EDIT 3 août 2021 : Fin de la partie le 29 juillet 2021, la CNIL a sanctionné Le Figaro à la hauteur de... 50.000 euros en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes. Cette sanction ridicule est un pousse au crime, le problème n'est d'ailleurs toujours pas systématiquement réglé, tel que le prouve ce test.
EDIT 31 octobre 2020 : Le Figaro a-t-il effectué des corrections depuis la date initiale de publication de cet article (19 avril 2020, il y a plus de 6 mois) ? Après vérifications :
- (-) Lefigaro.fr fuite toujours massivement vos données personnelles, dès l'arrivée sur son site web (avant même d'avoir consenti ou non, en violation de la loi). Surprise, il y a plus de traceurs qu'en avril ! Toutes ces sociétés vous suivent via un identifiant unique : ZBO Media, Comscore, ACPM, eStat, Taboola, Doubleclick (propriété de Google), Google Analytics, Chartbeat et Hubvisor.
- (=) Prenez la peine d'aller dans les réglages pour refuser la collecte de vos données par des tiers, Lefigaro.fr ne respecte pas votre choix et multiplie les traceurs.
- (-) Si vous avez du temps à perdre, vous pourrez creuser le bandeau de consentement (la "CMP" ou Consent Management Platform) utilisée par Lefigaro.fr et proposé par la société SFBX. Le mécanisme est encore pire qu'en avril. Très bien caché, vous pourrez alors vous rendre compte que même si vous avez cliqué sur "Tout refuser", certaines sociétés marketing considèrent qu'elles peuvent encore vous espionner pour diverses finalités (comme "Créer un profil de publicités"), sous prétexte d'intérêt légitime. Il vous faudrait alors vous opposer à l'intérêt légitime pour 9 finalités différentes, soit 27 clics supplémentaires ! Et manque de chance, cela ne fonctionne même pas : Lefigaro.fr continue de faire passer le signal que vous ne vous êtes pas opposé à l'intérêt légitime, et vous continuez d'être surveillé par de multiples sociétés.
- (-) Le bandeau de consentement intègre maintenant l'analytics, mais Lefigaro.fr ne tient pas compte de votre refus : vous continuez d'être surveillé par Google Analytics et Chartbeat, les fonctionnalités de publicité de Google Analytics sont toujours activées (via le cookie doubleclick permettant à Google de vous surveiller sur le web), le cookie a toujours une durée de vie supérieure à 13 mois.
- (=) Lefigaro.fr considère encore que le fait de scroller sur la page vaut consentement (en violation de la loi). Si vous scrollez donc (ou si vous cliquez sur un article), le nombre de sociétés tierces qui vous espionne explose toujours.
- (-) Sur l'application iOS, il y a maintenant un bandeau de consentement. Mais comme sur le web, avant même que vous ayez fait un choix, Le Figaro fuite vos données personnelles à de multiples sociétés : Facebook, Adjust, Amazon, AppNexus, Google, Taboola et ACPM.
- (-) Même complexité pour refuser la surveillance (toujours via la société SFBX), et même violation de vos choix. Après refus, vous êtes toujours surveillé par de multiples sociétés dont Google, Facebook, Adjust, Taboola, Amazon, AppNexus, ACPM ou Smart AdServer.
Conclusion malheureuse : Lefigaro.fr n'a réglé aucun des problèmes constatés. Au contraire, la surveillance marketing sur son site web et sur son app iOS y est encore plus forte. La mise à jour du bandeau de consentement suite à la migration vers le TCF v2 (le mécanisme de "recueil de consentement" de l'industrie publicitaire), pourrait vous faire croire à un contrôle sur la fuite de vos données personnelles, il n'en est rien. Pourquoi la CNIL ne sanctionne-t-elle toujours pas Le Figaro ?!
Le Figaro a été visé par une plainte en août 2018
Le 11 août 2018, une internaute saisit la CNIL pour absence de recueil de consentement lors du dépôt de cookies sur le site web lefigaro.fr. Le 30 septembre 2019 (plus d'un an après donc), la CNIL informe l'internaute qu'elle a demandé au délégué à la protection des données (DPO) du Figaro de "prendre les mesures et modifications qui s'imposent". Ce qui ne semble pas effrayer Le Figaro qui prétend : "nous gérons cette question conformément à la réglementation".
Depuis, rien ne bouge, malgré les relances de l'internaute :
Le Figaro n'est malheureusement pas une exception mais la règle chez les sites médias français. Il est néanmoins regrettable que la CNIL ne réagisse pas vite et fort, la peur du gendarme devrait pousser les sites médias à respecter la réglementation. J'avais évoqué lefigaro.fr dans l'article détaillant le mensonge généralisé du recueil du consentement, étudions plus en détail comment Le Figaro bafoue votre vie privée.
