J’ai été interrogé, aux côtés d’autres experts, pour la couverture du Point de cette semaine consacrée aux écrans.
https://www.lepoint.fr/versions-numeriques/
N° 2452 –
Archives de catégorie : Google
Le RGPD ne serait-il qu’une passoire ?

Armand Heslot (CNIL) : « Une application que vous avez installée sur votre smartphone peut transférer aux annonceurs vos données de géolocalisation »
![]() |
Armand Heslot (service de l’expertise technologique de la CNIL) |
- Comment nos données de géolocalisation sont-elles partagées par les plateformes d’« ad exchange » ?
- Armand Heslot : La plupart des espaces publicitaires sur les mobiles ou le Web sont effectivement vendus aux enchères par l’intermédiaire de réseaux de commercialisation de publicités, appelés plateformes d’« ad exchange ». Les échanges d’informations ayant lieu au sein de ces plateformes sont régis par des spécifications techniques élaborées par l’Interactive Advertising Bureau, une organisation regroupant les principaux acteurs de la publicité en ligne. J’invite d’ailleurs tous vos lecteurs à consulter la spécification « open RTB » (pour « real-time bidding », enchère en temps réel) de l’IAB. Ils y verront quels formats sont utilisés et surtout quels types d’information sur leur géolocalisation peuvent être transmises : leurs coordonnées GPS, leur adresse IP ou une localisation qu’ils ont eux-mêmes communiquée à un site ou une application.
- Quelles sont les conséquences pour l’utilisateur d’une application sur smartphone ?
- Armand Heslot : Une application que vous avez installée sur votre smartphone peut transférer aux annonceurs qui lui achètent des espaces publicitaires vos données de géolocalisation très précises, obtenues par l’intermédiaire du GPS de votre téléphone. Si vous désactivez la géolocalisation sur votre mobile ou si vous ne donnez pas les autorisations d’accès à la géolocalisation à une application, celle-ci ne pourra plus accéder à vos coordonnées GPS, mais elle pourra utiliser d’autre moyens pour avoir une estimation de votre localisation comme votre adresse IP ou l’adresse physique que vous avez déclarée en vous inscrivant sur cette application…
- Ces transferts d’informations de géolocalisation ne sont pas encadrés par la loi ?
- Armand Heslot : Si, la CNIL considère que la collecte de données de géolocalisation précises nécessite le consentement des personnes. Par ailleurs, la directive européenne du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, appelée également directive « ePrivacy » encadre la collecte des données sur mobile et sur le web (Cette directive est en pleine réécriture au niveau européen et devrait être transformée en un règlement). Elle a été traduite et transcrite dans le droit français en août 2011, et a donné lieu à la recommandation du 5 décembre 2013, dans laquelle la CNIL a estimé que la collecte et le transfert de telles données devaient faire l’objet d’un consentement de la part des internautes. Ce que la CNIL constate au travers de ses contrôles, c’est que même si des mécanismes de demande d’autorisation des utilisateurs sont mis en place, l’information est trop souvent incomplète, ce qui rend le consentement des personnes non valable.
Propos recueillis par Jacques Henno
Les principaux acteurs de l’« ad exchange »
- AppNexus
- DoubleClick (Google/Alphabet…)
- Oath (marque réunissant AOL, Yahoo!…)
- OpenX
- Rubicon Project Exchange
- Smaato
- …
Premiers pas sur Google Cultural Institute
Je participe ce soir au «Le téléphone sonne» : «Internet et réseaux sociaux, sommes-nous tous traqués et fichés ?»
Je participe ce soir, jeudi 15 août 2013, à l’émission «Le téléphone sonne» sur France Inter, de 19H20 à 20H, consacré à «Internet et réseaux sociaux, sommes-nous tous traqués et fichés ?[1]», aux côtés d’Etienne Drouard (avocat spécialiste de la protection de la vie privée, ancien membre de la CNIL), Mickaël Vuillaume (web analyste) et Jérémie Zimmermann (porte-parole de l’association la Quadrature du Net).
Les médias se sont fait l’écho de l’enquête ouverte fin juin par la CNIL (Commission Nationale de l’Informatique et des Libertés) et la DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes)[2] sur l’IP Tracking.
L’IP Tracking consisterait à repérer les ordinateurs des internautes qui recherchent des billets sur les sites de compagnies aériennes ou ferroviaires ; s’ils n’achètent pas tout de suite, mais reviennent un peu plus tard sur ces sites consulter les mêmes voyages, les prix sont augmentés pour inciter ces internautes à payer tout de suite.
