J'ai voulu savoir qui avait vendu mes données personnelles et je suis tombée dans un puits sans fond
Au mois de février, j'ai eu une soudaine envie d'aller fouiller dans l'onglet « préférences publicitaires » de mon compte Facebook.
Au dessous de cette liste de centres d'intérêts, Facebook liste les annonceurs qui me ciblent. La première sous-catégorie de cette rubrique a attiré mon attention. Il s'agit d'annonceurs qui « ont importé une liste de contacts ».
Des listes de contacts importées
Pour apparaître dans cet onglet, visible par tous les utilisateurs, il y a en théorie deux solutions : soit la marque a importé une liste de contacts elle-même, soit l'un de ses partenaires commerciaux l'a fait.
Si l'adresse email ou le numéro de téléphone avec lequel on s'est inscrit sur Facebook apparaît dans ces listes, les informations sont alors automatiquement recoupées, et les marques peuvent nous cibler précisément sur Facebook.
L'onglet annonceurs a changé plusieurs fois au cours de mon enquête : des marques dont je parlerais plus tard se sont ajoutées. Voici à quoi il ressemblait au départ :
Ces pratiques sont parfaitement légales, tant que la manière dont les données ont été collectées au départ est elle-même légale. C'est le cas si vous avez commandé sur le site de la marque, participé à un concours qu'elle organisait, ou si vous possédez une carte de fidélité par exemple. Dans ce cas, l'entreprise a effectivement recueilli vos données.
Sur certaines marques, je n'ai aucun doute : Pimkie a mon adresse email car j'y avais fait une carte de fidélité, j'ai déjà commandé sur le site Hema, j'ai un abonnement Orange, un compte Office, et je me suis inscrite à une newsletter de Modibodi.
Pour les autres marques, c'est un peu plus compliqué. J'ai déjà mangé des Danettes, mais sans jamais donner mon mail à l'entreprise qui les commercialise, Danone. Je n'ai jamais cherché à acheter une voiture et je me retrouve ciblée par Peugeot, Renault, Zanzicar ou Norauto. Il en va de même pour Signal, dont je n'ai jamais utilisé un seul dentifrice, Octobre Editions, une marque de prêt à porter masculin, les meubles Grosfillex ou les piscines Desjoyaux. J'ai voulu savoir où ils avaient récupéré mes données et je suis tombée dans un puits sans fond.
Des données venues de mon auto-école ?
La première étape de ma (longue) quête a été de contacter Facebook. Après tout, même s'ils jouent un rôle d'intermédiaire ici et que le processus est le même quelle que soit la plateforme publicitaire, c'est sur leur site que j'ai trouvé tout ça. J'ai profité de mon statut de journaliste pour passer directement par les relations presse. Un petit mail, et on me rappelait quelques heures plus tard pour me détailler en long, en large et en travers l'onglet des préférences publicitaires.
Lorsque j'ai évoqué les marques desquelles je n'avais jamais été cliente, Facebook s'est dédouané de toute responsabilité. La catégorie qui m'intéressait ne concernait que des listes de contacts importées par des tiers, or le réseau social dit n'avoir pas la main dessus. Une hypothèse intéressante a en revanche été soulevée : il s'agirait peut-être... de mon auto-école.
Il y a à peu près un an, j'ai passé (et réussi) mon permis de conduire. Comme j'étais ciblée par des entreprises automobiles, je me suis dit qu'elles avaient peut-être noué un partenariat avec mon auto-école parisienne.
J'ai envoyé un mail à cette dernière. Quelques jours plus tard, la secrétaire, Marie, me répondait. « Je comprends ton interrogation mais nous ne communiquons pas les mails, numéros de téléphone ou autres informations », m'a-t-elle assuré, avant d'ajouter : « Je suis désolée mais il va falloir continuer tes recherches car cela de vient pas de nous ».
Dans mes papiers signés avec l'auto-école, rien ne pouvait me laisser penser qu'elle mentait.
Demander une copie de ses données
Puisque cette piste ne donnait rien, je me suis adressée aux entreprises qui étaient supposées m'avoir dans leurs listes de contacts.
Depuis la mise en place en mai 2018 du Règlement européen sur les données personnelles (RGPD), les entreprises qui détiennent vos données sont obligées de vous fournir une copie si vous en faites la demande. Elles sont également tenues de vous indiquer de quelle manière ou grâce à quel partenaire les informations ont été collectées.
On trouve dans les onglets dédiés à la confidentialité des données des entreprises des adresses postales ou emails auxquels envoyer ces demandes. J'ai choisi les mails, sans préciser dans un premier temps que j'étais journaliste.
Peugeot est la première à m'avoir répondu, quelques jours après l'envoi d'un email. Ses équipes m'ont demandé par téléphone plus de précisions sur ma demande. Une femme m'a rappelé deux semaines plus tard environ. Elle m'a expliqué que Peugeot avait bien des données sur moi, mais qu'elle était incapable de me dire où elles avaient été récoltées. J'aurais aimé en savoir plus, mais les données venaient d'être subitement supprimées par l'entreprise, sans que j'en ai fait la demande. Mes mails suivants sont restés sans réponse.
Ce n'est qu'en contactant le service de presse, en expliquant que j'étais journaliste et que je préparais un article, que j'ai obtenu un second retour en moins de 48 heures. On m'a expliqué qu'une investigation avait été menée auprès du service de données de Peugeot, et qu'aucune donnée n'avait été trouvée sur moi (c'est assez logique, car elles avaient été supprimées par la société elle-même). J'avais encore tout un tas de questions à poser mais le représentant du service client m'a dit : « Je ne peux pas vous aider davantage, il faudrait demander à Facebook ». Qui n'a pas la main sur ces listes. Et qui m'avait déjà renvoyé vers les entreprises tierces. Ça commence à devenir compliqué.
