Showroomprive fuite votre email et vos informations CRM

Le consentement est une notion toute relative pour le site de vente privée

Publié par Pixel de Tracking le 12 avr. 2020

L'appli Showroomprivé iOS, abonnée aux traqueurs

Après avoir analysé La Fnac, étudions maintenant un autre site d'e-Commerce français, concurrent de Veepee (le leader des ventes privées, anciennement vente-privee.com) : la société Showroomprive. Afin d'analyser son appli iOS, j'ai suivi les étapes suivantes :

  • Fermeture des différentes applications en arrière plan.
  • Lancement de l'application Charles Proxy et activation du suivi.
  • Lancement de l'application Showroomprive, puis navigation dans l'App : j'ai consulté quelques produits.
  • Export des logs de ma session Charles Proxy vers mon ordinateur, afin de facilement analyser les requêtes envoyées par Showroomprive.

Showroomprive iOS

Voici donc quelques sociétés qui vous pistent pendant vos achats sur Showroomprive :

  • Google : Via sa boîte à outils pour développeurs Firebase, Showroomprive utilisant Crashlytics (suivi de crashs) et Firebase Remote Config, qui lui permet de personnaliser son appli sans avoir à la redéployer. Pas d'informations nominatives envoyés ici (à la différence d'un Bolt), mais des identifiants (données pseudonymisées pour lesquelles Showroomprive devrait vous informer et vous demander votre consentement).
  • Facebook : Via sa boîte à outils pour développeurs utilisée par Showroomprive, vos consultations des ventes privées sont connues du géant américain, même si vous n'avez pas de compte Facebook. Là encore, pas d'information de la part de Showroomprive.
  • FollowAnalytics : via le domaine follow-aps.com. outil d'analytics et de campagnes ciblées (notifications push et messages in-App) français.
  • Adjust : autre outil d'analytics et marketing mobile. Ici Showroomprive fuite des données CRM : votre sexe, votre nombre de commandes, votre score RFM, le montant total de vos commandes, etc.
  • Mediarithmics : société française proposant une plateforme d'achat d'espaces publicitaires, et une solution de data management (mieux vous profiler pour mieux vous cibler). Ici, Showroomprive fuite vos données CRM, votre navigation sur l'application, mais aussi des données beaucoup plus sensibles comme votre adresse email, votre code postal ou votre date de naissance.
  • Accengage : outil de notifications push français, racheté en 2018 par la société du marketing mobile Airship. Showroomprive fait ici fuiter votre adresse email.

Une politique de confidentialité vague

Comme Showroomprive n'informe pas directement ses clients sur la manière dont il permet à des tiers de les pister, lisons la politique de confidentialité de Showroomprivé, on peut y lire dans la section 5. Destinataires de vos Données Personnelles :

Les destinataires de vos Données Personnelles sont les suivants : [...] Nos prestataires en charge de réaliser des analyses et segmentations, des études marketing et commerciales.et des campagnes publicitaires personnalisées

Ainsi le client n'a toujours aucune information sur l'identité des destinataires, ni sur les données personnelles transférées.

Un contrôle limité sur les traqueurs, bien caché

En naviguant sur les paramètres de l'App Showroomprivé, j'ai réussi à trouver la page permettant de configurer le tracking. Il vous faut aller dans "Compte", puis dans "Mes infos personnelles", et enfin "Gérer mes données" :

Gerer mes donnees - Showroomprive

Par défaut, tout est permis ! Et là encore, aucune information n'est donnée sur l'identité des destinataires ainsi que sur les données personnelles transférées. Néanmoins, si l'on décoche toutes les cases, on peut observer une diminution des traqueurs.

Showroomprive - tracking désactivé

Ainsi les traceurs de Mediarithmics et de Accengage, qui récupéraient notamment mon adresse e-mail, ne sont maintenant pas déclenchés. Par contre, Showroomprive fuite encore mes identifiants à Google et Facebook, il est donc impossible de désactiver les services des poids lourds de la surveillance généralisée.

Mediarithmics, fournisseur d'outils de surveillance, se décharge sur ses clients

Nous avions déjà vu dans un article précédent comment La Fnac fuitait vos données personnelles à Mediarithmics et Accengage, 2 sociétés de "data marketing" françaises. Dans le cadre de l'alliance Gravity (150 sites français qui s'échangent vos données personnelles), La Fnac fuitait un hash de votre adresse email et votre parcours sur site à Mediarithmics.

Ici, Showroomprive va "plus loin" en fuitant votre email en clair à Mediarithmics. Que dit la "Charte de protection des données personnelles" de Mediarithmics ? En résumé :

  • Le client (Showroomprive) doit informer les utilisateurs et obtenir leur consentement explicite avant de collecter la donnée (Showroomprive ne respecte pas le contrat, pas d'information ni de consentement explicite, mais un opt-out caché).
  • Mediarithmics ne croise pas les données de ses différents clients (pas de croisement entre Showroomprive et l'Alliance Gravity par exemple)
  • L'exercice des droits d'accès, rectification, opposition ou suppression de mes données personnelles doit s'effectuer directement auprès des Clients de Mediarithmics (Showroomprive)

En résumé : Mediarithmics se décharge, Showroomprive est responsable. Voici les données que Mediarithmics s'autorise à collecter pour le compte de ses clients :

Collecte Mediarithmics

Mediarithmics fourni "l'arme", charge à Showroomprive de récolter le consentement de ses clients en amont. De son côté et comme déjà vu avec l'exemple de la Fnac, Accengage ne signale même pas qu'il peut collecter des données nominatives telles que l'email.

Le site web de Showroomprive fuite vos données personnelles, lorsque vous n'êtes pas connecté

Comme on vient de le voir, Showroomprive fuite vos données personnelles sans votre consentement sur son appli iOS, qu'en est-il de son site web ? Regardons les requêtes échangées lorsque je navigue sur le site Showroomprive depuis Chrome, toujours avec Charles Proxy, mais cette fois-ci la version Desktop (après avoir désactivé mon adbloqueur et supprimé les cookies) :

Showroomprive - web - accueil

Avant même d'avoir pu cliquer sur la "bannière de cookies" en bas de page, Showroomprive envoie vos données personnelles à Google et Facebook, une atteinte à la RGPD. La "bannière de cookies" renvoie vers la politique de confidentialité. Pour gérer ses données, il faut se connecter à Showroomprive (rappel : vous avez déjà été traqué par Google et Facebook, impossible de revenir en arrière).

Lorsque l'on se connecte et que l'on a précédemment décoché toutes les options de tracking ("Compte" > "Mes infos personnelles" > "Gérer mes données"), Showroomprive ne déclenche pas de tracking tiers additionnel (pas de Google ni de Facebook donc, à la différence de l'appli iOS). Mais lorsque l'on se déconnecte, sans surprise, les traceurs de Google et Facebook sont de nouveau déclenchés.

Showroomprive - deconnexion web