Le Figaro fuite vos données personnelles dès l'arrivée sur son site web
Afin de vous rendre compte du tracking sur le site lefigaro.fr, suivez les étapes suivantes :
- Désactivez votre adblocker.
- Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
- Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
- Puis allez sur la page d'accueil lefigaro.fr.
Voyant la bannière de consentement (ci-dessous), vous pourriez vous dire : tant que je n'ai pas fait de choix, Le Figaro ne va pas fuiter mes données personnelles vers des tiers.
Erreur ! La liste des requêtes vers des traqueurs tiers est si longue que j'ai du en faire 2 captures :
Et toujours avant même de continuer ma navigation, Le Figaro permet à certains de ces tiers de déposer des cookies sur votre navigateur :
Ainsi en violation avec la loi et sa propre bannière de consentement, Le Figaro permet aux sociétés suivantes de vous pister :
- Doubleclick : on ne présente plus, Le Figaro utilise la solution de monétisation publicitaire de Google, en complément de AppNexus. Il est néanmoins étonnant que Le Figaro ne parvienne pas à désactiver Doubleclick lorsque vous n'avez pas encore navigué sur son site.
- eStat : filiale de Médiamétrie spécialisée dans la mesure d'audience.
- ACPM : l'Alliance pour les chiffres de la presse et des médias, ex OJD, également spécialisée dans la mesure d'audience.
- Hubvisor : une solution de monétisation publicitaire française, spécialisé dans le "Header Bidding", pratique qui consiste à mettre en concurrence de multiples plateformes de monétisation publicitaire, chacune d'entres-elles mettant alors en concurrence de multiples plateformes d'achat d'espaces publicitaires pour mieux vous cibler (inception).
- Taboola : fournisseur de liens avec titres putassiers en fin d'article, a fusionné avec le leader mondial du secteur, Outbrain. Ici aussi, pourquoi appeler des articles Taboola alors que vous n'avez pas commencé la navigation ?
Refusez les cookies, Le Figaro continue de fuiter vos données personnelles
Que se passe-t-il si vous configurez le "bandeau de consentement" pour refuser les cookies ? La solution (une CMP, "Consent Management Platform") proposée par la société bordelaise SFBX (anciennement Chandago) ne vous facilite pas la vie : au lieu d'afficher un bouton "Refuser" au même niveau que le bouton "Accepter", refuser le tracking prend 7 clicks !
Le motto de SFBX ? "Privacy Matters". Si l'on lit la page d'accueil de SFBX, on se croirait dans 1984 :
Que se passe-t-il après que vous ayez refusé les différentes catégories de cookies ? Encore pas de chance, le refus de consentement n'a pas d'impact sur les cookies tiers mentionnés ci-dessus, ces sociétés de marketing continuent de vous pister de page en page :
En particulier, Le Figaro offre un blanc-seing à Google via son service Doubleclick, qui peut monétiser votre temps de cerveau aussi lorsque vous refusez le tracking (tandis que la grande majorité des autres plateformes de monétisation publicitaire est exclue).
Les outils analytics du Figaro, un mensonge éhonté
Autre problème des "Consent Management Platform" (CMP) qui suivent le "Transparency & Consent Framework" de l'IAB (l'association professionnelle des sociétés publicitaires de l'internet), elles ne prennent pas en compte les outils d'analytics et autres outils marketing mais uniquement les outils directement liés aux publicités. Aussi vous pourriez croire qu'en décochant "Mesure", les outils d'analytics seraient désactivés. Mais il s'agit seulement de la brique de "mesure" des outils publicitaires. Après avoir refusé les cookies via le bandeau de consentement, regardez le nom des cookies "1st party" (les cookies déposés sur le domaine lefigaro.fr) :
Vous pouvez observer des cookies associés aux outils suivants :
- Google Analytics : tous les cookies qui contiennent "ga" sont déposés par Google Analytics, l'outil "gratuit" de web analytics de Google qui vous piste sur la grande majorité du web mondial.
- Chartbeat : outil de web analytics spécialisé pour les sites médias.
Le Figaro a rédigé une page d'informations sur les cookies, un paragraphe est dédié aux cookies de mesure d'audience :
Le Figaro déclare que les outils d'analytics utilisés "n’adressent à nos prestataires techniques ou nos partenaires commerciaux que des statistiques agrégées et des volumes de fréquentation".
