Consentement : le pire de l'expérience utilisateur et de la surveillance avec Lemonde.fr

Le "journal de référence" viole vos choix et permet à de nombreuses sociétés de l'adtech de vous surveiller

Publié par Pixel de Tracking le 30 août 2020

EDIT 20 septembre 2020 : Via Twitter (ici et ), j'ai été informé que Lemonde.fr avait effectué des corrections. Après vérifications :

  • (-) Lemonde.fr fuite toujours vos données personnelles vers AT Internet dès l'arrivée sur son site web.
  • (-) Lemonde.fr n'offre toujours pas d'opt-out pour AT Internet.
  • (-) Lemonde.fr fuite toujours vos données de connexion à AT Internet.
  • (+) Votre scroll ne vaut plus consentement.
  • (+) Si vous refusez d'être surveillé, Lemonde.fr respecte maintenant votre choix et ne multiplie pas les traceurs. En particulier, l'intérêt légitime n'est plus pré-coché lorsque vous avez refusé de donner votre consentement.
  • (-) Mais Lemonde.fr a malheureusement oublié son player Dailymotion, intégré dès la page accueil. Celui-ci ne respecte pas vos choix et fuite vos données personnelles vers diverses sociétés (et présente un curieux timer, vous avez 10 secondes pour réagir).
  • (-) Lemonde.fr a également oublié sa plateforme de blogs, dont les articles sont souvent mis en valeur via sa page accueil. Exemple avec cet article mis en avant le 20 septembre : vous avez beau avoir refusé les traceurs, vos données personnelles viennent enrichir de multiples sociétés de marketing.
  • (-) Rien ne change sur l'appli iOS : Lemonde.fr vous traque dès le premier lancement et si vous refusez le pistage, la surveillance continue.

Dailymotion timer Vous avez déjà refusé la surveillance publicitaire, mais ce n'est pas terminé : vous avez 10 secondes pour refuser la surveillance initié par le player vidéo Dailymotion. En fait, même si vous prenez la peine de cliquer sur Personnaliser et de "Tout refuser" sur la page "Vos paramètres de confidentialités" de Dailymotion, la surveillance continue.

EDIT 2 septembre 2020 : J'ai pu compléter les informations juridique (et corriger des coquilles) grâce aux explications de @Cellular_PP, merci !

Lemonde.fr fuite vos données personnelles vers AT Internet dès l'arrivée sur son site web

Depuis le 15 août, Google a intégré le nouveau "framework" de recueil de consentement de l'industrie publicitaire, le bien nommé "Transparency and Consent Framework (TCF) v2.0" et les éditeurs mettent à jour leurs bandeaux de consentement. Une amélioration de l'expérience utilisateur ? Pas forcément d'après mon fil Twitter français :

20 minutes consentement

En Angleterre, ce n'est pas mieux :

The Independant consentement

Afin de mieux comprendre ce qui a changé chez les sites médias, j'ai choisi de tester Lemonde.fr, le "journal de référence", dont je suis un lecteur occasionnel. Pour être honnête, je n'avais pas un très bon à priori :

Mais vous êtes en droit d'exiger un meilleur respect de votre vie privée. Afin de vous rendre compte du tracking sur le site Lemonde.fr, suivez les étapes suivantes :

  • Désactivez votre adblocker.
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
  • Puis allez sur la page d'accueil Lemonde.fr.

Lemonde accueil

Première constatation : Le Monde ne permet pas de refuser le tracking directement, seulement de "Paramétrer les cookies". Ce choix est contraire à l'esprit du RGPD, même si la CNIL a beaucoup de retard sur sa mise en application. Lisons par exemple l'interview de la présidente de la CNIL dans le journal... Le Monde, en février 2020 :

Cela signifie que l’internaute n’aura plus un gros bouton vert proposant d’« Accepter » et un petit texte dans un coin pour refuser ?

Il faut qu’il y ait une symétrie entre les deux. Par ailleurs, les utilisateurs doivent pouvoir connaître les destinataires de leurs données collectées à des fins de profilage publicitaire. Il y a des textes en vigueur qui imposent le recueil d’un consentement libre et éclairé mais ces préconisations ne sont globalement pas mises en œuvre.

Rappel : Le RGPD est entrée en vigueur en mai 2016 et il est applicable depuis le 25 mai 2018 (cf. l'article 99 du RGPD). Les professionnels ont donc eu 4 ans pour se préparer, la CNIL ne devrait donc pas repousser l'applicabilité du texte au mépris des droits fondamentaux des personnes.

