Des milliers d’entreprises partagent vos données avec Facebook, prévient Consumer Reports

Une analyse de Consumer Reports publiée le 17 janvier 2024 examine qui envoie des informations sur l’activité d’un utilisateur Facebook à Facebook. L’étude a été co-réalisée avec The Markup, une société à but non lucratif qui vise à servir le bien public. L’enjeu est d’importance à l’heure où de nombreuses alternatives aux cookies se structurent afin de réaliser du ciblage publicitaire.

Chaque utilisateur voit ses données transmises à Meta par 2230 entreprises en moyenne

L’étude révèle qu’en moyenne, chaque utilisateur Facebook voit ses données transmises par 2230 entreprises à Meta. L’étude prend en compte le mode d’échange de données de serveur à serveur avec Meta. Ce mode d’échange est notamment promu par Commanders Act face à la disparition des cookies tiers sur Chrome. Autre point, Consumer Reports s’inquiète que beaucoup de noms de sociétés impliquées dans le transfert de données vers Meta ne soient pas clairement identifiées. L’étude insiste sur l’omni-présence de LiveRamp en tant que courtier de données dans ces transferts.

Il est désormais connu que notre activité en ligne est suivie. On voit ainsi des publicités pour des produits que l’on a précédemment recherchés, ou on se voit demander si nous acceptons que nos données soient partagées avec des partenaires. Consumer Reports a voulu savoir combien d’entreprises sont impliquées dans cette collecte de données. L’étude a été menée avec 709 Américains volontaires qui ont partagé les archives de leurs données Facebook qu’ils ont eux-mêmes téléchargées,.

Consumer Reports a constaté qu’un total de 186 892 entreprises ont envoyé des données concernant ce panel au réseau social Facebook. En moyenne, chaque participant à l’étude a vu ses données envoyées à Facebook par 2 230 entreprises. Ce nombre est toutefois largement variable. Les données de certains panélistes répertoriaient 7 000 entreprises fournissant leurs données. 

Analyse des données transférées de serveur à serveur

Consumer Reports souligne que l’étude a examiné une forme de suivi cachée, ce que l’on appelle le suivi de serveur à serveur, dans lequel les données personnelles passent des serveurs d’une entreprise aux serveurs de Meta. Une autre forme de suivi, dans laquelle des pixels de suivi Meta sont placés sur les sites Web des entreprises, est visible par les navigateurs des utilisateurs. 

Le pixel Facebook, désormais rebaptisé pixel Meta, est un morceau de code, en JavaScript que l’on place sur les pages d’un site web. Ce pixel est un outil d’analyse qui permet de suivre les personnes qui visitent un site web, savoir sur quelles pages les internautes se rendent, s’ils réalisent des achats ou d’autres actions, de suivre les conversions multi-appareils des publicités Facebook, d’optimiser la distribution des publicités, de cibler des audiences qualifiées, de diffuser des annonces auprès de nouvelles audiences, d’obtenir des données sur le trafic sur un site internet.

Ainsi, le pixel enregistre certaines actions effectuées par les visiteurs d’un site site web après avoir vu une des publicités sur Facebook : achat, visualisation d’une page produit, inscription à la newsletter, recherche, ajout au panier… Grâce à cela, on peut savoir si les publicités Facebook sont efficaces et effectuer des publicités ciblées, en fonction des actions réalisées sur le site.

L’identité de nombreux fournisseurs de données n’est pas claire

Les réalisateurs de l’étude préviennent que le panel d’utilisateurs étant des volontaires, il n’est pas représentatif de la population américaine dans son ensemble. Bien que Meta fournisse des outils de transparence comme celui qui a permis l’étude, Consumer Reports a identifié des problèmes avec ceux-ci, notamment le fait que l’identité de nombreux fournisseurs de données à Meta n’est pas claire d’après les noms divulgués aux utilisateurs et que les entreprises qui fournissent des services aux annonceurs sont souvent autorisées à ignorer les demandes de désinscription.

