Decathlon, à fond la surveillance

La famille Mulliez maximise l'exploitation de vos données personnelles

Publié par Pixel de Tracking le 16 janv. 2023

Les règles du jeu

En août dernier, je tweetais sur le parcours de l'enfer pour refuser la surveillance de Decathlon. À ce jour, c'est le tweet qui m'a valu le plus de succès avec 1760 Retweets et plus d'1 million d'impressions. Manifestement, ce n'était pas suffisant pour avoir droit à une réponse de Yann, le CM de Decathlon. Quelques mois après cet épisode, quels ont été les changements ? Étudions cela en détail.

Dès votre arrivée sur le site Decathlon vous êtes accueilli par une bannière "Cookies : Les règles du jeu" :

regles

Les règles de Decathlon, celles de la loi ?

Vous êtes habitué à ces dark patterns et instinctivement, vous cliquez sur le bouton "Refuser et fermer" en haut à droite ? J'ai fait cela aussi... Lisez attentivement le texte :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Qui sont ces partenaires ? Mystère... Comment s'opposer au traitement des données fondé sur l'intérêt légitime ? Le texte de Decathlon est incohérent car il n'y a pas de bouton « En savoir plus ». Essayons néanmoins en cliquant sur "Paramétrer vos cookies" :

params

"Bien sûr, la balle est dans votre camp, à vous d'accepter ou de refuser certains cookies pour choisir ceux qui restent sur le terrain".

La bannière ne parle pas d'intérêt légitime, vous pouvez encore cliquer sur "Refuser tout". Continuons donc l'investigation en cliquant sur "Voir nos partenaires" :

partenaires

La longue liste des partenaires de Decathlon.

Decathlon aime partager vos données personnelles et travaille avec pas moins de 26 partenaires : AB Tasty, AT Internet, Awin, Bing (Microsoft), Content Square, Dynamics Yield, Easyence, Epsilon, Google, Hotjar, IAdvize, Idealo, Kelkoo, Lucky Orange, Meta (Facebook), Mobsuccess, Ogury, Pinterest, Rakuten advertising, RTB House, SpeedCurve, Target 2 Sell, Teads, Teester, Valiuz et Verizon Media.

Là aussi, vous pouvez cliquer sur "Bloquer" pour "Tous les partenaires", vous ne verrez aucune mention à l'intérêt légitime, ces partenaires se basent sur votre consentement. Le mystère demeure sur les "partenaires" se basant sur l'intérêt légitime, il semble à première vue qu'un simple clic sur "Refuser et fermer" en haut à droite de la bannière initiale soit suffisant.

Via le site Consent String Decoder, je vérifie néanmoins ma chaîne de consentement, une chaîne de caractère qui encode mes choix et qui doit être respecté par les partenaires de Decathlon :

string

Les variables purposeConsents et purposeLegitimateInterests sont vides, aucun partenaire de Decathlon n'a de base légale pour traiter mes données personnelles.

Après refus, vous êtes quand même traqué par iAdvize

Après avoir cliqué sur "Refuser et fermer", je lance Charles Proxy pour observer les requêtes envoyées par mon navigateur :

refus

Surprise ! Decathlon n'est pas le seul destinataire de mes données personnelles.

iAdvize suit donc votre navigation, grâce aux paramètres url, sourceVisitorId et deviceId. Le paramètre cookieConsent interroge également, il est renseigné à unknown ! iAdvize c'est quoi ? Une fenêtre conversationnelle sur le site Decathlon, pour favoriser l'achat :

sporty

Sporty par iAdvize, toujours disponible pour observer votre comportement !

Si je reviens sur la bannière cookies pour vérifier mes choix, via "Gestion des cookies" (et non "Données personnelles") en pied de page :

nonnecessaire

Beaucoup d'amour pour "les cookies non nécessaires".

Puis, si je clique sur "Gérer mes cookies" et que je cherche mon choix pour iAdvize :

toujours refus

J'ai bien refusé la surveillance d'iAdvize, Decathlon ignore donc mon choix.