Mais Le Monde attend peut-être les nouvelles recommandations (voire les sanctions ?!) de la CNIL pour agir... Regardons maintenant les requêtes envoyées :

Hits accueil

3 enseignements :

  • Lemonde.fr appelle deux sociétés marketing pour télécharger leurs fichiers javascript, Batch et Amplitude, pas de hits de tracking ici.
  • Iubenda est la CMP (Consent Management Platform) utilisée par Le Monde.
  • Après recherches, le sous-domaine buf.lemonde.fr s'avère être un "cache sexe" pour la société d'analytics française AT Internet, Le Monde permet à celle-ci de vous pister avant même que vous ayez donné votre consentement.

Lemonde.fr n'offre pas d'opt-out pour AT Internet, en violation de la loi

Sur quoi Lemonde.fr peut-il s'appuyer pour fuiter vos données personnelles vers AT Internet avant même d'avoir reçu votre consentement ? Peut-être sur une vieille exonération de la CNIL, peu conforme à l'esprit du RGPD.

Sauf que cette exonération trouvait sa source à l'article 6 de la délibération CNIL de 2013, les conditions de placement de cookies sans consentement sont désormais précisées dans l'article 5 de la délibération CNIL de juillet 2019. Le fait que la CNIL laisse l'article en ligne pourrait amener un éditeur de site à indiquer que la CNIL l'a induit en erreur, que par conséquent il était de bonne foi en appliquant pas la délibération de 2019, aussi la CNIL devrait modifier son article.

Mais que l'on regarde la délibération de 2013 ou de 2019, une règle reste obligatoire : la mise en place de l'option "opt-out" : "elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée".

Cliquons donc sur "Paramétrer les cookies" :

Consentement Etape 1

Curieux de connaître ce qui se cache derrière ces "Cookies de fonctionnement" ?

Fonctionnement AT Internet

Surprise ! Au côté de cookies d'authentification, Lemonde.fr place les traceurs d'AT Internet dans la catégorie "Cookies de fonctionnement" (et non "Cookies analytics" comme l'on pourrait s'y attendre). L'excuse avancée ? L'OJD, maintenant nommée ACPM, un organisme de certification d'audience des médias, qui permet à Le Monde de se vanter régulièrement de ses bons chiffres d'audience.

Conséquence de ce classement d'AT Internet dans les "Cookies de fonctionnement", l'option "opt-out" n'a pas été mise en place, en violation des conditions de l'exemption.

Autre règle devant être respecté afin de bénéficier de l'exemption, l'information, qui doit avoir lieu avant le dépôt du cookie : "la personne doit être informée préalablement à leur mise en œuvre" (la délibération de 2013 indiquait seulement que la personne devait être informée). Là encore, Lemonde.fr viole les conditions de l'exemption de consentement

Via une faille de sécurité, Lemonde.fr fuite vos données de connexion à AT Internet

Continuons l'investigation sur ces appels à AT Internet, derrière le sous-domaine buf.lemonde.fr, se cache un obscure domaine :

CNAME Lemonde AT Internet

Domaine qui appartient en fait à AT Internet :

AT Internet CNAME

Ce "cache-sexe" est effectué par un mécanisme appelée délégation de domaine ou CNAME. Lemonde.fr permet à AT Internet de gérer un sous-domaine en son nom, via un mécanisme d'alias. L'intérêt pour les sociétés marketing est de passer outre les protections navigateurs (comme Safari ITP ou Firefox Enhanced Tracking Protection) et autres adblockers (même si certains adblockers tels que uBlock Origin sur Firefox parviennent à bloquer ces traqueurs).

L'utilisation du CNAME est dangereuse, elle peut faire fuiter vos données de connexion : les cookies du domaine consulté (comme les cookies d'authentification de lemonde.fr) peuvent être envoyés au sous-domaine du traqueur (comme buf.lemonde.fr). Regardons donc les requêtes transmises à AT Internet lorsque je suis connecté au site Lemonde.fr :

AT authentification

AT Internet récupère bien tous les cookies du domaine lemonde.fr. Afin de vérifier si ces cookies permettent d'accéder à mon compte client Lemonde.fr, je supprime mes cookies puis via l'extension Chrome Edit This Cookie, je renseigne les différents cookies récupérés par AT Internet. Rapidement, je me rends compte que le cookie "lmd_a_s" permet de se connecter à mon compte :

Connexion Lemonde

Magie ! Un employé AT Internet peut ainsi accéder à votre compte

J'ai déjà eu l'occasion de parler de cette faille de sécurité dans des articles précédents :

Refusez d'être surveillé, Lemonde.fr multiplie les traceurs, notamment via Weborama

Continuons notre parcours sur le bandeau de consentement de Lemonde.fr :

Refus tracking Lemonde

À part les cookies de fonctionnement, tout est décoché par défaut, Lemonde.fr propose aussi un bouton "Tout refuser". De bonnes pratiques donc, cliquons maintenant sur "Enregistrer et continuer". Vous vous attendez maintenant à ne plus être surveillé ?

