre grand monde sur le principe, mais l’ampleur reste tout de même impressionnante.

Consumer Reports s’est penché sur la question à l’aide d’un panel de 709 volontaires américains qui ont accepté de partager leurs archives de données Facebook (sur les trois dernières années).

Au total, un peu plus de 1 000 fichiers de données ont été envoyés à Consumer Reports, mais « certains contenaient des informations autres que les données publicitaires […], tandis que d'autres n’avaient aucune donnée ». Ils ont donc été laissés de côté.

L’association de consommateurs a ainsi pu « examiner une technique de suivi normalement cachée : celle de "serveur-to-serveur", dans lequel les données personnelles passent des serveurs d’une entreprise à ceux de Meta ».

709 participants pour… 186 892 entreprises

Consumer Reports prend bien soin de préciser que son étude se base sur « un groupe d’utilisateurs volontaires et que les résultats n’ont pas été ajustés démographiquement », d’autant qu’un nombre « disproportionné » de personnes se trouvait en Californie, à New York et au Texas. De plus, les personnes participant à cette étude sont probablement plus soucieuses que les autres de leurs données personnelles.

L’étude n’est donc pas représentative de la population américaine dans son ensemble. On ne peut pas non plus l’étendre ailleurs dans le monde, notamment en Europe d’autant plus avec le RGPD (nous y reviendrons). Cela ne l’empêche évidemment pas d’être très intéressante, car elle permet d’établir un premier état des lieux. La méthodologie de l’étude est détaillée dans ce document (.pdf).

Consumer Reports a dénombré pas moins de « 186 892 entreprises » partageant des données avec le réseau social… excusez du peu ! « En moyenne, chaque participant de l’étude a vu ses données envoyées à Facebook par 2 230 entreprises ».

Le grand écart des statistiques

Mais cela varie grandement en fonction des personnes, certaines dépassant allégrement les 7 000 entreprises ayant envoyé à Facebook des données les concernant, avec un triste record à près de… 48 000 pour une seule personne ! A contrario, « 52 % des entreprises partageaient des données d’un seul volontaire de l’échantillon, ce qui suggère qu’elles utilisaient des données d’audiences ou d’événements personnalisés pour le « micro-ciblage » ». Cela montre aussi que de petites entreprises (y compris locales) n’hésitent pas à partager leurs données avec le réseau social.

34 % des 186 892 entreprises sont identifiées par une URL. La majorité des sociétés sont par contre « répertoriées sous forme de texte libre et, dans de nombreux cas, ces noms ne correspondaient pas clairement à une entreprise ». Enfin, « plus de 7 000 entreprises portaient des noms totalement non identifiables, impossibles à associer à une société particulière ».

Pas facile en effet de retrouver qui se cache derrière un identifiant du genre « Bm 5 100tkqc nlm ». En moyenne, selon l’étude, « 113 entreprises non identifiables ont partagé des données de consommation sur chaque participant à l’étude ».

Trois data brokers sur le podium, LiveRamp en tête

Le data broker américain LiveRamp sort du lot : il est présent dans 96 % des données des participants de l’étude. Les trois premières places sont occupées par des courtiers en données, avec Acxiom en deuxième position et Experian Marketing Services en troisième.

Signe de l’importance et omniprésence de ces data brokers en ligne, Consumer Reports précise en note de bas de page entretenir « une relation commerciale avec LiveRamp et un autre courtier en données, Acxiom ». Il est question de « partage des données avec chacune de ces entreprises afin d’aider [l’association] à mener à bien sa mission ».

On y retrouve aussi des enseignes comme Home Depot, Macy’s et Walmart. Elles apparaissent toutes les trois dans le top 100 de l’étude. Amazon (10e), Etsy (71e), PayPal (18e), Uber (79e) et Walt Disney World (96e) sont également présentes. Consumer Reports apparait elle-même en 56e position.

Deux types de flux de données arrivent chez Meta

Les données viennent de deux canaux. Les audiences personnalisées tout d’abord, qui concernent 693 des 709 volontaires. Elles « permettent aux annonceurs de transférer des listes de clients sur Meta, comprenant souvent des identifiants tels que des adresses e-mail et des identifiants publicitaires mobiles », pour ensuite proposer de la publicité ciblée sur les différents sites de Meta (Facebook, Instagram, Messenger).

« L’autre catégorie de collecte de données, « événements », décrit les interactions que l’utilisateur a eues avec une marque, qui peuvent se produire en dehors des applications Meta et dans le monde réel ». 682 des 709 volontaires sont concernés.

Plusieurs exemples sont mis en avant : visiter une page web, améliorer son niveau dans un jeu, se rendre dans un magasin physique, acheter un produit, etc. Ces « signaux » peuvent venir « du code d’application Meta ajouté dans de nombreuses applications mobiles, des pixels de suivi, que l’on retrouve sur de nombreux sites, et du suivi « server-to-server », où le serveur d’une entreprise transmet des données à ceux de Meta ».

