Dans une première enquête publiée en avril, nous avions tenté de comprendre d'où venaient les données servant au ciblage publicitaire sur Facebook. 4 mois après le début de cette vaste quête, nous avons enfin quelques réponses.

Mise à jour du 19 juin : la réponse de la Cnil a été ajoutée dans l’article.

Depuis le mois de février, je cherche à savoir quelle entreprise a récupéré mes données personnelles afin de faire du ciblage publicitaire sur Facebook. Dans un premier article publié le 25 avril — et que je vous invite à aller lire avant de poursuivre –, je vous racontais ce qui s’apparentait clairement à… un échec.

Depuis sa publication, des entreprises se sont toutefois montrées plus réactives. J’ai reçu plusieurs mails et certains m’ont (enfin) apporté des réponses.

Des entreprises qui rejettent la faute sur Facebook

C’est dans mes paramètres de préférences publicitaires sur Facebook que tout a commencé. Une sous-rubrique accessible via ce lien mentionnait les annonceurs qui me ciblaient parce qu’eux ou l’un de leurs partenaires commerciaux avaient importé une liste de contacts sur Facebook, contenant mes données personnelles (numéro de téléphone ou adresse email).

Voici la liste de marques. Je suis ou ai été cliente de certaines, comme Orange ou Pimkie, d’autres me sont inconnues. // Source : Capture d’écran Numerama

Cette pratique est légale à condition que la manière dont mes données ont été récoltées au départ soit légale. C’était le cas pour certaines entreprises dont j’avais été cliente ou avec lesquelles j’avais un lien comme l’inscription à une newsletter. D’autres restaient un mystère absolu.

Mise à part une société, toutes s’étaient dédouanées de leurs responsabilités, accusant souvent (à tort) Facebook. Elles m’expliquaient qu’elles n’avaient aucune donnée sur moi, et ne savaient pas me dire quel partenaire en avait. Le Règlement européen sur les données personnelles (RGPD) mis en œuvre en 2018 autorise pourtant en théorie n’importe quel internaute à obtenir une copie de ses données détenues par une entreprise ou le cas échéant, l’identité du partenaire commercial qui les détient.

La faute de la carte grise ?

Dans les heures qui ont suivi la publication du premier article, j’ai reçu des emails, ainsi que des messages d’internautes me donnant des pistes.

Plusieurs personnes m’ont demandé si je n’avais pas récemment fait une demande de carte grise. Dans le premier article, j’évoquais en effet l’obtention récente d’un permis voiture et le fait que beaucoup d’entreprises qui me ciblaient étaient des firmes automobiles, comme Renault ou Peugeot.

Ceci est un chien dans une voiture. // Source : Wiki Commons

Conformément à la loi, le gouvernement a le droit de fournir des données sur les personnes ayant demandé une carte grise à une liste d’entreprises agréées. Le Figaro l’expliquait en 2012  : il faut avoir rempli une case bien spécifique pour ne pas être considéré comme consentant au partage. Nous avons contacté le service concerné pour savoir si c’était toujours le cas depuis l’introduction du RGPD, mais nous n’avons jamais obtenu de réponse. Cette explication n’était de toute façon pas plausible dans mon cas, puisqu’aucune demande de carte grise n’a été effectuée.

Le responsable enfin identifié

Revenons-en de fait aux emails envoyés par les marques citées dans mon article. Après un mail d’une attachée de presse, le DPO (personne chargée de la protection des données) de Norauto m’a contactée.

Il m’a expliqué n’avoir trouvé aucun résultat dans ses bases de données avec mon email professionnel. C’était assez logique, puisque seul mon mail personnel avec lequel je m’étais inscrite sur Facebook aurait dû y figurer. Il m’a indiqué qu’il avait « demandé aux équipes de vérifier si des partenaires avaient pu avoir accès à [mes] données », cette fois aussi avec mon adresse personnelle. Il devait me tenir au courant des investigations, mais je n’ai plus eu de nouvelles.

Une relance de ma part a finalement abouti à une piste intéressante, deux jours après l’expiration du délai maximal d’un mois fixé par le RGPD.

Giphy

Lors d’une mystérieuse réunion entre DPOs, Norauto a découvert qu’une agence était responsable. L’entreprise fait appel à elle pour promouvoir ses publicités en ligne, « en déterminant des audiences cibles ». Ce prestataire s’appelle LiveRamp. Il « dispose de son propre fichier de [personnes] ayant accepté l’utilisation de leurs données à des fins publicitaires », m’a expliqué le DPO de Norauto. C’est ce fichier qui contenait mes données et a été importé sur Facebook, sous une forme pseudonymisée.

Là où cela devient intéressant, c’est que Norauto n’est pas le seul à m’avoir parlé de LiveRamp. Danone m’a ainsi expliqué que leurs équipes marketing travaillaient avec des « fournisseurs de données tierces anonymisées ». « Le fournisseur concerné par la campagne Danette que vous mentionnez est la société LiveRamp  », est-il écrit dans un email.

