La grande braderie de vos données personnelles sur Le Bon Coin

Le Bon Coin fuite vos données personnelles dès votre arrivée sur son site web

Le Bon Coin est un énorme succès commercial en France, le site de petites annonces a su se rendre indispensable auprès de nombreux particuliers. Ayant assez régulièrement des biens à revendre, j'ai souhaité comprendre si Le Bon Coin était respectueux de ma vie privée. Démarrons avec le site web leboncoin.fr, voici les étapes à suivre si vous désirez reproduire l'expérience :

• Désactivez votre adblocker.
• Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
• Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
• Puis allez sur la page d'accueil leboncoin.fr.

Première constatation : Le Bon Coin n'offre pas d'option directe pour refuser la surveillance marketing. Cette présentation n'est pas conforme au RGPD : l'option "J'ai compris" est mise en valeur par la couleur bleue et surtout elle oblige l'utilisateur à configurer ses choix via le bouton "Personnaliser", l'énorme majorité des utilisateurs ne feront pas l'effort.

Regardons maintenant les requêtes envoyées lors de votre arrivée sur le site, pour rappel vous n'avez pas encore fait le choix d'accepter ou de refuser d'être pisté :

Surprise ! Vous n'avez effectué aucune action mais Le Bon Coin multiplie déjà les appels à des sociétés marketing, certaines de ces sociétés démarrent le pistage sans votre consentement. Voici une liste de traceurs utilisant un identifiant personnel (pseudonyme) :

• Datadome : solution de protection contre les bots.
• Sublime : via ayads.co, ad-network français spécialisé dans les habillages de page (anciennement Sublime Skinz).
• AT Internet : via ati-host.net, AT Internet est une société analytics française "historique", originellement appelée Xiti. Nous les avons déjà rencontré ailleurs, cf. "Consentement : le pire de l'expérience utilisateur et de la surveillance avec Lemonde.fr" et "Boursorama Banque fuite vos données de connexion".
• Facebook : Le Bon Coin utilise la boîte à outils marketing de Facebook, entre autres pour sa brique analytics.
• Google : via doubleclick.net. Le Bon Coin utilise également la solution de monétisation publicitaire "Google Ad Manager" de la firme de Mountain View.

Que se passe-t-il maintenant si vous cliquez sur le bouton "Personnaliser" ?

Bonne nouvelle, il y a bien un bouton "Refuser tout", cliquons dessus et observons les requêtes envoyées :

Vous venez de faire l'effort de refuser tout pistage, mais vous fuitez toujours vos données personnelles aux géants de la surveillance publicitaire :

• Facebook : la surveillance continue, Facebook suit toutes vos actions sur le site leboncoin.fr. Ironiquement, la firme de Menlo Park récupère ici spécifiquement l'information que vous avez cliqué sur le bouton "Refuser tout".
• Google : via sa plateforme de monétisation publicitaire Google Ad Manager (réunissant adserveur et SSP), Google récupère également votre surf.

Consultez quelques pages et constatez que les appels aux sociétés marketing représentent toujours la majorité des requêtes :

La plupart de ces acteurs semblent ici prendre en compte votre consentement (pas de cookies déposés, même s'ils pourraient théoriquement vous pister avec votre adresse IP et avec les caractéristiques de votre navigateur), mais on peut se demander pourquoi Le Bon Coin les appelle. Les traceurs déjà répertoriés précédemment continuent la surveillance (Google, Facebook, AT Internet, Sublime, Datadome), on peut aussi remarquer un petit nouveau, Index Exchange (via casalemedia.com), une autre plateforme de monétisation publicitaire.

Si maintenant vous continuez votre navigation sans faire attention à la bannière de consentement (comme la grande majorité des utilisateurs), c'est littéralement le carnage :

Ici pas de quartier, tout le monde vous traque, on peut ainsi repérer :