Si elle était avérée, cette pratique commerciale pourrait être considérée comme déloyale[3] par la DGCCRF. De son côté, la CNIL se pose «la question de la loyauté de la collecte des données permettant de mettre en œuvre l’IP Tracking. Cette pratique serait opérée à l’insu des personnes et sans qu’elles soient en mesure de connaître, voire d’agir sur les mécanismes conduisant à moduler le tarif affiché.[4]»
Malheureusement le manque de loyauté de la collecte de données risque, je le crains, d’être difficile à prouver. En effet, l’IP Tracking s’effectue au moyen de cookies, des petits logiciels espions que les sites Web installent sur les navigateurs des internautes. Or, normalement, en Europe, tous les sites doivent informer leurs visiteurs qu’ils utilisent des cookies et leur demander leur accord avant de les installer sur leurs ordinateurs[5].
Une petite application – Ghostery[6] – permet de voir tous les cookies qui s’installent sur votre ordinateur lorsque vous arrivez sur un site.

Ces cookies constituent des identifiants uniques qui permettent de savoir que tel ordinateur s’est rendu sur telle page de tel site Web. Ils contiennent souvent l’adresse IP de l’ordinateur (un numéro unique attribué en général par votre FAI – Fournisseur d’Accès à Internet), l’url des sites visités, une date d’expiration…
Ces cookies sont utilisés pour suivre à la trace les déplacements des Internautes à l’intérieur d’un même site ou au cours de leurs pérégrinations sur le Web, de serveurs en serveurs. C’est grâce à ces cookies que l’on peut connaître le nombre de visiteurs d’un site ou que nous n’avons pas besoin de retaper notre mot de passe lorsque nous revenons sur un site sur lequel nous nous sommes déjà identifiés.
Surtout, c’est grâce à ces petits logiciels espions que Google et les autres géants de la publicité en ligne nous affichent, sur leurs propres sites, mais aussi les sites dont ils assurent la régie publicitaire, des publicités dites « comportementales », car ciblées en fonction de notre comportement, de notre navigation sur Internet. Pour schématiser, ces régies publicitaires savent que notre ordinateur s’est d’abord rendu sur un site consacré aux couches-culottes, puis sur un site spécialisé dans les voitures familiales, avant un site dédié au crédit, et en déduisent que nous sommes à la recherche d’un crédit automobile. Elles vont donc nous afficher une pub pour un crédit automobile. Cette bannière correspondant à nos centres d’intérêts, nous allons cliquer dessus, ce qui va rapporter plus d’argent à Google et consorts.
Si vous souhaitez en savoir plus, je mets à votre disposition une petite vidéo expliquant le fonctionnement de la publicité comportementale[7].
Si vous souhaitez connaître dans quelles catégories publicitaires Google vous a classé, rendez vous sur http://www.google.com/intl/fr/policies/technologies/ads/ ; vers le milieu de cette page, vous trouverez un paragraphe intitulé
«Comment contrôler les cookies publicitaires» et qui commence par «Les paramètres des annonces permettent de gérer les annonces Google que vous voyez». Cliquez sur paramètres des annonces
Il existe plusieurs formes de publicités comportementales. L’une d’elles s’appelle le retargeting (reciblage). Elle consiste à utiliser les cookies pour suivre les internautes qui visitent un site marchand, mettent un produit dans leur panier, mais ne l’achètent pas. Pendant plusieurs jours, ils se verront proposer une publicité pour ce même produit. L’IP Tracking pourrait être considéré comme une variante du retargeting : on suit les internautes qui n’achètent pas et lorsqu’ils reviennent, on augmente le prix du produit qui les intéresse.
Inconvénient des cookies : on ne sait pas exactement qui est derrière l’ordinateur. On sait juste que c’est tel ordinateur qui visite tel site. C’est pourquoi Google, par exemple, nous pousse de plus en plus à nous identifier en utilisant un de ses services. En ce sens, le réseau social Google + avec 500 millions d’inscrits[8] est un succès pour le célèbre moteur de recherche. Une fois que je me suis inscrit sur un service Google (courrier électronique Gmail, site de partage de photo Picasa, réseau social Google +, YouTube…), les cookies de Google peuvent me suivre partout et accumuler autant d’informations sur moi.