Lemonde après refus 1Lemonde apres refus 2

Oui vous ne rêvez pas, il s'agit de toutes les requêtes envoyées après avoir fait l'effort de refuser le tracking. Et ceci sans consulter un seul article ni même recharger la page. En détail, voici les traceurs qui déposent des cookies via header HTTP (certains traceurs créent également des cookies via du javascript, ou stockent des identifiants dans le local storage du navigateur), avec identifiant personnel (pseudonyme) :

  • Outbrain : les articles putassiers en bas de page vous traquent aussi à travers le web, et sur le site lemonde.fr sans votre consentement.
  • Weborama : société française de "data marketing" travaillant avec Lemonde.fr, vous profile sur le web et comme vous pouvez le lire ci-dessous, fuite vos données personnelles vers de nombreux autres tiers.
  • Index Exchange : via casalemedia.com, plateforme de monétisation publicitaire (SSP) utilisé par Lemonde.fr via un système appelé "Header Bidding" (mise en concurrence de l'inventaire publicitaire sur plusieurs places de marchés.
  • TheTradeDesk : via adsrvr.org, plateforme d'achat d'inventaires publicitaires, appelé par Index Exchange et Weborama.
  • Criteo : leader mondial du retargeting et français, vous piste agressivement sur le web et dans les applis, Lemonde.fr a installé son "Direct bidder" (permet à Criteo d'acheter sans payer de commission à une plateforme de monétisation), Criteo est également appelé par Weborama.
  • Nielsen : via exelator.com, la société eXelate rachetée par le géant des études de marché Nielsen en 2017 est également appelé par Weborama.
  • Smart AdServer : plateforme de monétisation publicitaire française utilisé par Lemonde.fr via du "Header Bidding", aussi appelé par Weborama.
  • Adobe : via everesttech.net, le géant américain propose aussi une suite marketing, il est aussi appelé par Weborama.
  • MediaMath : via mathtag.com, plateforme d'achat d'inventaires publicitaires, appelé par Weborama.
  • Temelio : via leadplace.fr, société française de data marketing, propose aux annonceurs de croiser vos données personnelles online et offline, toujours via Weborama.
  • Graphinium : via crm4d.com, société française spécialisée dans la réconciliation des données personnelles online et offline, encore via Weborama.
  • Yahoo : oui Yahoo existe encore, il est ressuscité par Weborama.
  • ZBO Media : via zebestof.com, plateforme d'achat d'inventaires publicitaires française, appelé par Weborama.
  • Sublime : via ayads.co, plateforme de monétisation publicitaire française, spécialisée dans les habillages de pages ("Sublime Skinz"), intégrée par Lemonde.fr via "Header Bidding".
  • Pubstack ; via pbstck.com, solution de "Header Bidding" française.

Comme déjà vu en décembre dernier, Lemonde.fr permet à Weborama de fuiter vos données personnelles vers de nombreuses sociétés, pour le seul intérêt de Weborama. Ci-dessous, la liste complète des partenaires (dont plusieurs sociétés Russes) :

lemonde.fr fuite weborama

Les partenaires avec une petite flèche bleue devant ont été activés lors du chargement de la page accueil (redirection de Weborama vers le partenaire et donc fuite de mes données personnelles), les autres seront potentiellement activés lorsque de la lecture d'un article, joie !

À noter que certains acteurs publicitaires respectent votre choix et ne déposent pas de cookies : les plateformes de monétisation publicitaire AppNexus, Magnite (ex Rubicon) et surtout Google (qui a une position privilégiée chez Lemonde.fr, étant l'adserveur et la plateforme de monétisation publicitaire principale).