• Weborama : société de data marketing française, fuitant notamment vos données personnelles vers des sociétés Russes.
• Criteo : un géant du marketing de surveillance français spécialisé dans le "retargeting", aux pratiques peu éthiques.
• AppNexus : via adnxs.com, une plateforme de monétisation publicitaire (SSP) américaine, rachetée par le géant des télécoms AT&T et proposant également une plateforme d'achats d'espaces publicitaires (DSP).
• Realytics : une plateforme d'achats programmatique TV.
• Amazon : dans les GAFA, il n'y a pas que Google ou Facebook à fournir des solutions publicitaires, Amazon propose également ses solutions de monétisation aux éditeurs.
• Smart AdServer : une plateforme de monétisation publicitaire française.
• TheTradeDesk : via adsrvr.org, une plateforme d'achats d'espaces publicitaires américaine.
• Yahoo : oui Yahoo existe encore... Et propose des solutions publicitaires.
• Temelio : via leadplace.fr, solution française permettant de croiser vos données personnelles online et offline, vous n'y échapperez pas !
• Graphinium : via crm4d.com, autre solution française permettant de croiser vos données personnelles online et offline.
• Zemanta : racheté par Outbrain (leader mondial sur les liens putaclic en fin d'articles), Zemanta propose une plateforme d'achats de "publicité native" (publicité "déguisée", ayant le même visuel que le contenu, comme sur Facebook ou Twitter).
• Liveramp : via rlcdn.com, leader mondial du croisement de vos données personnelles online et offline (concurrent de Temelio et Graphinium).
• Nielsen : via exelator.com, le géant des études marketing s'est étendu sur le net via le rachat du fournisseur de données personnelles eXelate en 2015.
• ZBO Media : via zebestof.com, société du groupe Figaro - CCM Benchmark, se présentant comme "l’unique acteur programmatique à pouvoir exploiter toute la donnée du Groupe Figaro – CCM Benchmark". Pour rappel, lisez l'article "Le Figaro, emblème du tracking publicitaire invasif des sites médias français".
• Pubmatic : plateforme de monétisation publicitaire américaine.
• TripleLift : via 3lift.com, ad-network spécialisé dans la publicité native.
• Adform : plateforme proposant une suite complète d'outils publicitaires, d'abord pour les annonceurs et agences (adserveur, DSP et DMP) mais aussi pour les éditeurs (adserver et SSP).
• OpenX : autre plateforme de monétisation publicitaire américaine.
• Adot : via adotmob.com, ad-network français.
• ESV Digital : via esearchvision.com, société française autrefois connu pour son outil de tracking de campagnes de liens sponsorisés sur Google.
• Integral Ad Science : via adsafeprotected.com, outil de détection de fraude, de mesure de visibilité (la publicité diffusée est-elle visible de l'utilisateur ou en bas de page ?), et de "brand safety" (la publicité diffuse-t-elle sur un site "de qualité" ?).
• Adobe : via everesttech.net, Adobe est connu pour Photoshop, mais la société américaine a fait de nombreuses acquisitions (Analytics, Tag Management, DMP, achats médias, etc) afin de fournir une suite marketing complète.
• Delta Projects : via de17a.com, société gérant l'achat d'espaces publicitaires.
• Adition : société allemande proposant des solutions publicitaires aux annonceurs et éditeurs.
• Turn : société proposant une plateforme d'achats d'espaces publicitaires et une "Data Management Platform", rachetée par Amobee en 2017.
• BidSwitch : acteur essentiel de la publicité programmatique, intermédiaire permettant de faire le pont entre les plateformes d'achats et les plateformes de monétisations qui ne sont pas directement connectées entre elles. C'est une filiale de la société Russe Iponweb.
• Beeswax : via bidr.io, propose une plateforme d'achats d'espaces publicitaires configurable, l'annonceur a ainsi une plus grande marge de manœuvre pour intégrer sa propre logique d'achat (comparé aux solutions "clé en main" telles que la plateforme d'achats de Google).
• Bid Theatre : plateforme d'achats d'espaces publicitaires.
• OnAudience : fournisseur de données personnelles.
• Quantcast : ad-network, proposant également un outil d'analytics (via lequel il va vous profiler) et une CMP (plateforme de recueil de consentement).
• Conversant : via dotomi.com, société de data marketing américaine.
• Admixer : société fournissant des outils publicitaires à destination des éditeurs et des annonceurs.
• Advendori : société spécialisée dans la personnalisation des bannières publicitaires.
• Simpli.fi : ad-network.
• Lotame : via crwdcntrl.net, fournisseur de données personnelles.
• Wizaly : via tk.conforama.fr, plateforme d'attribution. Permet à un annonceur de comprendre quelles sont les campagnes publicitaires efficaces. Apparemment donc, Conforama utilise Wizaly (qui passe par une délégation de domain ou CNAME) pour mesurer la diffusion de ses publicités sur Le Bon Coin.
• PulsePoint : via contextweb.com, acteur du programmatique spécialisé sur le domaine de la santé (!)
• CloudTechnologies : via erne.co, société polonaise se vantant d'analyser et de monétiser les données personnelles d'utilisateurs sur plus de 200 marchés.
• Tapad : société publicitaire américaine spécialisée dans la surveillance multi-appareils. Son pitch : vous retrouver quelque soit l'appareil que vous utilisez, puis vendre ces informations aux marques et aux autres sociétés de l'adtech.
• DataXu : via w55c.net, plateforme d'achats d'espaces publicitaires rachetée par Roku, le leader de la télévision connectée aux États-Unis (devant les autres ChromeCast, Android TV, Amazon Fire TV ou Apple TV).
• Adelphic : via ipredictive.com, plateforme d'achats d'espaces publicitaires, fait parti de la société marketing Viant.
• TribalFusion : ad-network à l'ancienne, on est ici sur du lourd, allez sur le site et vous verrez qu'il utilise encore Adobe Flash.
• Fifty : via fiftyt.com, société gérant les campagnes publicitaires des annonceurs (Trading Desk).
• Playground : société fournissant des outils pour créer des publicités et mesurer leur efficacité.
• Gumgum : ad-network.