La société LiveRamp est apparue dans la quasi-totalité des données des participants. Il s’agit d’un courtier en données basé à San Francisco. Des entreprises plus connues du grand public sont également identifiées telles que des commerçants comme Home Depot, Macy’s et Walmart. Des sociétés d’évaluation du crédit et de données sur les consommateurs telles qu’Experian et Neustar de TransUnion figuraient également sur la liste, tout comme Amazon, Etsy et PayPal.

Les données examinées par Consumer Reports proviennent de deux types de collecte effectuée par Meta. Il y a les événements (Events) et les audiences personnalisées (Custom Audiences). Les deux catégories incluent des informations sur ce que les gens font en dehors des plateformes Meta. Les audiences personnalisées sont des listes d’identifiants personnels, tels que des adresses e-mail, des adresses postales, des numéros de téléphone et des identifiants (ID) publicitaires mobiles, transférés par les annonceurs à Facebook dans le but de cibler les audiences pour les publicités.

Le ciblage des audiences utilise les données des clients, des partenaires et des courtiers

Les publicités ciblées sont dirigées vers leurs destinataires prévus à l’aide de données collectées auprès des clients de l’annonceur ou de ses entreprises partenaires, achetées auprès de courtiers en données, ou en accordant une licence à des données détenues par une autre entreprise avec laquelle l’annonceur a conclu un contrat pour aider à cibler les publicités sur des groupes spécifiques.

Les publicités peuvent être ciblées soit directement sur les personnes dont les données ont été partagées, soit sur un « public similaire » composé d’autres utilisateurs de Facebook partageant certaines caractéristiques avec ces personnes. Les données des audiences personnalisées peuvent également être utilisées pour exclure les utilisateurs de Facebook présentant certaines caractéristiques de voir une publicité. Les annonceurs ou leurs fournisseurs de services ajoutent généralement des données personnelles à la base de données des audiences personnalisées sans savoir si les personnes figurant sur leurs listes sont des utilisateurs de Facebook, indique Consumer Reports.

Le deuxième ensemble de données que Facebook permet aux utilisateurs grand public de télécharger est celui des événements. C’est une compilation détaillée des actions effectuées par l’utilisateur lorsqu’il utilise Internet ou interagit avec une entreprise. Les entrées typiques incluent la visualisation de certaines pages du site Web de l’entreprise, l’achat d’un produit ou d’un service, la visite de points de vente physiques et même la montée de niveau dans un jeu vidéo.

Suivi des internautes par « pixel » ou par l’API Facebook de conversion, CAPI

Comme pour les données d’audiences personnalisées, les données d’événements sont transférées par les annonceurs Facebook à Facebook, généralement dans le but de cibler des publicités ou de mesurer si une publicité Facebook a abouti à une action hors Facebook telle qu’une vente. Les annonceurs collectent généralement des données sur les événements à l’aide d’un script, ou « pixel de suivi », exécuté sur leurs sites Web ; en utilisant le code du kit de développement logiciel (SDK) Facebook exécuté dans une application mobile ; ou par un serveur exécutant l’API Facebook Conversions (CAPI). Dans le cas du suivi de serveur à serveur, le serveur d’une entreprise transmet des données à un serveur Meta. 

Consumer Reports explique que les événements créés par un pixel ou un SDK sont visibles depuis une extension de navigateur Web ou un serveur proxy et ont fait l’objet d’études de consommation antérieures. Quant aux événements CAPI, ils ne peuvent pas être vus par les utilisateurs grand public ou dans les applications côté client et peuvent être vus et analysées uniquement en menant une étude ad hoc.

Les propriétaires de sites Web peuvent configurer le « pixel » pour suivre les interactions des utilisateurs sur le site Web, telles que les recherches ou le remplissage d’un formulaire, en envoyant chaque action à Meta, même si l’utilisateur n’a pas de compte sur Facebook. Consumer Reports attire l’attention sur le fait que lorsqu’un internaute charge les données partagées avec Meta, il se retrouve face à des noms d’entreprise illisibles pour l’utilisateur en dehors des sociétés facilement reconnaissables. Il y avait 7000 noms illisibles dans le cas de l’étude actuelle.