Il s'agit en réalité d'une profonde méconnaissance du fonctionnement des outils d'analytics. Le Figaro transmet des informations personnelles à ces sociétés (qui incluent votre identifiant, permettant de suivre votre session et de vous reconnaitre si vous revenez sur lefigaro.fr), ceux-ci calculent alors des informations agrégées dont des volumes de fréquentation, qu'ils mettent ensuite à disposition de leurs clients dans une interface dédiée.
Le Figaro indique ensuite que ces cookies de mesure d'audience "ne permettent pas de suivre votre navigation sur d'autres sites". La plupart des outils d'analytics ne permettent en effet pas de suivre votre navigation sur d'autres sites (car basés uniquement sur des cookies 1st party), sauf que Google Analytics propose cette option (permettant d'accéder aux "fonctionnalités de publicité Google Analytics"), et que Le Figaro l'a activé (cette fonctionnalité est "opt-in"). La preuve sur la capture d'écran ci-dessous :
On peut y lire que Le Figaro via son usage de Google Analytics permet à Google de vous suivre (et d'enrichir votre profil Google) via les éléments suivants :
- stats.g.doubleclick.net est le domaine de doubleclick associé à Google Analytics.
- collect? fonction permettant à Google de collecter les paramètres d'analytics liés à votre consultation du site lefigaro.fr.
- le cookie "IDE" permet à Google de vous identifier sur l'ensemble des sites web, car il n'est pas associé au domaine 1st party lefigaro.fr, mais au domaine détenu par Google doubleclick.net.
Le Figaro vous ment enfin sur la durée de vie des cookies de mesure d'audience, vous informant que celle-ci "n'excède pas 13 mois". Tout d'abord, il faut préciser que cette durée est renouvelable, revenez sur lefigaro.fr dans 12 mois et la date d'expiration du cookie est mise à jour. Ensuite, il suffit de faire un zoom sur les cookies déposés par Google Analytics pour voir que certains cookies (comme "ga" ou "gads") ont une durée de vie de 24 mois :
Si l'on se réfère maintenant à la page de la CNIL Cookies & traceurs : que dit la loi ? :
Le Figaro, via son usage de Google Analytics, bafoue la loi sur ces 2 points :
- Le Figaro utilise des cookies dont la durée de vie excède 13 mois.
- Ces cookies ont une durée de vie prolongée lors de nouvelles visites sur le site.
Comme Le Figaro ne vous permet pas de bloquer les cookies analytics directement via son site, il se contente de vous indiquer que vous pouvez le faire via votre navigateur, ou en passant par chacun des prestataires, ce qui n'est pas des plus facile :
Continuez votre navigation, Le Figaro multiplie les traqueurs
Si comme la quasi totalité des internautes, vous décidez de ne pas toucher au "bandeau de consentement", mais de continuer votre navigation en scrollant sur la page d'accueil ou en cliquant sur un article, vous déclencherez alors une multitude de traqueurs additionnels. En effet, Le Figaro considère que la poursuite de la navigation vaut consentement : c'est une pratique illégale mais encore tolérée actuellement, car la CNIL peine à mettre notre loi en conformité avec la RGPD.
Si l'on observe le détail via la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), puis onglet "Application", "Cookies", on peut voir que via la page lefigaro.fr, de nombreux cookies tiers sont déposés (la liste était trop longue, j'ai du supprimer certains cookies pour cette capture) :
Ainsi, en plus d'être traqué par les sociétés précédemment cités, vous êtes aussi traqués par :
- ZBO Media : via zebestof.com, société française qui se présente comme une "plateforme marketing programmatique".
- LinkedIn : vous ne le saviez peut-être pas, mais LinkedIn vous piste et vous recible sur le web.
- Twitter : on ne présente plus le réseau social de microblogging, vous traque aussi sur le web.
- Liquidm : via lqm.io, plateforme d'achat d'inventaires publicitaires allemande, racheté récemment par la société française Smart AdServer, spécialisée dans la monétisation d'inventaires publicitaires.
- Facebook : vous n'y échapperez pas, même si vous n'avez pas de compte, propose sa boîte à outils aux sites web.
- Krux : via krxd.net, plateforme de data marketing racheté par Salesforce, utilisé par Le Figaro pour mieux vous profiler et monétiser votre navigation.
- AppNexus : la solution de monétisation publicitaire principale du groupe Le Figaro (adserveur et SSP), rachetée par le géant des télécoms américain AT&T.
Mais votre surveillance ne s'arrête pas là, certains traqueurs déclenchent une deuxième vague de traqueurs, encapsulés dans des "iframes" (des pages invisibles dans la page lefigaro.fr). Ainsi Krux (propriété de Salesforce), la DMP ("Data Management Platform") du groupe Le Figaro, permet la dépose des cookies suivants (là-aussi, la liste était longue, j'ai du supprimer certains cookies pour la capture écran) :
Vous êtes ainsi pisté par les sociétés suivantes :
- Comscore : via scorecardresearch.com, outil d'analyse publicitaire et de profiling américain.