Connectez-vous, et laissez Weborama vous traquer de manière permanente

Lorsque vous vous connectez à votre compte Le Bon Coin, Weborama ne se contente pas de vous suivre à la trace via un identifiant publicitaire que vous pourriez réinitialiser en supprimant vos cookies. Elle récupère un hash de votre adresse e-mail. Comment Weborama se présente-t-il ? Si on lit la page d'accueil :

Weborama offre des solutions avancées de connaissance du consommateur basées sur une technologie d’analyse sémantique unique, extrêmement précise et scalable pour permettre aux entreprises de générer de la croissance tout en rationalisant leurs coûts marketing. Conçue à partir de l’IA Sémantique, Weborama propose une combinaison de technologies, de data et d’expertises performantes et 100% conformes au RGPD.

Nous avions déjà pu rencontrer Weborama antérieurement :

• Weborama et Lemonde.fr, lenteur de site et fuite de vos données personnelles vers la Russie
• Consentement : le pire de l'expérience utilisateur et de la surveillance avec Lemonde.fr
• L'Équipe, premier sur le sport et sur la surveillance
• La Fnac solde vos données personnelles
• Le Figaro, emblème du tracking publicitaire invasif des sites médias français

Weborama agit comme un cheval de troie sur le site leboncoin.fr : il "permet" la fuite de vos données personnelles vers tout un tas de nouvelles sociétés marketing, certaines situées en Russie :

Liste non exhaustive des partenaires avec qui Weborama synchronise votre identifiant personnel sur le site Le Bon Coin. Des sociétés Françaises, Américaines ou bien Russes avec lesquelles Le Bon Coin n'a aucun rapport.

Mais Weborama récupère aussi le détail de votre surf sur Le Bon Coin, lié à une signature (la variable "_emailhashe") correspondant à votre e-mail. Voici les informations récoltées pour une simple consultation de table formica :

"100% conformes au RGPD", vraiment Weborama ?

Connectez vous sur Safari, et fuitez vos données de connexion à Criteo

Comme nous l'avons déjà vu avec l'article "Criteo, un géant du marketing de surveillance français", Criteo pousse ses clients à créer une faille de sécurité sur leurs sites afin de mieux pister les utilisateurs utilisant des adblockers ou des navigateurs respectueux de la vie privée tels que Safari. Afin de vérifier si Le Bon Coin est vulnérable, connectons-nous via Safari et regardons les requêtes passer :

Banco ! Le Bon Coin fuite bien vos données de connexion à Criteo. L'étrange domaine bvubje.leboncoin.fr est une délégation de domaine (ou CNAME) vers dnsdelegation.io, qui lui même est une délégation de domaine vers gum.criteo.com. Quel intérêt pour Criteo de passer par un CNAME pour vous surveiller sur Safari ? Ce mécanisme a plusieurs objectifs :

• Éviter d'être bloqué par certains adblockers (utilisez uBlock Origin pour éviter ce pistage). Mais cet argument est valable pour tous les navigateurs.
• Passer outre le blocage des cookies tiers.
• Passer outre la limitation de durée sur les cookies créés en javascript (7 jours), le cookie étant maintenant créé côté serveur (pas de limitation de durée). NB : Safari va bientôt corriger ce point.

Mais le système de délégation de domaine permet l'envoi de tous les cookies associés au domaine leboncoin.fr à Criteo... Dont le cookie "luat" (cookie mémorisant le fait que vous êtes connecté), que je peux copier-coller dans Chrome via l'extension EditThisCookie pour être directement connecté. Un employé de Criteo peut ainsi se connecter à votre compte.

Sur l'appli iOS aussi, vous êtes traqué dès l'ouverture

Afin d'observer les requêtes envoyées par l'application Le Bon Coin sur iOS, j'utilise Charles Proxy. Ouvrons l'application Le Bon Coin :

Comme vous pouvez le voir et comme sur le web, vous pouvez vous débarrasser de l'ennuyeuse fenêtre de consentement en cliquant sur "Accepter et fermer" (choix mis en avant via la couleur bleue) ou dépenser de l'énergie à essayer d'éviter la surveillance en cliquant sur "En savoir plus". Encore une fois, un "Dark pattern" pour ne pas vous laisser choisir librement. Que se passe-t-il côté surveillance marketing ? Avant même de donner (ou pas) mon consentement, Le Bon Coin fuite mes données personnelles :

Certains de ces traceurs récupéraient déjà vos données personnelles sur le site web, mais nous observons également de nouveaux traceurs :

• Weborama : déjà présent sur le site web.
• Google : via Doubleclick (et la solution de monétisation publicitaire pour éditeur Google Ad Manager) et Firebase (la boîte à outils de Google pour les développeurs mobile), déjà présent sur le site web.
• Appsflyer : société de marketing mobile offrant notamment un produit d'attribution, ce qui permet à Le Bon Coin de savoir quelles campagnes publicitaires ont déclenchées l'installation de l'application.
• Accengage : outil de notifications push français, racheté en 2018 par la société du marketing mobile Airship.
• Datadome : déjà présent sur le site web.
• Amazon : via serving-sys.com, l'adserveur pour agence et annonceur Sizmek, anciennement Mediamind, à l'origine appelé Eyeblaster, a été racheté par le géant de l'e-Commerce américain en 2019.

Refusez la surveillance, Le Bon Coin fuite toujours vos données personnelles

Cliquons sur "En savoir plus" :

Ainsi certains partenaires souhaiteraient proposer des publicités ou contenus ciblés sur la base de l'intérêt légitime, ce qui est clairement en contradiction avec le RGPD. Cliquons sur "Refuser tout" et consultons quelques annonces :

La surveillance ne s'arrête jamais : je suis toujours pisté par Google, Appsflyer, Datadome et Weborama.

Connectez-vous, Weborama vous retrouve

Lorsque vous vous connectez, les mêmes traceurs continuent de vous suivre. Mais un traceur va plus loin : Weborama reçoit le détail de chaque annonce consultée avec le hash de votre adresse e-mail. Oui, le même identifiant que sur le web, Weborama est ainsi capable de vous suivre quelque soit votre appareil, même si vous réinitialisez vos identifiants. Ce hash lui permet de vous suivre sur l'ensemble des sites web et des applications utilisant ses services, et donc de construire un profil très précis sur vous.

Dans les méandres de l'intérêt légitime

Vous vous dites peut-être, si je suis toujours pisté c'est que j'ai du rater une option. Tout en bas du formulaire "En savoir plus", vous pouvez cliquer sur "Voir nos partenaires" :

Là vous découvrez que certains partenaires sont pré-cochés, en contradiction avec le RGPD :

Regardons le partenaire Weborama :

Ainsi l'intérêt légitime est pré-coché chez Weborama, et celui-ci considère qu'il peut utiliser cette base légale pour diverses finalités, dont la création de profil pour afficher un contenu personnalisé. Désactivons maintenant tous les partenaires :

Rien ne change, Weborama est toujours là, on revoit également AT Internet :

Connectez-vous, Weborama récupère encore le hash de votre adresse e-mail. Pourtant vous avez bien indiqué refuser le pistage de l'ensemble des partenaires, en conséquence l'information de refus de consentement et de "opt-out" de l'intérêt légitime est bien envoyée à Weborama :

Ce signal a été codé en suivant le protocole du TCF v2 (protocole de collecte et de transmission des signaux de consentement entre acteurs publicitaires, mis en place par l'IAB Europe, le lobby des technologies publicitaires), décodons-le via ce site :

Comment Weborama peut-il alors me pister de manière aussi agressive (détail de toutes les annonces consultées, pistage permanent via l'utilisation d'un hash de mon adresse e-mail) alors qu'il reçoit l'information que j'ai refusé tout traitement sur base légale du consentement ou de l'intérêt légitime ?! Comment d'autres partenaires tels que Google peuvent-ils continuer de me pister ?

"Weborama, une combinaison de technologies, de data et d’expertises performantes et 100% conformes au RGPD" ?!

Le Bon Coin viole sa propre politique de confidentialité

Si l'on regarde attentivement la Politique de confidentialité du site Le Bon Coin, section "Utilisation de vos données", paragraphe "Utilisation de vos données avec votre consentement", on peux entre autres y lire :

• Nous sommes susceptibles, avec votre consentement : [...] de partager vos données à nos partenaires publicitaires, responsables de traitement, aux fins d’améliorer les performances des campagnes de nos partenaires sur notre site.
• Nous ne partageons pas vos données personnelles avec nos partenaires tiers sans votre consentement. Toutefois, si vous cliquez sur une publicité, son annonceur pourra savoir que vous avez consulté la page où vous avez cliqué.

Le Bon Coin viole ainsi sa propre politique de confidentalité.

Que faire ?

Comment Le Bon Coin et la CNIL peuvent-il permettre cela ? À défaut de sanctions dissuasives de la CNIL ou de réaction du site Le Bon Coin, vous pouvez vous protéger individuellement. Vous pouvez ainsi installer un adblocker tel que uBlock Origin sur le web ou des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.