Trois plaintes contre l’abonnement payant de Meta

Pour rappel, ce n’est pas parce que vous n’avez pas de compte Facebook que vous n’êtes pas pisté. Les sites peuvent envoyer des données à Meta lorsque vous effectuez une recherche ou remplissez un formulaire. La simple présence d’un bouton de partage Facebook ou de code du réseau social dans celui de la page peut être suffisant pour envoyer des données vers les serveurs de Meta.

Dans l’Union européenne, le RGPD (Règlement Général sur la Protection des Données) « encadre le traitement des données personnelles » et protège a priori les utilisateurs européens. Pour de tels partages, ils doivent normalement donner leur consentement.

Problème, dans le cas de Meta (et d’autres géants du Net), le respect du RGPD est parfois très approximatif… pour ne pas dire plus. Pour preuve, les amendes de plusieurs centaines de millions d’euros infligées à ces sociétés (ici, et encore ici par exemple en 2023). Amendes que Meta (et d’autres) rechignent à payer.

Fin 2023, Meta a modifié son offre payante : vous pouvez utiliser Instagram et Facebook « gratuitement avec des publicités » personnalisées, ou bien payer pour les utiliser « sans publicité », ce qui ne veut pas dire que le tracking s’arrête. Le montant – à partir de 119,88 euros par an – est par contre bien élevé.

Une offre attaquée par noyb qui estime que les utilisateurs n’ont pas de choix « libre » (comme indiqué dans le RGPD), puis par 19 associations de consommateurs pour qui le choix est « injuste et illégal ». Les deux affaires sont toujours en cours.

noyb vient d’ailleurs de déposer une seconde plainte, au motif que « les utilisateurs ne peuvent retirer leur consentement qu’en passant par le processus compliqué de passage à un abonnement payant ». Un procédé « illégal », estime l’ONG, « car le RGPD indique clairement que retirer votre consentement doit être « aussi simple » que de le donner ».

19

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

709 participants pour… 186 892 entreprises

Le grand écart des statistiques

Trois data brokers sur le podium, LiveRamp en tête

Deux types de flux de données arrivent chez Meta

Trois plaintes contre l’abonnement payant de Meta

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (19)


grsbdl Abonné
Le 18/01/2024 à 14h 04
HS, mais sur la première infographie, sur mobile (donc pas mal dézoomée), le regroupement de bonhommes entouré de cercles m'a d'abord fait voir un slip.
Je retourne à ma lecture. Bonne journée 😙
Ferd Équipe
Le 18/01/2024 à 22h 26
Bon à savoir.
potn Abonné
Le 18/01/2024 à 23h 29

Ferd

Bon à savoir.
Pour le coup, je plussois. ^^
Mihashi Abonné
Le 19/01/2024 à 13h 15
En fait, c'était un test de Rorschach, ça permet de savoir à quoi tu penses le plus en ce moment :langue:.
Kwacep Abonné
Le 18/01/2024 à 15h 12
Je n'ai jamais compris l'intérêt de tous ces sites web à mettre des pixel de suivi, ou les boutons de partage. Je ne pense pas qu'ils soient rémunéré pour ceci.
Fseg Abonné
Le 18/01/2024 à 16h 19
De ce que je comprends :

- Le bouton de partage permet à l'éditeur de proposer de partager la page sur FB, et FB en profite pour collecter des données (c'est donnant-donnant).

- Le pixel de suivi permet à l'éditeur de savoir que tu es passé chez lui, pour ensuite demander à FB de te cibler quand tu consultes ton mur FB (dans ce cas c'est l'éditeur qui paye FB) pour revenir chez lui.
Oliverpool Abonné
Le 18/01/2024 à 19h 19

Fseg

De ce que je comprends :

- Le bouton de partage permet à l'éditeur de proposer de partager la page sur FB, et FB en profite pour collecter des données (c'est donnant-donnant).

- Le pixel de suivi permet à l'éditeur de savoir que tu es passé chez lui, pour ensuite demander à FB de te cibler quand tu consultes ton mur FB (dans ce cas c'est l'éditeur qui paye FB) pour revenir chez lui.
Tout à fait.

Partager les données de tous les visiteurs avec Facebook, permet à Facebook de trouver des similitudes entre les visiteurs (notamment ceux ayant payé l'éditeur). Ensuite l’éditeur peut activer de la publicité sur Facebook, automatiquement ciblée sur les bons profils (pas seulement ceux ayant visité le site, mais ceux avec des centres d’intérêts/comportements similaires).

Suite à un clic sur un pub, le tracking permet de vérifier si le clic sur la publicité a donné lui à un achat/une conversion.

