Chaque utilisateur de Facebook est surveillé par des milliers d'entreprises

Consumer Reports (traduction DeepL.com/Translator)

Chaque utilisateur de Facebook est surveillé par des milliers d’entreprises

#facebook #trackers

Article mis en ligne le 26 janvier 2024

dernière modification le 24 janvier 2024

Une analyse de Consumer Reports examine qui envoie à Facebook des informations sur votre activité en ligne.

Cet article a été co-publié avec The Markup, une salle de presse d’investigation à but non lucratif qui met la technologie au service du bien public. (...)

La plupart des internautes savent désormais que leur activité en ligne est constamment suivie. Personne ne devrait être choqué de voir apparaître des publicités pour des articles qu’il a précédemment recherchés, ou de se voir demander si ses données peuvent être partagées avec un nombre inconnu de "partenaires".

Mais quelle est l’ampleur de cette surveillance ? À en juger par les données collectées par Facebook et récemment décrites dans une étude unique réalisée par Consumer Reports (PDF), elle est massive, et l’examen des données peut vous laisser avec plus de questions que de réponses.

En utilisant un panel de 709 volontaires qui ont partagé des archives de leurs données Facebook, Consumer Reports a découvert qu’un total de 186 892 entreprises ont envoyé des données les concernant au réseau social. En moyenne, chaque participant à l’étude a vu ses données envoyées à Facebook par 2 230 entreprises. Ce chiffre varie considérablement, les données de certains panélistes faisant état de plus de 7 000 entreprises fournissant leurs données. Le Markup a aidé Consumer Reports à recruter des participants pour l’étude. Les participants ont téléchargé une archive des trois dernières années de leurs données à partir de leurs paramètres Facebook, puis les ont fournies à Consumer Reports.

En collectant les données de cette manière, l’étude a pu examiner une forme de suivi qui est normalement cachée : le suivi dit "de serveur à serveur", dans lequel les données personnelles passent des serveurs d’une entreprise aux serveurs de Meta. Une autre forme de suivi, dans laquelle des pixels de suivi Meta sont placés sur les sites web des entreprises, est visible par les navigateurs des utilisateurs.

Étant donné que les données proviennent d’un groupe d’utilisateurs autosélectionnés et que les résultats n’ont pas été ajustés sur le plan démographique, l’étude "ne prétend pas que cet échantillon est représentatif de l’ensemble de la population des États-Unis", précise Consumer Reports. Les participants étaient également plus soucieux de la protection de la vie privée et de la technique que les utilisateurs habituels, et plus susceptibles d’être membres de Consumers Reports.

Malgré ses limites, l’étude offre un rare aperçu, à partir de données provenant directement de Meta, de la manière dont les informations personnelles sont collectées et agrégées en ligne.

Le porte-parole de Meta, Emil Vazquez, a défendu les pratiques de l’entreprise. "Nous offrons un certain nombre d’outils de transparence pour aider les gens à comprendre les informations que les entreprises choisissent de partager avec nous, et à gérer la façon dont elles sont utilisées", a écrit M. Vazquez dans une déclaration envoyée par courriel à The Markup.

Bien que Meta fournisse des outils de transparence tels que celui qui a permis l’étude, Consumer Reports a identifié des problèmes, notamment le fait que l’identité de nombreux fournisseurs de données n’est pas claire par rapport aux noms divulgués aux utilisateurs et que les entreprises qui fournissent des services aux annonceurs sont souvent autorisées à ignorer les demandes d’exclusion.

Une entreprise apparaît dans 96 % des données des participants : LiveRamp, un courtier en données basé à San Francisco. Mais les entreprises qui communiquent votre activité en ligne à Facebook ne sont pas seulement des courtiers en données peu connus. Des détaillants comme Home Depot, Macy’s et Walmart figuraient tous dans le top 100 des entreprises les plus fréquemment vues dans l’étude. Des sociétés d’évaluation du crédit et de données sur les consommateurs telles que Experian et Neustar (TransUnion) figurent également sur la liste, de même qu’Amazon, Etsy et PayPal.

LiveRamp n’a pas répondu à une demande de commentaire.

Compagnies les plus fréquentes dans les données des panélistes (...)

Que contiennent exactement ces données ?

Les données examinées par Consumer Reports dans cette étude proviennent de deux types de collecte : les événements et les audiences personnalisées. Ces deux catégories comprennent des informations sur ce que les gens font en dehors des plateformes de Meta.

Les audiences personnalisées permettent aux annonceurs de télécharger des listes de clients vers Meta, comprenant souvent des identifiants tels que des adresses électroniques et des identifiants de publicité mobile. Ces clients, ainsi que les audiences dites "look-alike" composées de personnes similaires, peuvent ensuite être ciblés par des publicités sur les plateformes de Meta.

L’autre catégorie de données collectées, les "événements", décrit les interactions que l’utilisateur a eues avec une marque, qui peuvent se produire en dehors des applications de Meta et dans le monde réel. Les événements peuvent inclure la consultation d’une page sur le site web d’une entreprise, la montée en niveau dans un jeu, la visite d’un magasin physique ou l’achat d’un produit. Ces signaux proviennent du code logiciel de Meta inclus dans de nombreuses applications mobiles, de son pixel de suivi, qui figure sur de nombreux sites web, et du suivi de serveur à serveur, lorsque le serveur d’une entreprise transmet des données à un serveur de Meta.