Bien cachée, l'information que vos données personnelles peuvent toujours être exploitées via une base légale douteuse, "l'intérêt légitime"

Que peuvent faire ces sociétés publicitaires de vos données personnelles ? Revenons sur le bandeau de consentement, et notamment sur les "Cookies de ciblage publicitaire" :

Cookies ciblage publicitaire

Pas d'erreur, vous les avez bien refusé. Cliquons néanmoins sur "Voir la description et personnaliser" :

Detail cookies publicitaires

Toujours pas d'erreur, Lemonde.fr vous signale d'ailleurs qu'en désactivant ces cookies, des publicités sans lien avec vos centres d'intérêt supposés vous seront proposées. Cliquons maintenant sur "Personnaliser le suivi publicitaire", et là surprise ! De nombreuses finalités sont expliquées et le consentement est bien désactivé. Mais excepté pour la finalité "Stocker et/ou accéder à des informations stockées sur un terminal" (celle permettant aux acteurs de déposer un cookie avec identifiant publicitaire), la case "Autoriser le traitement de vos données sur la base d’un intérêt légitime à cette fin" est cochée :

Finalité stocker La finalité "Stocker et/ou accéder à des informations stockées sur un terminal" a besoin de votre consentement (pas d'intérêt légitime ici). Les différents acteurs publicitaires violent bien vos choix en déposant des cookies avec identifiants publicitaires.

Interet legitime Le TCF v2 permet aux différentes sociétés publicitaires de déclarer l'intérêt légitime comme base légale pour différentes finalités. Mais ces acteurs ont souvent besoin d'un identifiant publicitaire pour réaliser ces finalités (pour lequel votre consentement est toujours requis)... C'est le serpent qui se mord la queue !

Ainsi les acteurs publicitaires qui vous surveillent se permettraient différents traitements non pas sur la base légale du consentement (rappel : vous avez déjà refusé) mais sur la base légale de l'intérêt légitime, prévue par le RGPD. Difficile de justifier de l'intérêt légitime lorsqu'il est question de finalités telles que :

  • Créer un profil personnalisé de publicités (= vous profiler).
  • Sélectionner des publicités personnalisées (= vous influencer selon votre profil).

Il est probable que l'intérêt légitime ne tienne pas pour la plupart des finalités présentées sur ce bandeau de consentement. La CNIL rappelle d'ailleurs que l’intérêt légitime ne peut être retenu que si le traitement satisfait à la condition de « nécessité », la surveillance et la publicité ciblée ne sont pas des "nécessités".

Décochez l'intérêt légitime sur les différentes finalités, rien ne change

Continuons notre marathon, pour refuser l'intérêt légitime sur les différentes finalités, le bouton "Tout refuser" ne marche pas ! Un nouveau "Dark Pattern" comme on les aime ! Il vous faut décocher l'intérêt légitime sur chacune des finalités individuellement, soit 9 clics ! Cliquez sur "Enregistrer et continuer" et observez le résultat :

interet legitime 1interet legitime 2

Caramba, rien ne change ! En observant le détail, la plupart de ces acteurs continuent de déposer un cookie, comme si de rien n'était.

Désactiver l'intérêt légitime pour chacune des sociétés individuellement ?

Tout espoir n'est pas perdu, reprenons notre bandeau de consentement, reproduisons les différents refus et cette fois-ci, scrollons tout en bas de la fenêtre "Personnaliser le suivi publicitaire" (faites vite car Lemonde.fr a un auto-refresh qui vous ramène à la page accueil et vous oblige à refaire toutes les étapes) :

Pour chaque service

Vous arrivez sur une liste à rallonge de partenaires (plus de 500), dont certains s'appuient bien sur l'intérêt légitime pour des finalités déterminées. Et vous avez beau avoir décoché toutes les finalités d'intérêt légitime à l'étape précédente, ces partenaires ont encore la case intérêt légitime cochée ! Au hasard, Google :

Google - interet legitime

Google s'appuie sur le consentement pour la première finalité "Stocker et/ou accéder à des informations stockées sur un terminal" (il n'a pas le choix, c'est la loi, et le TCF ne permet pas de faire autrement). Et en effet, Google n'a pas déposé d'identifiant publicitaire sur mon poste (pas de cookie doubleclick IDE). Google indique par contre s'appuyer sur l'intérêt légitime pour diverses finalités, ce qui est fort discutable :

Sélectionner des publicités standard; Créer un profil pour afficher un contenu personnalisé; Sélectionner du contenu personnalisé; Mesurer la performance des publicités; Exploiter des études de marché afin de générer des données d’audience; Développer et améliorer les produits.

Criteo fait partie des sociétés qui vous traquent toujours, même après refus de consentement. Quelles finalités déclare-t-il, et sur quelles bases légales ?