Notez que Decathlon et iAdvize pourraient arguer du fait qu'iAdvize ne dépose pas de cookies lorsque vous cliquez sur "Refuser et fermer". Sauf que ce dernier vous identifie via les identifiants sourceVisitorId et deviceId, un fingerprint est bien un identifiant utilisateur et votre consentement est nécessaire :

finger

La CNIL est explicite sur l'application de la directive ePrivacy, le "fingerprinting" est concerné.

L'inscription, avec un partenaire mystérieux mais un engagement fort

Vous souhaitez maintenant commander chez Decathlon ? Vous allez devoir vous inscrire :

partenaires

En équipe ! Decathlon vous propose son offre avec "ses partenaires".

Vous avez déjà refusé la surveillance de 26 partenaires, pourquoi Decathlon vous reparle-t-il de "partenaires" ? Il semble que la référence soit plutôt aux vendeurs de sa marketplace, mais on aurait aimé que Decathlon soit plus explicite. Renseignez une adresse e-mail, puis un mot de passe :

presque

Un "partenaire" de plus, Valiuz (retenez ce nom pour la suite).

Vous n'avez pas forcément envie de recevoir des newsletters Decathlon, via le mystérieux partenaire "Valiuz", ne cochez donc pas la case et cliquez simplement sur "Confirmer et continuer" :

phone

Le numéro de téléphone est obligatoire, et bien sûr, ce n'est que pour vous contacter au sujet de votre commande ;-)

Vous pouvez également renseigner vos sports favoris. Sur la même page, Decathlon communique sur la manière dont vos données sont utilisées, pour la création de compte tout d'abord :

rassurecompte

Avec des mots forts :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Decathlon communique avec les mêmes mots sur la manière dont vos données sont utilisées pour une communication :

rassurecom

On note la confiance du sportif :

Enfin, si malgré l'intérêt que nous portons à la protection de vos données vous n'étiez pas satisfait, vous pouvez formuler une réclamation auprès de la CNIL.

Ces engagements concernent la création de compte et les communications de Decathlon. Mais comme on l'a vu précédemment, avec votre consentement (excepté pour iAdvize), Decathlon peux partager vos données personnelles avec pas moins de 26 partenaires pour diverses finalités : "Publicités personnalisées", "Mesure d'audience et de performance des contenus" et "Personnalisation du contenu".

Certaines de vos données personnelles ne sont donc pas destinées qu'à Decathlon...

À la recherche des paramètres de vie privée

Étant méfiant, je souhaite vérifier si Decathlon a correctement protégé mon compte, avec les options les plus protectrices côté vie privée. Pour cela, je me rends sur "Mon tableau de bord" :

dashboard

L'accès le plus rapide vers les paramètres de vie privée ?!

Dans la section "Gérer mon compte Decathlon" du menu, caché dans "Préférences", je découvre 2 entrées intéressantes, "Historique de navigation" et "Données personnelles" :

menu

Victoire ?

Cliquons sur "Historique de navigation" :

historique

Toujours "l'amélioration de l'expérience sur le site".

Lorsque vous décochez l'option, on vous explique que vous ne verrez plus les articles déjà consulté :

cache

Cette option "Historique de navigation" est en effet bien cachée.

Si je clique maintenant sur "Données personnelles", je me retrouve sur la page "Vos données & Decathlon". Afin d'être sûr de ne pas louper d'options, je clique sur l'entrée "Sécurité" du menu de la page "Mon tableau de bord". Et là, surprise, un deuxième tableau de bord :

securite

"Gérez toutes vos données à un seul endroit !" Si vous le trouvez ;-)

Là vous pourrez donner encore un peu plus d'informations à Decathlon, notamment vos mensurations :

mensurations

Le capitalisme de surveillance s'attaque à votre corps.

L'idée ? Vous proposer des produits et services adaptés à votre morphologie :

benefices

Decathlon vous accompagne dans votre discipline, ça fait envie non ?

Regardons ensuite les "Préférences de communication" :

communication

Évidemment, quasi toutes les communications sont pré-cochées.

Si vous cliquez sur "Vous désabonner de l'ensemble des informations", on vous demandera si vous êtes vraiment sûr :

sur

Après tous ces efforts, on se demande si vous souhaitez vraiment louper nos communications commerciales.

Finalement, allons sur l'entrée "Utilisation des données" du menu :

utilisation

Une autre page pertinente concernant votre vie privée, bien cachée n'est-ce pas ?

Si vous cliquez sur "Modifier" pour "Sites web et applications partenaires", vous verrez une page plus ou moins vide, selon vos comptes :

sites

Toujours des partenaires, et pourtant "Vos données ne sont destinées qu'à Decathlon".

Je n'ai pas de "Sites web et applications partenaires", pas de partage supplémentaire de données personnelles. Si vous cliquez maintenant sur "Modifier" pour "Déduction des préférences par Decathlon" :

deduction

L'option est pré-cochée, un classique !

Si vous vous rappelez, j'ai déjà désactivé mon historique de navigation ainsi que toutes les communications, comment est-ce que Decathlon peut se permettre de continuer à "déduire" mes préférences ? Mystère... Cliquons maintenant sur "Modifier" pour "Partage avec Valiuz" :

programme

Nouvelle option pré-cochée, pour partager vos données avec "un groupe d'enseignes".

On rappelle l'engagement de Decathlon lors de votre inscription :

Où vont vos données ? Chez nous, et c'est tout ! Il est rare que l'on apprécie que notre email soit vendu à d'autres enseignes. Rassurez-vous, ce n'est pas la politique de la maison. Vos données ne sont destinées qu'à Decathlon : notre service logistique, notre centre de relation clients, etc. Si nos sous-traitants traitent vos données, ils ne le font qu’à des fins statistiques, de dédoublonnement ou de correction, et sur instructions de DECATHLON.

Donc ce n'est pas la politique de la maison, mais c'est quand même ce que fait Decathlon, pour vos données personnelles les plus intéressantes : habitudes d’achat, adresse, composition de votre foyer, coordonnées. Vous avez beau avoir tout refusé, ce partage est activé par défaut, partage avec un groupe d'enseignes mystérieux. Aussi, via @Eriatolc, vous apprendrez que Decathlon vous enrôle automatiquement dans son programme fidélité.

En parlant de Valiuz, c'est un partenaire que j'avais déjà bloqué :

bloc

Un partenaire déjà bloqué, mais avec qui Decathlon partage quand même vos données personnelles.

Le texte de la bannière de consentement est intéressant d'ailleurs, Valiuz se permettant de faire beaucoup avec vos données personnelles :

VALIUZ contribue à personnaliser les bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). Vos données ne sont jamais transmises aux annonceurs concernés. VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Sur la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE", vous pourrez en savoir un peu plus sur cette "extension d'audience" :

extension

Valiuz vend des campagnes publicitaires basées sur votre profil, sur des sites web qui n'appartiennent pas à l'alliance ("extension d'audience"), un bien joli business !

En savoir plus sur Valiuz

Pour mieux comprendre ce que fait Valiuz, j'ai donc cliqué sur le lien "En savoir plus sur Valiuz" depuis la page "Partage avec le programme Valiuz" de Decathlon. Me voici sur le site Valiuz, et voici la liste des membres de l'alliance : Auchan, Boulanger, Kiabi, Leroy Merlin, Norauto, Flunch, 3 brasseurs, Alinea, Top Office, Saint Maclou, Tape à l'oeil, Jules, Electro Depot, Rouge-Gorge, Nhood, Chronodrive, Grain de Malice, Bizzbee, Decathlon, Oney, "et bien d'autres à venir !"

Sur la page "Comment ça fonctionne", Valiuz vous vend l'utilité de ses e-mails ciblés :

parcours1

"Je suis une famille avec 2 enfants, qui a un intérêt marqué pour les produits frais & hi-tech pour la cuisine."

Valiuz vous vend aussi l'utilité de ses SMS et notifications ciblés :

parcours2

"Je suis un(e) client(e) qui achète uniquement en magasin et jamais en ligne, et visite sa zone commerciale habituelle le samedi."

Mais Valiuz cherche également à vous rassurer :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz créé un pot commun de vos données personnelles sur les différentes enseignes partenaires, pour mieux les exploiter :

potcommun

Valiuz permet à Decathlon et aux autres enseignes partenaires de mieux vous cibler.

Qu'en est-il de l'identifiant unique créé par Valiuz ? La page "Mes droits" donne un peu de détail :

hash

J'espère que vous êtes rassuré, toutes vos données identifiantes (votre adresse e-mail, votre adresse postale ou encore votre numéro de téléphone) sont hachés avant d'être comparés entre enseignes. Pour les petits malins d'entre vous qui se serviraient d'un système d'alias e-mail type SimpleLogin, Valiuz vous retrouvera grâce à votre numéro de téléphone (obligatoire à l'inscription) et à votre adresse postale (recommandée si vous avez commandé).

Au passage, le hash de votre adresse e-mail est probablement déjà connu des grandes plateformes et de toute l'adtech. Est-ce "sécurisé" comme l'indique Valiuz ?

securise

"Valiuz assure une sécurité maximale".

On peut en douter, allez faire un tour sur le site "Have I been pwned" et vérifiez votre adresse e-mail, il est probable qu'elle ait fuitée (tout comme votre numéro de téléphone). Si c'est le cas, une personne ayant accès à la fuite pourra remonter à votre adresse e-mail depuis son hash.

Toujours sur la page "Mes droits", vous pouvez vous opposer à l'utilisation de vos informations liées à vos achats (en magasin et en ligne) dans le cadre de Valiuz :

oppose

Renseignez votre e-mail pour ne pas être surveillé via votre e-mail.

Pourquoi donner son adresse e-mail ? Ce serait la seule manière de vous "désabonner" :

Cette adresse email doit être connue d’un des membres de l’alliance, afin de nous permettre d’identifier le profil client concerné. Elle servira uniquement à vous envoyer un message de confirmation automatique et sera pseudonymisée (c’est-à-dire qu’elle sera transformée en une information de type 1a2b3c4d5e6f que nous allons comparer avec nos données pour prendre en compte votre demande).

En vrai, vous pouvez aussi décocher l'option "Partage avec le programme Valiuz" sur votre compte Decathlon. Mais il faudra le faire avec toutes les autres enseignes de l'alliance Valiuz pour lesquelles vous avez un compte, si tant est qu'elles proposent l'option :

global

Opposition au partage de mes données Decathlon à Valiuz vs opposition au service Valiuz d'une manière globale.

Lors de mon test en août dernier, il était possible de s'opposer au traitement des informations de navigation, au prix d'un magnifique dark pattern :

nav

Quand c'est 'OFF', c'est 'ON'.

Alors comment faire pour bloquer le traitement des informations de votre navigation ? On en revient à la bannière de consentement initiale :

suppression

Le parcours du combattant.

pour refuser le cookie Valiuz, vous devez utiliser l’outil de gestion des cookies disponible sur le site internet de nos partenaires.

Ouf ! C'est donc déjà fait, dès le début de cet article. Il aurait néanmoins été intéressant de laisser l'utilisateur refuser cette surveillance directement depuis le site Valiuz, pour tous les sites de l'alliance. Vous devez maintenant cliquer sur "Tout refuser" sur la bannière de consentement de chacun des sites de l'alliance.

Et notez que lorsque Valiuz combine les informations liées à vos achats (en magasin et en ligne) avec les informations de votre navigation, cela fait beaucoup d'informations :

combine

Pour mieux vous profiler, Valiuz récupère aussi "des données librement accessibles au public (open-data) ou issues de base de données fournies par des tiers (exemple: INSEE)."