LiveRamp, CRM ?

Vous ne savez pas qui est LiveRamp ? Cela tombe bien car moi non plus, je n’en avais aucune idée. Sur son site, l’entreprise se décrit comme « leader du CRM ». Cet acronyme désigne, selon Wikipédia, « l’ensemble des outils et techniques destinés à capter, traiter, analyser les informations relatives aux clients et aux prospects ». En d’autres termes, ils collectent des données sur vous et s’en servent pour vous proposer les services de différentes marques partenaires, par exemple au travers de ciblage publicitaire.

Le siège social de LiveRamp est situé à San Francisco, mais l’entreprise possède des bureaux en France. Le DPO de Norauto m’avait indiqué par quels moyens (légaux dès lors que le consentement est requis) elle aurait pu obtenir mes données :

  • Souscription à des services impliquant une utilisation publicitaire des données ;
  • Applications mobiles ;
  • Cookies ;
  • Base de données publique comme celle de la carte grise.

Pour en savoir plus, je suis bien sûr allée demander aux intéressés. LiveRamp a fouillé dans ses bases de données une première fois et n’a trouvé ni mon nom, ni mon prénom, ni mon email professionnel. Je leur ai transmis mon email personnel et mon numéro de téléphone le 26 avril. Un mois plus tard, je recevais une réponse et… surprise. « Nous avons retrouvé [votre] adresse email  », indique le mail. Puisque c’était presque trop beau pour être vrai, cette phrase est ensuite nuancée : « mais associée à une autre personne dont les noms et prénoms sont trop éloignés du votre pour que nous suspections une erreur  ».

Une erreur de frappe ?

Selon LiveRamp, mon email a été collecté grâce à une enquête consommateurs qu’ils avaient eux-mêmes effectuée. Une personne, qui n’est visiblement pas moi, aurait inscrit mon adresse email. «  Il peut bien entendu s’agir d’une faute de frappe ou d’une fausse déclaration de cette personne au moment de la collecte », précise LiveRamp, qui m’indique que puisque les données ne sont pas les miennes, je ne pourrais en obtenir une copie au titre du RGPD.

Rien dans le RGPD ne stipule ce qui doit être fait dans de telles situations. Cependant, le texte indique bien que toute personne dont les données personnelles ont été exploitées par une entreprise a des droits les concernant. Or mon email personnel est bien une donnée qui m’appartient et qui a été utilisée pour cibler mon compte Facebook. C’est d’ailleurs en vertu de ceci que LiveRamp m’a autorisée à faire valoir mon droit d’opposition quant à l’exploitation de mon email.

Comprenant que je ne pouvais peut-être pas avoir accès à toutes les informations d’une personne tierce dont je ne connaîtrais jamais l’identité (et c’est bien normal), j’ai demandé à obtenir des informations plus « neutres » comme la manière dont mon email a été utilisé, par quels partenaires, depuis quand, ou si suis-je ciblée ainsi ailleurs que sur Facebook. Mes trois derniers emails, dont le dernier a été envoyé le 12 juin, n’ont jamais obtenu de réponse.

Giphy

Qu’en dit la Cnil ?

Dans une interview obtenue quelques jours après la publication de cet article, Clémence Scottez, cheffe du service des affaires économiques de la Cnil, m’a expliqué que LiveRamp était considéré à leurs yeux comme un databroker. Ces entreprises qui vivent de la revente de données personnelles à des tiers sont soumises à des lois qui ont été durcies par le RGPD. Elles doivent notamment respecter les règles de la prospection commerciale par courrier électronique, détaillées par la Cnil. Cela signifie qu’elles sont responsables du traitement des données utilisées par leurs partenaires commerciaux. « Si un site recueille votre email via un formulaire et qu’il veut transmettre ces données, il doit obtenir votre consentement, indique Clémence Scottez. L’acceptation des conditions générales d’utilisation ne suffit pas. Il faut que ce soit un choix réel, par exemple une case à cocher. »

Elle précise aussi que mon email est bien une donnée personnelle comme une autre et que j’ai en conséquence le droit d’obtenir des informations détenues par LiveRamp. « Effectivement ils ne peuvent pas vous donner une copie complète des données si elles concernent quelque d’autre mais la loi vous permet de savoir l’origine précise de la collecte de l’email, la date, et à quels partenaires commerciaux elle a été transmise par exemple », confirme la Cnil. LiveRamp devrait aussi légalement « prouver qu’elle a bien obtenu [mon] consentement pour utiliser [mon] email.  »

Une semaine après la première publication de cet article, je n’ai toujours pas obtenu ces informations. J’ai demandé à entrer en contact avec le service communications de LiveRamp, sans succès pour le moment.

Partager sur les réseaux sociaux