Criteo Consentement

Criteo déclare donc s'appuyer sur le consentement pour la première finalité "Stocker et/ou accéder à des informations stockées sur un terminal" (il n'a pas le choix, c'est la loi et le TCF ne permet pas de faire autrement), il ne s'appuie jamais sur l'intérêt légitime. Criteo viole la loi vu qu'il dépose un identifiant publicitaire sur mon poste sans mon consentement (via le cookie uid), ce qui n'est guère étonnant vu le passif de la société concernant les violations de votre vie privée.

Nous avions également constaté que Weborama, le "cheval de Troie" fuitant vos données personnelles à de multiples sociétés, ne respectait pas votre refus de consentement. Quelles finalités déclare-t-il, et sur quelles bases légales ?

Weborama consentement

Weborama déclare s'appuyer sur le consentement pour la première finalité "Stocker et/ou accéder à des informations stockées sur un terminal" (il n'a pas le choix, c'est la loi et le TCF ne permet pas de faire autrement), mais sur l'intérêt légitime pour de nombreuses autres finalités. Weborama viole donc la loi en déposant un identifiant publicitaire sur mon poste sans mon consentement (via le cookie "AFFICHE_W"), et se permet de synchroniser cet identifiant publicitaire avec de nombreuses autres sociétés qui peuvent ainsi me surveiller. L'intérêt légitime dont il se targue pour diverses finalités lui permet ensuite de me profiler et d'exploiter mon surf.

À quel point les sociétés publicitaires de l'adtech abusent-elles de cette notion d'intérêt légitime ? Pour approfondir la question, vous pouvez lire la publication de Célestin Matte, Cristiana Santos et Nataliia Bielova, “Purposes in IAB Europe’s TCF: which legal basis and how are they used by advertisers?”. En mai 2020, seulement 325 sociétés de l'adtech étaient inscrites au TCF, mais l'intérêt légitime était abondamment utilisé :

Stats TCF v2

Évidemment, je ne peux pas refuser l'intérêt légitime pour toutes ces sociétés de surveillance (plus de 500 sociétés avec lesquelles Lemonde.fr pourrait théoriquement travailler). Notez que vous ne devriez pas avoir à refuser l'intérêt légitime pour chaque société publicitaire :

  • Refuser le consentement en étape 1 doit vous permettre de refuser les "Cookies de ciblage publicitaire" : normalement c'est la fin de la partie pour l'industrie publicitaire.
  • Si vous continuez votre navigation, la finalité "Stocker et/ou accéder à des informations stockées sur un terminal" ne peut se baser sur l'intérêt légitime, donc là encore, pas d'autres options que de se baser sur votre consentement pour déposer un cookie avec identifiant publicitaire.
  • Lorsque vous décochez l'intérêt légitime sur les différentes finalités, cela s'applique à toutes les sociétés publicitaires. Vous ne devriez pas avoir besoin de décocher l'intérêt légitime pour une société spécifiquement.

Néanmoins, que se passe-t-il si je refuse l'intérêt légitime pour Weborama ("opt-out") ?

legitime 1legitime 2

Comme vous pouvez le voir... c'est "business as usual". Vous êtes toujours traqué extensivement. En particulier, Weborama vous identifie toujours via un identifiant publicitaire et synchronise toujours cet identifiant avec le petit monde de la surveillance publicitaire en ligne.

Lemonde.fr, sa CMP Iubenda et les sociétés adtech, un trio infernal

Résumons le parcours du combattant d'un utilisateur désireux de ne pas être traqué, et qui suit le protocole mis en place par Lemonde.fr et son prestataire Iubenda (Consent Management Platform) :

  • Lors de l'arrivée sur Lemonde.fr, ne pas scroller ni cliquer sur un article car via une faille introduite par la CNIL dans une délibération datant de 2013 2013, "la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal". Et évidemment Lemonde.fr utilise cette faille, qui n'est d'ailleurs plus valable.
  • En effet, cette délibération a été abrogée en juillet 2019, la nouvelle délibération indique : "Le renforcement des droits des personnes conduit la Commission à abroger sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978 (ci-après « la recommandation cookies et autres traceurs ») pour la remplacer par les présentes lignes directrices. Ces lignes directrices seront complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement". Mais la valeur juridique des recommandations ne reporte cependant pas l'application ni d'ePrivacy, ni du RGPD, ni de la nouvelle délibération.
  • Sur le scroll en particulier, la délibération de 2019 indique : "La Commission souligne que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable".
  • Malgré ces précautions, vous êtes déjà pisté par AT Internet, Lemonde.fr viole déjà la loi.