The Markup a publié de nombreux articles sur le pixel Meta et sur la manière dont il a été utilisé pour surveiller les personnes qui composent les numéros d’appel d’urgence pour les suicides, achètent leurs courses, passent le SAT, remplissent leur déclaration d’impôts et prennent rendez-vous avec leur médecin. Les propriétaires de sites web peuvent configurer le pixel pour suivre les interactions des utilisateurs sur le site web, comme les recherches ou le remplissage d’un formulaire, en envoyant chaque action à Meta, même si l’utilisateur n’a pas de compte sur Facebook. Bien que des outils de recherche tels que Pixel Hunt de The Markup puissent détecter le pixel Meta ou le suivi SDK, il n’existe aucun moyen pour un consommateur de contrôler le trafic entre le serveur d’une entreprise et celui de Meta. L’étude de Consumer Reports examine les données de serveur à serveur, ainsi que le reste.

Comment consulter vos données ?

Les utilisateurs de Facebook peuvent consulter la liste des entreprises qui ont transmis leurs données à Facebook en se rendant dans le centre de comptes et en cliquant sur "Vos informations et autorisations".

À partir de ce menu, les utilisateurs peuvent télécharger leurs informations ou y accéder. Pour voir les entreprises autres que Meta qui ont partagé vos informations, sélectionnez "Votre activité en dehors des technologies Meta", puis "Activité récente". Il se peut que l’on vous demande d’entrer à nouveau votre mot de passe à ce stade. Cette vue vous montrera le nombre de connexions récentes entre diverses entreprises tierces que vous avez visitées et Meta, ainsi que des exemples de l’activité qui a été partagée. Vous pouvez choisir d’empêcher tout partage futur par l’entreprise en sélectionnant "Déconnecter". Pour obtenir des informations détaillées sur ces interactions, demandez une copie de vos données.

Mais après avoir franchi les nombreuses étapes nécessaires pour mettre la main sur ces données, il se peut que vous ayez encore des questions à poser. Par exemple, en plus des noms d’entreprises facilement reconnaissables, plus de 7 000 entreprises de l’étude de Consumer Reports ont été nommées en utilisant un charabia illisible, ou simplement des chiffres qui ne signifient rien pour la plupart des utilisateurs. Même les entreprises dont le nom était lisible ne comportaient souvent pas de lien vers leur site web. Certains noms d’entreprises étaient ambigus, comme celui de Viking, qui pouvait correspondre à plusieurs entreprises différentes.

"Ce type de suivi, qui se produit entièrement en dehors de la vue de l’utilisateur, est tellement éloigné de ce à quoi les gens s’attendent lorsqu’ils utilisent Internet", a déclaré Caitriona Fitzgerald, directrice adjointe de l’Electronic Privacy Information Center, lors d’une interview accordée au site The Markup. Selon Mme Fitzgerald, si les utilisateurs sont probablement conscients que Meta sait ce qu’ils font lorsqu’ils sont sur Facebook et Instagram, "ils ne s’attendent pas à ce que Meta sache dans quels magasins ils entrent ou quels articles de presse ils lisent, ou encore tous les sites qu’ils visitent en ligne."

Dans ce rapport, Consumer Reports appelle à un certain nombre de propositions de politiques couvrant les pratiques de collecte de données, dont certaines pourraient faire partie d’une loi nationale sur la protection de la vie privée dans le domaine numérique, ce que l’organisation préconise depuis longtemps. Les recommandations visant spécifiquement la technologie Meta et les annonceurs qui l’utilisent sont les suivantes :

– Exiger des entreprises qu’elles adoptent des stratégies de "minimisation des données", c’est-à-dire qu’elles collectent le minimum de données nécessaires à la fourniture du service offert.

– Élargir les pouvoirs des "agents autorisés" à agir au nom des consommateurs pour faire valoir leurs droits. Permission Slip est une application mobile de Consumer Reports qui permet aux utilisateurs de se désinscrire rapidement et de supprimer les données d’une longue liste d’entreprises et de courtiers en données au nom des utilisateurs ; l’application tire parti des dispositions relatives aux agents autorisés des lois sur la protection de la vie privée des États.

– Accroître la transparence des publicités en créant des archives publicitaires qui permettent au public de voir toutes les publicités qui ont été diffusées aux utilisateurs sur une plateforme, à l’instar de la loi sur les services numériques de l’Union européenne.

– Améliorer la qualité et la lisibilité des données que Meta met à disposition dans ses outils de transparence existants, afin que les consommateurs puissent réellement agir sur la base des informations qu’ils examinent.

M. Fitzgerald s’est fait l’écho de ces recommandations, affirmant que le problème réside dans le fait qu’il incombe au consommateur de prendre des mesures pour empêcher cette collecte de données. Même un mécanisme d’exclusion globale permettant aux utilisateurs d’éviter que leurs données soient partagées n’est pas suffisant, car "il faut toujours que l’utilisateur prenne des mesures pour protéger sa vie privée. Beaucoup de gens n’auront pas le temps ou les connaissances nécessaires pour le faire", a déclaré M. Fitzgerald.

M. Vazquez, porte-parole de Meta, a déclaré que l’entreprise "continuerait à investir dans des technologies de minimisation des données afin de répondre à l’évolution des attentes". Comme nous l’indiquons dans nos conditions, il incombe aux entreprises d’obtenir la permission de partager les informations des personnes avec des sociétés comme la nôtre".

Pour l’instant, l’absence de loi fédérale sur la protection de la vie privée laisse peu d’options aux consommateurs dans la plupart des États. "Je pense que les gens devraient encourager leurs élus à adopter des lois sur la protection de la vie privée qui obligent les entreprises à modifier certaines de leurs pratiques commerciales afin de mettre un terme à ce suivi omniprésent de chacun de nos clics et de nos mouvements", a déclaré M. Fitzgerald.

Note de l’éditeur : Consumer Reports entretient des relations commerciales avec LiveRamp et un autre courtier en données, Acxiom. Consumer Reports partage des données avec chacune de ces sociétés afin de soutenir sa mission.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique