La Fnac solde vos données personnelles

Dès la page d'accueil du site web, vous êtes traqué

Si comme moi vous souhaitez limiter votre dépendance aux GAFAs, vous avez peut-être déjà passé commande sur le site de La Fnac. En effet, au delà des problèmes d'évasion fiscale, d'abus de position dominante ou d'exploitation des employés, Amazon est aussi un acteur clé du capitalisme de surveillance avec entre-autres :

Amazon Advertising et Amazon Publisher Services : des solutions publicitaires à destination des annonceurs et éditeurs. Peu connu du grand public, Amazon est déjà le numéro 3 mondial des plateformes publicitaires, derrière Google et Facebook.
Amazon Alexa : l'assistant vocal d'Amazon, espion présent chez des millions de foyers.
Amazon Ring : des visiophones connectés très populaires aux États-Unis, Ring a été acheté par Amazon en 2018, et cette filiale signe des partenariats avec de multiples services de police.

Les concurrents d'Amazon dans le secteur de l'e-Commerce ont donc un boulevard devant eux pour proposer une expérience client respectueuse de la vie privée, ce qui n'est malheureusement pas le cas de la Fnac comme nous allons le voir. Démarrons notre investigation avec le site web de la fnac :

Désactivez votre adblocker.
Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), cliquez sur l'onglet Application, puis Cookies sur le panel de gauche.
Puis allez sur fnac.com.
Ne surfez pas sur la fnac, mais regardez les différents cookies déposés par des sociétés tierces (autres que la fnac).

Comme on peut le voir, avant même d'avoir navigué et accepté le tracking, vous vous retrouvez pisté par plusieurs sociétés :

AppNexus : représenté par le domaine adnxs, société américaine, c'est un des leaders du secteur de l'adtech (loin derrière Google), proposant à la fois des solutions de monétisations publicitaires pour les éditeurs et une plateforme d'achats d'espaces publicitaires pour les annonceurs. Racheté par AT&T en 2018, avec en ligne de mire le lucratif marché publicitaire de la vidéo mais aussi la fusion des données personnelles nominatives détenues par le géant des Télécoms américain et des données publicitaires de centaines de millions d'internautes.
Criteo : le géant français de l'adtech, leader mondial du retargeting. Si vous avez consulté des pages produits, puis été bombardé de bannières publicitaires de ces mêmes produits un peu partout sur le web, pendant plusieurs jours voire semaines, il s'agissait probablement de Criteo. Cette entreprise a littéralement révélé au grand public le côté intrusif de la publicité personnalisée.
Google : représenté par le domaine doubleclick.net, sa solution publicitaire à destination des éditeurs et annonceurs, dominante sur le marché de l'adtech.
Eulerian : représenté par le domaine ew3.io, solution française d'attribution (permet à la fnac de comprendre quelles campagnes publicitaires déclenchent des ventes) et de data management (permet à la fnac de vous profiler pour mieux vous cibler).
Smart AdServer : autre société française, permet à la fnac de monétiser son inventaire publicitaire.
iAdvize : société française proposant une aide conversationnelle à l'achat.

La Fnac est clairement dans l'illégalité ici, comme de nombreux sites internet français (lire à ce propos : le recueil du consentement sur internet : un mensonge généralisé). Et La Fnac ne respecte pas son propre bandeau d'information, indiquant ne pas déposer de cookies tiers tant que vous n'avez pas poursuivi votre navigation.

bandeau information tracking

Notez le "consentement" fictif présenté par ce bandeau : poursuivre votre navigation équivaut à accepter le dépôt de cookies, le croisement avec vos données client, la diffusion de contenus et publicités personnalisés, la réalisation d'études marketing et la prévention de la fraude ! Ce type de bandeau encore présent sur beaucoup de sites web français vient d'une faille introduite par la CNIL en 2013, indiquant que "la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal" ! Cette notion légère du consentement ne devrait plus être valide d'ici quelques mois, avec l'arrivée de nouvelles recommandations de la CNIL quand au recueil du consentement.

Poursuivez votre navigation, les traqueurs se multiplient

Que se passe-t-il si vous "poursuivez votre navigation" ? Il vous suffit pour cela de scroller sur la page d'accueil de la fnac, et d'observer les nouvelles requêtes envoyées via la console Chrome ou le logiciel Charles Proxy :

fnac poursuite navigation tracking

De nombreuses nouvelles sociétés de marketing vous traquent désormais, on peut ainsi noter :

Mediarithmics : société française proposant une plateforme d'achat d'espaces publicitaires, et une solution de data management (mieux vous profiler pour mieux vous cibler).
Facebook : comme pour Google, les outils de surveillance de Facebook sont omniprésents sur le web, et très largement utilisés par les annonceurs.
Temelio : représenté par le domaine Leadplace, société française de data marketing, propose aux annonceurs de croiser vos données personnelles online et offline. Vous êtes donc traqués partout !
Weborama : autre société française de data marketing (toujours mieux vous profiler, pour mieux vous cibler).
MediaMath : représenté par le domaine mathtag, société américaine, une des plateformes d'achat d'espaces publicitaires principales sur le marché.
Bluekai : société de data marketing, américaine cette fois-ci, rachetée par le géant Oracle en 2014. Ce fut une des premières sociétés à lancer une DMP (Data Management Platform) sur le marché, il y a plus de 10 ans.
Bidswitch : société russe qui construit des plateformes publicitaires programmatiques pour de multiples clients, et qui sert d'intermédiaire entre plateformes d'achat d'espaces publicitaires et solutions de monétisation publicitaire.
Rubicon : plateforme de monétisation publicitaire américaine.

Il est à noter que d'autres sociétés marketing font leur apparition si vous continuez votre surf sur la fnac. Toutes ces sociétés vous pistent donc sur le web, sans votre consentement, enrichissant votre profil à chaque page vue, à chaque ajout au panier, à chaque achat. Certaines vont jusqu'à croiser ces données online à des informations récoltées sur votre comportement offline, tout ceci dans le but de toujours mieux vous cibler avec de la publicité personnalisée.

Refusez les cookies, et l'on continue de vous pister

Personne ne clique sur les bandeaux d'informations cookie, et c'est que très souvent, ils ne marchent pas. La Fnac ne fait pas exception, vous pouvez le constater en cliquant sur "En savoir plus et paramétrer les cookies".

Notez ici que vous pouvez "Tout autoriser" directement, mais que le bouton "Tout refuser" n'existe pas, il vous faut décocher les types de Cookies un par un, ce qui ne respecte clairement pas la RGPD (il doit être aussi simple de refuser le consentement que de le donner). Aussi, il est impossible d'accéder à la liste des sociétés qui vous traquent (aucune information sur Google, Facebook, Criteo, Eulerian ou autres Weborama).

Naïvement, vous pourriez vous dire que désactiver les Cookies publicitaires devrait permettre d'arrêter le tracking. Pas tout à fait ! Si la liste est moins longue qu'en poursuivant directement votre navigation, vous restez néanmoins traqués par plusieurs sociétés publicitaires.

Ainsi Criteo, Google (doubleclick), AppNexus (adnxs), Smart AdServer et Eulerian continuent de vous pister... Retournons alors sur ce "Centre des préférences" et désactivons les "Cookies analytiques".

Fnac cookies analytics

Il s'avère que ce paramètre permet de ne plus être pisté par Google, AppNexus, Smart AdServer et Eulerian (excepté Eulerian, ce ne sont pourtant pas des outils analytics mais des sociétés de l'adtech). Criteo résiste encore, si l'on recharge la page d'accueil et nous voyons réapparaître le traqueur.

Fnac sans cookies Analytics

Un dernier essai avec Criteo, refusons alors tous les cookies, en décochant les "Cookies fonctionnels".

Fnac desactive Cookies fonctionnels

Manque de chance, Criteo est immortel, la page d'accueil Fnac déclenche toujours le traqueur de Criteo.

Fnac tous cookies desactives

La confidentialité chez La Fnac ? Accès refusé !

Désireux d'en savoir plus sur cette gestion calamiteuse de mes données personnelles, je décide de lire la politique de confidentialité, toujours depuis le "Centre de préférences".

Votre confidentialite - Fnac

Pas de chance, en cliquant sur le lien "Plus d'informations", je tombe sur une page recette... Accès refusé !

Confidentialite - Fnac - Inaccessible

Heureusement, vous pouvez quand même consulter la "Politique de protection des données personnelles" de la fnac, accessible via le footer du site web... Ici, vous pouvez mieux vous rendre en compte à quel point la fnac exploite vos données personnelles, par exemple la fnac fait partie de "l'alliance Gravity", une grande bourse d'échanges de données personnelles constituée de 150 sites et applications, comprenant 2000 segments de ciblage !

Mais vous lirez aussi quelques mensonges, comme :

Pour vous opposer au ciblage publicitaire au profit de partenaires annonceurs, vous devez refuser les cookies publicitaires. Pour plus d'information et gérer vos cookies publicitaires, rendez-vous dans la page « Cookies » du site.

Ce qui est faux pour Criteo, Google, AppNexus, Smart AdServer et Eulerian, qui profitent toujours de votre surf sur la fnac pour vous cibler ultérieurement. Autre passage discutable :

La base légale pour l'usage des données de navigation à des fins de profilage publicitaire est le consentement (consentement aux cookies).

Je n'ai jamais consenti à ce tracking, le consentement doit être libre et éclairé pour être valable selon la RGPD.

Connectez-vous, et soldez vos données personnelles

Tant que vous n'êtes pas connecté, vous pouvez décider d'effacer vos cookies et ainsi de repartir à zéro chez les différentes sociétés de l'adtech. En vous connectant, vous prenez le risque que la fnac fuite aussi des données permanentes. J'ai voulu vérifier, et me suis connecté à mon compte fnac depuis Chrome, et malheureusement cette intuition s'est révélée exacte : dès le login, la Fnac fuite à Mediarithmics un hash de mon adresse email ainsi que mon numéro de compte fnac.

fnac hash email mediarithmics

Qui est Mediarithmics ? Cette société française de data management a été choisie par l'alliance Gravity, la grande bourse d'échanges de données personnelles mentionnée dans la "Politique de protection des données personnelles" de la fnac. Ainsi, la fnac ne se contente pas de fuiter vos données personnelles vers des tiers, il le fait avec un identifiant permanent lié à votre email, et il partage ces informations avec 150 autres sites, partenaires de l'alliance... Que dit la fnac à propos de Gravity ?

Fnac Darty peut également participer à des programmes de mutualisation des données à des fins publicitaire telle que l'Alliance Gravity Data Media. [...] FNAC DARTY réalise ces segments ou profils sur la base des informations détenues par les enseignes du groupe (données de navigation, données d'achat, données déclaratives) ou d'informations collectées dans le cadre de nos relations avec des partenaires (ex : membre de l' Alliance Gravity Data Media),..

Le tracking continue sur l'App Fnac pour iOS

Si vous pensiez éviter la fuite de vos données personnelles en utilisant l'application Fnac, c'est peine perdue. Au préalable, veuillez noter que j'ai limité le suivi publicitaire sur mon iPhone

iPhone suivi publicitaire limite

Ensuite, pour réaliser le test, j'ai utilisé l'application Charles Proxy, et j'ai suivi les étapes suivantes :

Fermeture des applications sur mon iPhone.
Ouverture de Charles Proxy et activation du suivi.
Lancement de l'application de la fnac.
Export des logs Charles Proxy vers mon ordinateur.

Voici le résultat :

Fnac iPhone

À qui la fnac envoie-t-elle mes données personnelles ? Aux sociétés de data marketing suivantes :

Google : difficile d'échapper à Google, la Fnac utilise Crashlytics (outil de monitoring de crash, racheté à Twitter) et Google Analytics, l'omniprésent outil d'analytics.
Accengage : outil de notifications push français, racheté en 2018 par la société du marketing mobile Airship. En regardant le détail des requêtes vers Accengage, je me rends compte que la fnac fait fuiter mon prénom et mon nom en clair, couplé avec les détails de mon smartphone, tous les produits Fnac consultés ainsi qu'une variable indiquant mon accord pour être géolocalisé, "optin_geoloc": "Y" (je n'ai jamais donné mon accord).
Adobe : vous connaissiez Photoshop mais Adobe est aussi un géant du marketing, et la fnac utilise son outil d'analytics.
Criteo : ciblé sur le web, je le suis aussi sur l'application fnac. Et Criteo sait comment faire pour me retrouver, un hash de mon email est envoyé à chaque requête.
Adjust : une solution marketing mobile proposant de la prévention de fraude, de l'analytics, de l'attribution mais aussi une solution pour construire des profils utilisateurs.
Glaze : une solution française pour personnaliser l'expérience client.

Des données nominatives envoyées

La Fnac envoie donc à Accengage des données nominatives (prénom et nom). Au-delà du fait que je n'ai jamais consenti à un tel tracking et que la fnac ne prévient pas de cette fuite de données personnelles, que dit la politique de protection des données personnelles de Accengage ?

finalite SDK accengage

Il n'est pas fait état de données nominatives. La Fnac a probablement librement décidé d'envoyer à Accengage le nom de ses clients, ce qui rentrerait dans la case "informations pertinentes". Aussi, Accengage prétend respecter les préférences utilisateurs indiquées dans les réglages iOS :

opposition tracking SDK Accengage

Pourtant, ce n'est pas le cas, j'ai bien coché la case "Suivi publicitaire limité" et Accengage continue de me traquer, de manière nominative.

Le cas Criteo

La Fnac envoie également un hash de mon adresse email à Criteo. Que dit sa "Politique de protection des données personnelles", dans la section relative au partage des données avec des tiers ?

Pour nous permettre de relier vos différents terminaux (ordinateurs, téléphone portable ...) et vous fournir une expérience harmonisée sur les différents appareils que vous utilisez. Pour en savoir plus sur le dispositif de rapprochement des différents appareils ou vous y opposer vous pouvez vous rendre sur http://www.criteo.com/fr/privacy/

Allons donc sur la politique de confidentialité de Criteo, et lisons la section relative à la désactivation des services Criteo sur les applications mobiles. Il est là aussi indiqué :

Pour iOS (version 6 et ultérieure), activez l’option « Suivi publicitaire limité » : pour ce faire, dans les réglages de votre appareil, allez dans « Confidentialité » > « Publicité » et activez l’option « Suivi publicitaire limité ».

Que devrait changer l'activation de l'option "Suivi publicitaire limité" selon Criteo ?

Criteo retrait consentement appli

Je remarque que le hash de mon adresse email est toujours collecté, il permet bien à Criteo de reconnaître mon appareil et de m'associer aux données dont dispose déjà Criteo sur moi. Alors peut-être que Criteo ne stocke pas ce hash, mais je ne peux pas le prouver, et pourquoi le collecter en premier lieu ?

On peut noter que La Fnac n'envoie pas mon adresse e-mail en clair à Criteo, mais que celui-ci accepte de ses clients l'envoi d'adresses e-mails en "texte brut", "pour assurer la plus grande souplesse possible" cf. le site support de Criteo, actuellement bizarrement hors-ligne mais toujours accessible via le cache Google. Criteo indique ensuite "crypter" les e-mails (d'ailleurs, on ne dit pas crypter mais chiffrer). Là encore je ne peux le prouver, il faudrait faire confiance à Criteo.

Criteo adresse email brut

Il est alors particulièrement éclairant d'observer le double discours de Criteo, rassurant auprès des utilisateurs et permissif auprès des annonceurs. Voici son engagement auprès des utilisateurs :

Engagement Criteo

Si l'identifiant de mon smartphone est permanent, mon email (ou même un hash de mon email) l'est aussi, pourtant Criteo le collecte bien, même si je désactive le suivi publicitaire. La Fnac est également encore coupable : comment justifier ce partenariat étroit avec un tiers aussi peu respectueux de la vie privée de ses clients ?

Une impossibilité de limiter le tracking sur l'app Fnac pour iOS

Si limiter le suivi publicitaire sur iPhone ne suffit pas, comment faire pour ne plus être pisté ? Vous seriez en droit de penser que La Fnac fournit une option pour refuser le tracking dans son application (après tout, même si celui-ci ne marche pas bien, La Fnac affiche un bandeau de consentement sur son site web). J'ai fini par trouver la "Politique de protection des données personnelles" de la fnac depuis l'appli iOS, c'est un véritable parcours du combattant, il vous faut :

Aller dans "Mon compte".
Puis dans "Mes coordonnées".
Puis cliquer sur "Lire la suite" tout en bas de la page.
Puis scroller jusqu'en bas de la page, et cliquer sur "ici".

confidentialite fnac ios

Manque de chance encore, La Fnac ne fournit aucune option pour refuser d'être fliqué. En conclusion, à moins d'installer des adblockers pour application (cf. Comment protéger votre vie privée sur un iPhone ?), il est impossible d'éviter la fuite de vos données personnelles sur l'application Fnac. En espérant donc qu'à l'avenir, la CNIL ait les moyens et surtout la volonté de faire respecter la loi et ainsi de mieux protéger votre vie privée.