Cadeau supplémentaire, les informations de votre navigation et le rapprochement avec les données détenues par les membres de l'alliance n'est pas opéré directement par Valiuz, il est effectué via l'adtech française Mediarithmics :

media

"Vos données ne sont destinées qu'à Decathlon", nouvel épisode.

Quelles bases légales pour les traitements de Valiuz ?

Question difficile, si l'on reprend les informations :

Valiuz se base sur le consentement (via la bannière cookies de Decathlon) pour :

  • La personnalisation des bannières publicitaires diffusées en ligne (sur les sites internet des membres de l'alliance, les sites externes, les réseaux sociaux), promouvant les produits et services des annonceurs tiers (extension d'audience). VALIUZ constitue des audiences (liste de personnes ayant des points communs) sur la base de vos données de navigation et des informations que vous avez transmises aux entreprises de l'alliance, et ces audiences sont exposées à des publicités en ligne qui correspondent à leur profil.

Valiuz se base sur son intérêt légitime pour le reste, c'est à dire :

  • Pour réaliser des analyses statistiques non individuelles permettant à ses entreprises partenaires de mieux comprendre les attentes de leur clientèle et d’y répondre en faisant évoluer leur activité.
  • Pour améliorer la qualité des informations clients de ses entreprises partenaires et ainsi contribuer à leur mise à jour (exemple: identifier les personnes dont l’adresse postale est obsolète, pour arrêter de leur envoyer des communications).
  • Pour segmenter les bases de données clients de ses entreprises partenaires et ainsi contribuer à améliorer la pertinence des communications qu’elles vous adressent.

On comprend mieux cette articulation dans la section "Quel est le service fourni par VALIUZ" sur la page "Politique données personnelles et cookies de l’Alliance" :

articulation

Intérêt légitime pour le profilage publicitaire, consentement pour les données de navigation et l'affichage de publicités ciblées.

Aussi, le message énigmatique de la bannière de consentement sur le site Decathlon fait maintenant sens :

Certains partenaires ne demandent pas votre consentement pour traiter vos données et se fient à leur intérêt commercial légitime. Vous pouvez révoquer votre consentement ou vous opposer au traitement des données fondé sur l'intérêt légitime à tout moment en cliquant sur « En savoir plus »

Sauf que l'opposition au traitement des données fondé sur l'intérêt légitime était un peu plus compliqué que de cliquer sur « En savoir plus », cette bannière est particulièrement malhonnête. Plus généralement, Decathlon semble avoir un problème avec la notion de consentement, comme en témoigne la page "Vos données & Decathlon", section "NOS COMMUNICATIONS SONT ADAPTEES À VOTRE VIE SPORTIVE" :

interet

"[...] si et seulement si les personnes concernées ont consenti [...]", mais on se base quand même sur l'intérêt légitime.

Derrière Valiuz, le groupe Mulliez

Qui est derrière cette alliance "Valiuz" ? Si vous n'êtes pas un connaisseur du capitalisme à la française, vous ne devinerez pas forcément qu'Auchan, Decathlon ou Leroy Merlin appartiennent à la richissime famille Mulliez. L'article "Valiuz, le projet data aux 150 millions de cartes de fidélité du groupe Mulliez" (que vous pouvez lire grâce au mode "lecture" de votre navigateur), écrit en 2019, donne quelques informations :

  • Valiuz touchait déjà 29 millions de foyers français.
  • Il rassemblait donc plus de 150 millions de cartes de fidélité.
  • Ce n'est pas la seule alliance, 3W.RelevanC (Casino) rassemblait 31 millions de consommateurs, l'article mentionne aussi RetailLink de Fnac-Darty.
  • Mediarithmics renvoie les profils utilisateurs vers les Data Management Platforms (DMP) des différents membres de l'alliance, d'autres acteurs actech récupèrent donc vos données personnelles enrichies.
  • Pour l'instant circonscrite à la galaxie Mulliez, l'initiative pourrait s'ouvrir à d'autres groupes dans les mois qui viennent. Notamment sur les verticales où les entités membres de l'AFM ne sont pas présentes, comme les télécoms, par exemple.