Continuons notre test du bandeau de consentement :

  • Cliquer donc sur "Paramétrer les cookies", car il n'y a pas de choix de premier niveau pour refuser les cookies (à l'inverse du bouton "Accepter" au premier niveau).
  • Se rendre compte que Lemonde.fr viole de nouveau la loi en ne permettant pas l'opt-out.
  • Les "Cookies de ciblage publicitaire" sont bien décochés, mais la plupart des sociétés publicitaire continuent de vous surveiller (exception notable, Google). Cliquer sur "Voir la description et personnaliser" au bas de la fenêtre afin de comprendre si l'on peut éviter cette surveillance.
  • Lire que les services publicitaires adhèrent au cadre de transparence et de consentement de l’IAB, et que celui-ci est bien décoché, mais quand même cliquer sur "Personnaliser le suivi publicitaire".
  • S'apercevoir sur la page suivante que ces services publicitaires exploitent vos données personnelles pour diverses finalités (10 finalités et 2 finalités spéciales pour lesquelles vous n'avez aucun contrôle), et que si le consentement est bien décoché pour ces finalités, l'intérêt légitime est coché pour quasiment toutes les finalités sauf une ("Stocker et/ou accéder à des informations stockées sur un terminal" requiert votre consentement). Comme il n'y a pas de boutons pour décocher l'intérêt légitime pour ces différentes finalités en une fois, les décocher une par une (9 clics). Se rendre compte que cela n'a aucun effet sur les sociétés publicitaires qui continuent de vous surveiller.
  • Tout en bas de cette longue fenêtre, cliquer sur "Gérer les préférences pour chaque service de publicité", se rendre compte qu'il y a plus de 500 partenaires qui peuvent théoriquement vous surveiller (Lemonde.fr pourrait d'ailleurs considérablement écrémer la liste, de nombreux acteurs sont trop petits ou absents du marché français). Se rendre également compte que vous avez beau avoir décoché l'intérêt légitime pour les différentes finalités à l'étape précédente, la case intérêt légitime est encore cochée chez une bonne partie de ces sociétés, pour diverses finalités.
  • N'ayant pas d'option pour décocher d'un coup l'intérêt légitime pour chacune des sociétés, décocher Weborama, un "cheval de Troie" de la surveillance publicitaire, et se rendre compte que cela n'a aucun effet. Weborama continue de vous surveiller et de permettre à de nombreuses autres sociétés de vous surveiller.

Un parcours de la mort donc, grâce à Lemonde.fr, sa CMP Iubenda et des sociétés publicitaires qui se fichent de vos choix et de votre vie privée. Un dernier point sur Iubenda, le prestataire qui permet à Lemonde.fr de vous proposer cette bannière de recueil de consentement au parcours si pénible. Son travail est de recueillir et de transmettre vos choix aux différentes sociétés publicitaires, vérifions que le signal collecté puis transmis aux sociétés publicitaires est correct.

Voici le signal transmis lorsque vous vous contentez d'ignorer le bandeau publicitaire en scrollant sur la page accueil du site Lemonde.fr (ce qui vaut consentement grâce à la CNIL). Comment ai-je pu le récupérer ? Via Charles ou la console Chrome, récupérez le champs "gdpr_consent" d'une requête envoyée à un acteur publicitaire et décodez la chaîne de caractère via ce site (TCF v2) :

chaine consentement scroll

J'ai juste scollé mais évidemment c'est un "consentement libre, spécifique, éclairé et univoque". Regardons maintenant le signal envoyé lorsque vous avez refusé le consentement et l'intérêt légitime pour chacune des finalités proposées :

chaine legitime interet

Iubenda ne renseigne pas la valeur des variables représentant les différentes finalités de consentement et d'intérêt légitime. Il s'avère que si l'on lit la spécification du TCF v2, c'est correct:

TCF v2

Si les variables purposeConsents et purposeLegitimateInterests ne sont pas définies, cela doit bien être interprété comme "Pas de consentement" (donc pas de cookies avec identifiants publicitaires) et "Intérêt légitime non établi".