Le premier point « justifie » l’intérêt pour les sites d’envoyer le max d’info à Facebook, de tous les visiteurs…
Modifié le 18/01/2024 à 19h20
Le 18/01/2024 à 19h 48
Modifié le 18/01/2024 à 19h51
fred42 Abonné
Le 18/01/2024 à 19h 52
dans le PDF que l'on trouve en lien page 14.
>Nearly 48,000 different companies were found in the data of a single volunteer

Édit : je répondais à quelqu'un qui a dû trouver la réponse tout seul et qui a supprimé sa question pendant que je répondais. Il demandait d'où venait le nombre de 48000 du titre.
Modifié le 19/01/2024 à 00h11
potn Abonné
Le 18/01/2024 à 23h 31

fred42

dans le PDF que l'on trouve en lien page 14.
>Nearly 48,000 different companies were found in the data of a single volunteer

Édit : je répondais à quelqu'un qui a dû trouver la réponse tout seul et qui a supprimé sa question pendant que je répondais. Il demandait d'où venait le nombre de 48000 du titre.
Mais comment 48000 entreprises peuvent avoir des infos sur toi ?
Même 7000, c'est déjà énorme !
fred42 Abonné
Le 19/01/2024 à 00h 09

potn

Mais comment 48000 entreprises peuvent avoir des infos sur toi ?
Même 7000, c'est déjà énorme !
Je vais copier la fin de la phrase du PDF :
>probably someone with unusual app usage habits or possibly an exceptionally ripe and appealing candidate for microtargeted advertising

Ils ne savent pas trop, mais c'est atypique.
Modifié le 19/01/2024 à 00h10
potn Abonné
Le 19/01/2024 à 09h 00

fred42

Je vais copier la fin de la phrase du PDF :
>probably someone with unusual app usage habits or possibly an exceptionally ripe and appealing candidate for microtargeted advertising

Ils ne savent pas trop, mais c'est atypique.
OK, mais la moyenne de 7000, qui est plus que conséquente, elle s'explique comment ?
Mihashi Abonné
Le 19/01/2024 à 13h 17

potn

OK, mais la moyenne de 7000, qui est plus que conséquente, elle s'explique comment ?
Chaque site web que tu consultes peut potentiellement envoyer des données à Facebook ou autres (via les boutons like/partage).
Ça peut aller très vite.
Le 19/01/2024 à 14h 08

Mihashi

Chaque site web que tu consultes peut potentiellement envoyer des données à Facebook ou autres (via les boutons like/partage).
Ça peut aller très vite.
Oui c'est ce que dit l'étude. Il suffit de beaucoup naviguer. Le mec au 48,000 a probablement juste la consommation de l'INpactien lambda.
Ferrex Abonné
Le 19/01/2024 à 15h 07

potn

OK, mais la moyenne de 7000, qui est plus que conséquente, elle s'explique comment ?
La CNIL met à disposition l'outil CookieViz. 7000 sites, on y arrive très vite si on consulte d'autres sites que Next.ink.

Le logiciel Cookieviz 2.3, à télécharger gratuitement depuis le compte Github de la CNIL, analyse les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l'installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations. Il vous permet de créer des parcours de visite manuellement ou depuis un fichier texte, d'effectuer des analyses par histogramme, voronoï et par graphe.
aware2 Abonné
Le 18/01/2024 à 20h 50
J'ai envie de dire rien de nouveau malheureusement, mais les chiffres sont quand même fous...
Labsyb Abonné
Le 20/01/2024 à 14h 58
> « Pour rappel, ce n’est pas parce que vous n’avez pas de compte Facebook que vous n’êtes pas pisté. Les sites peuvent envoyer des données à Meta lorsque vous effectuez une recherche ou remplissez un formulaire. La simple présence d’un bouton de partage Facebook ou de code du réseau social dans celui de la page peut être suffisant pour envoyer des données vers les serveurs de Meta. »

Y a cette merdouille de bouton dans le pied de page de Next :eeek2:
Ça envoie toutes les conneries que je raconte dans les commentaires chez FB ? :transpi:
wanou Abonné
Le 20/01/2024 à 17h 10
Si tu affiche le code source de la page, tu peux te rendre compte que l’icône faceDeBook est un dessin svg local donc rien ne sera envoyé à faceDeBook si tu ne suit pas le lien.

Tu peux également chercher des éléments externes qui seraient chargés avec la page et t'espionneraient sans ton consentement mais c'est peine perdue heureusement.
fred42 Abonné
Le 20/01/2024 à 17h 54

wanou

Si tu affiche le code source de la page, tu peux te rendre compte que l’icône faceDeBook est un dessin svg local donc rien ne sera envoyé à faceDeBook si tu ne suit pas le lien.

Tu peux également chercher des éléments externes qui seraient chargés avec la page et t'espionneraient sans ton consentement mais c'est peine perdue heureusement.
J'ai vu la même chose que toi sur le truc en bas de page. C'est un bête lien.

Par contre, je n'ai pas trouvé ce qui affichait la possibilité de partager sur Facebook juste après l'article.