- Liveramp : via rlcdn.com, leader mondial du croisement des données personnelles online et offline.
- Xaxis : via mookie1.com, une plateforme d'achat d'espaces publicitaires détenu par l'agence publicitaire WPP.
- Nielsen : via exelator.com, société d'analyse marketing.
- Bluekai : société de Data Management, rachetée par Oracle.
ZBO Media permet quand à lui la dépose des cookies suivants (liste allégée pour la capture écran) :
Vous êtes donc également pisté par ces sociétés suivantes :
- Outbrain : le leader mondial des liens vers articles putassiers, a fusionné avec Taboola, précédemment cité.
- Graphinium : via crm4d.com, société française spécialisée dans la réconciliation des données personnelles online et offline.
- Yahoo : il est toujours surprenant de revoir ce dinosaure de l'internet, Yahoo a été racheté par Verizon qui l'a ensuite fusionné avec AOL pour former Verizon Media, une énorme régie publicitaire.
- Adyoulike : via omnitagis.com, plateforme de monétisation publicitaire, spécialisée dans la publicité "native" (qui a pour but de se confondre visuellement avec le contenu).
- Weborama : société de data marketing française, dont on a vu qu'elle faisait fuiter vos données personnelles vers des sociétés russes dans cet article.
- Improve Digital : via 360yield.com, solution de monétisation publicitaire.
- Index Exchange : via casalemedia.com, autre solution de monétisation publicitaire.
Nous avions abordé la durée de vie des cookies analytics, n'excédant pas 13 mois selon Le Figaro (en réalité, 24 mois). Dans sa page d'informations sur les cookies, Le Figaro est un peu plus prudent sur les cookies publicitaires (l'accentuation du en principe est mienne) :
La durée de vie des cookies publicitaires déposés à l’occasion de votre navigation sur le Site/Application est en principe de 13 mois. Les données associées qui sont remontées aux partenaires commerciaux sont conservées par ces derniers pendant une durée qui en principe n'excède pas 13 mois.
Quel intérêt de signaler les 13 mois si l'on sait que c'est faux ? On voit par exemple un cookie publicitaire LinkedIn ayant une durée de vie de 24 mois :
La politique de confidentialité du figaro répète également le mensonge :
Les données liées à votre navigation sur nos services en ligne collectées par les cookies ont, dans tous les cas, une durée de conservation qui ne saurait excéder treize (13) mois.
Sur l'application iOS, un tracking désinhibé
Afin de compléter mon investigation, j'ai installé l'application iOS Le Figaro et suivi les étapes suivantes :
- Fermeture des différentes applications en arrière plan.
- Lancement de l'application Charles Proxy et activation du suivi.
- Lancement de l'application Le Figaro, puis navigation dans l'App : j'ai consulté quelques articles.
- Export des logs de ma session Charles Proxy vers mon ordinateur, afin de facilement analyser les requêtes envoyées par Le Figaro.
Je n'ai eu droit à aucune "bannière de consentement", mais à une multitude de traqueurs (les mêmes que sur le web, et quelques-uns supplémentaires) :
Afin d'éviter le tracking, il vous faut chercher dans le menu, puis "Paramètres", puis "à Propos" > "Mes données personnelles", et enfin décocher chaque catégorie :
Encore pas de chance, si refuser le tracking sur le web faisait baisser le nombre de traqueurs, ce refus n'a apparemment aucun impact sur l'application : Le Figaro continue de fuiter mes données personnelles à de nombreux tiers.
Que dit la page d'Informations sur les cookies ? Le Figaro prétend que l'on peut y bloquer les cookies :
Sauf que c'est faux, j'ai bien activé l'option "Suivi publicitaire limité" sur mon iPhone (il ne faut pas la désactiver comme semble l'entendre Le Figaro), mais cela n'a aucun impact sur les traceurs déclenchés.
Le Figaro n'est malheureusement pas l'exception
Si Le Figaro se contrefiche de votre vie privée, ce n'est qu'un exemple parmi d'autres, les médias français étant majoritairement drogués au tracking publicitaire. Ils pourraient proposer une meilleure expérience utilisateur en limitant les publicités et autres traqueurs, en respectant la notion de consentement, tout en maintenant des revenus confortables. Mais sans vrai gendarme et sans sanction (la CNIL, vous êtes là ?), il est peu probable que les choses évoluent.