Une bonne nouvelle, pas de surveillance Google... ni de publicité délivrée par Google

Si Lemonde.fr, sa CMP et le petit monde de la surveillance publicitaire s'arrangent pour violer vos choix et continuer de vous surveiller, on peut néanmoins noter que lorsque vous prenez la peine de cliquer sur "Personnaliser" sur le bandeau de consentement, puis de cliquer sur "Enregistrer et continuer", Google ne dépose plus de cookies, et le nombre de publicités chute fortement, vous permettant d'avoir une expérience de lecture un peu meilleure.

Pourquoi ? La première version du TCF (Transparency & Consent Framework), le protocole mis en place par l'IAB (l'industrie publicitaire) pour recueillir et propager les signaux de consentement à l'ensemble de la chaîne publicitaire, n'était pas supportée par Google.

Depuis le 15 août, Google supporte le TCF v2. Pour les clients de sa plateforme de monétisation Google Ad Manager (tels que Lemonde.fr), Google est tenu de respecter les choix utilisateurs. Voici comment il communique à propos de la première finalité, "Stocker des informations sur un appareil et/ou y accéder" :

Google consentement

Plusieurs informations intéressantes ici :

Google n'est pas capable de délivrer de publicité sans vous surveiller (a.k.a. sans déposer le cookie doubleclick IDE). Quelles raisons avance-t-il ? Google déclare en avoir besoin pour détecter la fraude et les abus, pour limiter le nombre d'expositions à une même publicité ("frequency capping") et pour fournir des rapports agrégés.

Google déclare avoir besoin de votre consentement pour déposer des cookies ou des identifiants mobiles, même pour des publicités non ciblées. Si on lit ses "Règles relatives au consentement de l'utilisateur dans l'Union européenne", mais aussi l'Aide concernant les règles relatives au consentement de l'utilisateur dans l'Union européenne", Google indique que cette obligation vient des "dispositions relatives aux cookies de la directive vie privée et communications électroniques de l'UE" (aussi appelée directive ePrivacy) :

Google e-Privacy

Google a besoin d'identifiants utilisateurs pour mesurer la performance des publicités, donc de votre consentement :

Google e-Privacy

Sans consentement pour la première finalité, les éditeurs ne doivent pas appeler Google (Lemonde.fr n'en tient pas compte et appelle Google). Si Google est appelé, il ne délivrera pas de publicité (et en effet, pas de publicité diffusée via Google).

Explications légales sur la nécessité du consentement pour le dépôt des cookies

Attention c'est technique, merci à @Cellular_PP pour ses explications détaillées. Partons de la Directive 2002/58/CE, article 5 paragraphe 3 (j'ai mis en gras le passage intéressant) :

Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.

La directive 2009/136/CE, applicable depuis 2012, modifie l'article 5 paragraphe 3 (en gras, observez l'introduction du consentement) :

Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

La transposition française est dans l'article 82 de la loi informatique et liberté.

La notion de consentement est mentionnée dans l'article 2 de la même directive 2002/58/CE :

le "consentement" d'un utilisateur ou d'un abonné correspond au "consentement de la personne concernée" figurant dans la directive 95/46/CE

Voici donc la fameuse définition du consentement, dans l'article 2 de la directive 95/46/CE

«consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.

Quel lien entre ces directives "ePrivacy" et le RGPD sur cette obligation de consentement ? L'article 95 du RGPD indique ne pas imposer d'obligations supplémentaires :

Le présent règlement n'impose pas d'obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l'Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE.

Un avis de l'@EU_EDPB vient clarifier la relation entre les deux textes.

Le point 28 de l'avis indique que l'article 5 paragraphe 3 s'applique aux cookies :

The overarching aim of the ePrivacy Directive is to ensure the protection of fundamental rights and freedoms of the public when they make use of electronic communication networks. In light of this aim, articles 5(3) and 13 of the ePrivacy Directive apply to providers of electronic communication services as well as website operators (e.g. for cookies) or other businesses (e.g. for direct marketing).

Le point 40 de l'avis indique que quand l'article 5 paragraphe 3 mentionne qu'il faut le consentement il n'est pas possible d'utiliser d'autres bases :

A similar situation occurs with regards article 5(3) of the ePrivacy Directive, insofar as the information stored in the end-user’s device constitutes personal data. Article 5(3) of the ePrivacy Directive provides that, as a rule, prior consent is required for the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user. To the extent that the adopted information stored in the end-users device constitutes personal data, article 5(3) of the ePrivacy Directive shall take precedence over article 6 of the GDPR with regards to the activity of storing or gaining access to this information. The outcome is similar in the interplay between article 6 of the GDPR and articles 9 and 13 of the ePrivacy Directive. Where these articles require consent for the specific actions they describe, the controller cannot rely on the full range of possible lawful grounds provided by article 6 of the GDPR.