Des données fantômes
Le service dédié aux données personnelles (DPO) de Renault m'a ensuite répondu par mail. Il m'a expliqué que, bizarrement, ils n'avaient retrouvé aucune trace de mes noms et prénoms dans leurs fichiers... Pourtant le logo de Renault s'affiche bien dans la liste des entreprises qui auraient importé des contacts. S'agirait-il donc d'un partenaire ?
Le mail précise que je n'ai échangé ni avec la page Facebook Renault France, ni avec Renault Electrique, ni avec Dacia. Les trois logos des marques faisaient partie des annonceurs m'ayant potentiellement ciblée sur Facebook grâce à une liste importée de contacts.
Renault n'a pas non plus trouvé de traces de l'email avec lequel j'ai créé mon compte Facebook ou de mon numéro de téléphone. J'ai reçu plus tard une réponse plus détaillée, qui me confirmait l'absence de données, mais de nouveau sans explication satisfaisante.
Plusieurs autres entreprises qui étaient sur ma liste m'ont répondu. Chez Zanzicar, une personne en charge du marketing m'a indiqué n'avoir trouvé aucune donnée sur moi dans ses fichiers, captures d'écran à l'appui.
Il a été plus précis que les deux premières entreprises, en m'indiquant qu'ils n'avaient acheté aucune base de données clients ou fichiers clients. Cette pratique existe mais est coûteuse, voire parfois illégale à cause du nouveau RGPD, justifie l'employé.
Par ailleurs, son entreprise n'a aucun partenariat avec des constructeurs automobiles. Seule une entreprise de ma liste, Norauto, était leur partenaire. « Mais nous n'avons jamais échangé de bases de données », me dit-il. Zanzicar travaille avec une « agence » qu'il a interrogée, sans succès : elle non plus, n'avait aucune donnée me concernant.
Grosfillex, qui n'a répondu qu'après un mail précisant que j'étais journaliste, m'a également fait savoir qu'aucune donnée sur moi n'avait été trouvée.
Norauto, Desjoyaux, Danone et Unilever (maison-mère de Signal) ne m'ont jamais répondu, malgré des relances.
La faute de Facebook ?
À ce stade de mon enquête, j'ai commencé à chantonner « qui a volé, a volé, mes données personnelles », sur l'air de cette musique.
https://www.youtube.com/watch?v=D_WzVr9regE
Plusieurs entreprises m'avaient donné une dernière piste, que j'ai tenté de creuser. « Nous achetons de l'espace publicitaire auprès de Facebook », « c'est l'algorithme de Facebook qui tague certains profils selon des critères d'intérêts (...) ces profils sont à Facebook », « dans 'Facebook Business Manager', nous avons des campagnes publicitaires sur des bassins d'audience liés à l'automobile », « je vous incite à vous rapprocher de Facebook pour vous exclure de ces audiences » : pour ces sociétés, la responsabilité revenait bien à Facebook, et lui seul.
Depuis les révélations de l'affaire Cambridge Analytica en mai 2018, le réseau social est au cœur de (très) nombreux scandales concernant les collectes ou la gestion des données personnelles des utilisateurs, mais qui n'ont pas vraiment de lien avec cette affaire. Deux choses m'ont d'ailleurs fait douter de cette hypothèse.
La première, c'est un nouveau mail du service presse de Facebook. On m'y a confirmé « qu'il n'y a aucun autre moyen que l'importation de listes de contacts par un annonceur ou l'un de ses partenaires ». C'est confirmé dans une page dédiée aux annonceurs. On y parle uniquement de données appartenant aux annonceurs. Ces derniers doivent s'engager, en théorie, à disposer de « la totalité des droits et des autorisations nécessaires, ainsi que du fondement légal pour divulguer et utiliser les données ».
Un autre indice m'a confirmé qu'il ne s'agissait pas de Facebook. Cela provient de la réponse de l'un des annonceurs de ma liste, le site de prêt-à-porter Octobre Éditions. L'entreprise m'a d'abord elle aussi sorti la carte du ciblage publicitaire effectué par Facebook et ses algorithmes. Une enquête a tout de même été menée auprès du service juridique, qui m'a expliqué que mes données avaient en fait été collectées lors d'une commande passée sur le site Sézane, qui appartient au même groupe qu'Octobre Éditions. J'étais sur la liste de contacts de Sézane, et donc sur la leur.
Outre la joie d'avoir enfin une réponse satisfaisante, ceci m'a prouvé que ce n'est pas Facebook « tout seul » qui a fourni mes données aux autres entreprises — bien que ce soit la plateforme qui ait permis au processus de se faire, évidemment. Les firmes qui n'ont pas trouvé mes données dans leurs propres services doivent donc les avoir obtenues via une entreprise partenaire. Il est possible qu'il s'agisse de la même : il est en effet étonnant que je sois tout à coup sur les listes de contacts de tant de marques en lien avec l'automobile. Les entreprises auraient dû m'indiquer le nom de ce partenaire mais, RGPD ou non, je crains de ne jamais le connaître.
Pour connaître la suite de cette histoire, rendez-vous sur cet article :
https://www.numerama.com/tech/508381-jai-enfin-decouvert-pourquoi-des-marques-inconnues-me-ciblaient-sur-facebook.html