Si vous vous rappelez, Valiuz déclarait :

Vos données ne sont, et ne seront jamais, ni revendues, ni échangées entre les enseignes partenaires de Valiuz. Seule Valiuz a accès aux données qui lui sont transmises par ses partenaires.

Valiuz propose aussi une application de cashback, pour siphonner vos transactions bancaires

Valiuz récupère vos historiques d'achats sur le web et en magasin auprès des membres de l'alliance. Mais pourquoi ne pas récupérer toutes vos transactions bancaires ? Évidemment, si vous êtes un minimum concerné par votre vie privée, vous n'utiliserez pas ce genre d'applications, mais Valiuz propose une application de "cashback" appelé Naomi :

naomi

Cumuler des récompenses automatiquement, intéressant n'est-ce pas ?

À l'inscription, Naomi vous demande les accès à votre compte bancaire :

etape

"Tes informations de connexion bancaire nous permettent simplement d'identifier tes achats pour verser tes gains."

Naomi n'a en effet pas accès aux identifiants bancaires, "seulement" à l'ensemble des transactions bancaires du client :

connecte

Confidentialité et sécurité, pourquoi s'inquiéter ?

La "politique de protection des données personnelles" de l'application Naomi est intéressante. On note que les études statistiques sur vos transactions bancaires se basent sur l'intérêt légitime de Naomi alias Valiuz :

etudes

Toujours la fameuse pseudonymisation, avec maintenant l'ensemble de vos transactions bancaires.

Vu la sensibilité des données récupérées, vous ne serez pas forcément rassuré de lire que Naomi passe par des sous-traitants pour de nombreuses actions :

soustraitants

"études statistiques, segmentation et profilage publicitaire à partir des données", effectué par des sous-traitants dont vous n'avez pas le nom.

Cerise sur le gâteau, Naomi travaille avec les rois du capitalisme de surveillance, Google et Facebook :

capital

Les fameux "pixels", des vecteurs de tracking très efficaces.

Mais les transactions bancaires ne sont pas assez précises, Naomi veut savoir exactement ce que vous avez acheté, et vous propose donc de scanner les tickets de caisse :

caisse

Naomi récupère ainsi le détail des achats: nature du produit, magasins, date, montant.

Notez que, à la différence de Decathlon, la base légale du profilage pour l'alliance Valiuz est le consentement :

bases

Vous avez de la chance, les achats ou paiements sensibles ou qui ne correspondent pas à un achat ne sont pas partagés par Naomi.

Comme le dit si joliment le compte Twitter de Valiuz :

connaitre

Valiuz, mieux vous connaître pour mieux vous parler.

Le capitalisme de surveillance recrute

Convaincu par cet article élogieux, vous décidez d'aller sur la page Valiuz de Welcome to the Jungle et de lire les offres d'emplois. Si vous êtes dans l'opérationnel, vous pourriez être Account Manager Programmatique par exemple :

manager

"Spécialisée dans la mise en place de modèles économiques autour de la data".

Si vous vous sentez l'âme d'un commercial, vous pourriez être Sales Manager - Retail Media :

retail

"Valiuz Media, l’offre retail la plus puissante du marché : 18 enseignes complémentaires, 55 millions de clients encartés, 1,7 milliards de transactions omnicanales, 3 520 magasins en France."

Mais pourquoi travailler chez Valiuz me direz-vous ?

grande

"[...] la plus large base data clients de France" ça fait rêver, non ?

Le mot de la fin, sur la page d'accueil de Valiuz, avec "Nos valeurs" :

commerciale

"Nous ne commercialisons pas vos informations."