Conclusion : il est bien illégal de prétexter l'intérêt légitime afin de déposer un cookie avec identifiant publicitaire.

Respecter votre vie privée, la grande peur de l'adtech

En lisant la presse, on peut suivre la pensée des régies publicitaires :

  • Google ne délivre plus de publicité via Google Ad Manager si l'internaute ne donne pas son consentement. La majorité des sites d'informations français utilise justement Google Ad Manager comme outil de diffusion et de monétisation publicitaire.
  • Les bannières de consentement actuelles dégoûtent la très grande majorité des internautes, mais la CNIL doit délivrer de nouvelles recommandations, pour enfin respecter l'esprit du RGPD.

Conséquence potentielle si la CNIL fait un jour son travail : un vrai mécanisme de consentement (comme placer les boutons "Accepter" et "Refuser" au même niveau, ou mieux, un choix simple au niveau du navigateur) avec de vraies sanctions en cas de violation de la loi. Voici une réaction représentative du secteur de l'adtech :

Dès lors que le refus de l'internaute n'a aucun impact sur son expérience de navigation, c'est dramatique de mettre cette option sur un même pied d'égalité que l'acceptation, s'insurge un patron d'adtech

Évidemment, le refus de consentement aurait un impact énorme sur l'expérience de navigation : vous ne seriez plus pisté (bonus, plus de publicité intrusive) et les temps de chargement de la page seraient grandement réduits.

Les régies publicitaires, elles, seraient bien inspirés de se poser les bonnes questions : la forte dégradation de l'expérience utilisateur et la surveillance généralisée sont-elles la solution à leurs problèmes économiques ? Pas vraiment si l'on regarde la mauvaise santé financière des sites d'informations, perfusés de publicités intrusives. À ce titre, vous pouvez lire ces 2 excellents articles :

De votre côté que faire ? Comme toujours, ne pas compter sur les sites web pour respecter vos choix, mais s'équiper d'un adblocker tel que uBlock Origin.

Sur son appli iOS, Le Monde vous traque dès le premier lancement

Sur Smartphone, vous n'êtes pas obligé de passer par le site web Lemonde.fr, vous pouvez également utiliser l'application. Est-elle plus respectueuse de votre vie privée ? Afin de tester l'appli iOS Le Monde, j'ai suivi la procédure suivante sur mon iPhone :

Lemonde - accueil

Comme sur son site web, Le Monde affiche bien son bandeau de consentement, sans offrir d'option de premier niveau pour refuser les traceurs. Regardons les traceurs envoyés via l'export des logs de ma session Charles Proxy vers mon ordinateur :

Lemonde - lancement

Avant même le paramétrage du bandeau de consentement, Le Monde a déjà fuité vos données personnelles à plusieurs sociétés :

  • Accengage : outil de notifications push français, racheté en 2018 par la société du marketing mobile Airship.
  • Google : Le Monde utilise Firebase, la boîte à outils des développeurs d'application.
  • AT Internet : la société d'analytics française vous piste également sur l'appli Le Monde.
  • Batch : solution de CRM mobile et de notifications push.
  • Outbrain : les articles putassiers, aussi sur Appli.
  • Microsoft : via appcenter.ms, Le Monde utilise Visual Studio App Center, pour gérer l'intégration continue et la livraison de son application.

Refusez le pistage, la surveillance continue

Revenez sur le bandeau de consentement et cliquez sur "Paramétrer les cookies" :

Lemonde finalites pre coches

Première (mauvaise) surprise : toutes les finalités sont pré-cochées, ce n'est pas vraiment l'esprit du RGPD. Regardons le détail des "Cookies de fonctionnement" :

Cookies fonctionnement

Ainsi de nouveau, Le Monde considère (à tort) que les traceurs d'AT Internet peuvent être classés dans les cookies de fonctionnement, sans vous offrir d'opt-out. Le classement d'Accengage, de Batch et de Google dans les cookies de fonctionnement est également discutable. Décochez maintenant les différentes finalités, consultez 3 articles et observez les traceurs :

Lemonde consentement negatif

La surveillance continue donc, avec les mêmes sociétés mais également un invité supplémentaire : Smart AdServer, un adserveur français, utilisé par Le Monde pour son application.

Comment vous protéger ? En attendant d'hypothétiques sanctions de la CNIL, vous pouvez passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.