Google se rapproche ainsi de Facebook, qui nous cible en fonction de notre graphe social (notre réseau d’amis sur Facebook), de nos publications, des sites que nous visitons et qui comportent un bouton «J’aime» de Facebook… Facebook accumule ainsi des données très indiscrètes sur nous (voir à ce sujet la polémique que j’ai soulevée sur le ciblage que Facebook propose en fonction de nos centres d’intérêts supposés pour certaines pratiques sexuelles ou des drogues illicites[9]).Pour savoir dans quelles catégories publicitaires Facebook vous a classé, suivez ce lien : http://tousfiches.blogspot.fr/2013/01/comment-savoir-dans-quelles-categories.html
Il existe d’autres techniques pour suivre à la trace les déplacements des Internautes sur le Web (par exemple, les pixels espions). Mais, à ce jour, la forme de publicité comportementale la plus aboutie fonctionne sur les smartphones : nous les avons en permanence sur nous et ils révèlent donc notre position.
Encadré : Yield Management
Petit rappel : les compagnies aériennes et ferroviaires pratiquent toutes le yield management (gestion fine des capacités) : pour optimiser le remplissage de leurs avions et de leurs trains, elles font fluctuer leur prix en fonction de la demande. Un voyageur, qui réserve un billet d’avion six mois à l’avance, paiera moins cher que quelqu’un qui réserve la veille du départ. La compagnie aérienne suppose que ce dernier veut absolument partir ce jour-là et qu’il est donc prêt à payer plus cher.
Aux Etats-Unis, le moteur de recherche Bing propose un outil qui permet de savoir s’il vaut mieux acheter son billet tout de suite, car il a forte probabilité d’augmenter dans les prochains jours, ou s’il vaut mieux attendre qu’il baisse.
[1] http://www.franceinter.fr/emission-le-telephone-sonne-internet-et-reseaux-sociaux-sommes-nous-tous-traques-et-fiches
[2] http://www.economie.gouv.fr/dgccrf
[3] L’article L.120-1 du code de la consommation, considère comme déloyales une pratique commerciale «lorsqu’elle est contraire aux exigences de la diligence professionnelle et qu’elle altère, ou est susceptible d’altérer de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service.»
[4] http://www.cnil.fr/linstitution/actualite/article/article/ip-tracking-collaboration-en-cours-entre-la-cnil-et-la-dgccrf/
[5] http://henno.com/2012/02/28/cookie-une-loi-impossible-a-faire-appliquer/
[7] http://tousfiches.blogspot.fr/2011/11/une-video-expliquant-le-fonctionnement.html
[8] http://googleblog.blogspot.fr/2012/12/google-communities-and-photos.html
[9] http://tousfiches.blogspot.fr/2013/06/espionnage-americain-les-donnees.html
Invité hier du grand débat d'Europe 1 soir, consacré à Big Brother
J’ai participé hier, jeudi 8 août 2013, au grand débat d’Europe 1 soir consacré à «Big Brother est-il entré dans nos vies ? Nous restent-ils encore des coins de jardins secrets ?», aux côté de Jean-François Ruiz, spécialiste des réseaux sociaux, Edouard Geffray, secrétaire général de la Cnil, Bernard Lamon, avocat et Jean-Marc Manach, journaliste.
A réécouter sur http://www.europe1.fr/MediaCenter/Emissions/Europe-1-Soir/Sons/Europe-1-Soir-Emmanuel-Faux-08-08-13-1606003/, à partir de de la 65ème minute.
Invité hier du grand débat d’Europe 1 soir, consacré à Big Brother
J’ai participé hier, jeudi 8 août 2013, au grand débat d’Europe 1 soir consacré à «Big Brother est-il entré dans nos vies ? Nous restent-ils encore des coins de jardins secrets ?», aux côté de Jean-François Ruiz, spécialiste des réseaux sociaux, Edouard Geffray, secrétaire général de la Cnil, Bernard Lamon, avocat et Jean-Marc Manach, journaliste.
A réécouter sur http://www.europe1.fr/MediaCenter/Emissions/Europe-1-Soir/Sons/Europe-1-Soir-Emmanuel-Faux-08-08-13-1606003/, à partir de de la 65ème minute.
Cette semaine, France Culture, France Info et France 5 m'ont invité pour parler du programme américain de surveillance électronique
• Mardi 11 juin, j’ai été l’invité du journal de 18H de Tara Schlegel, pour parler du scandale Prism, le système d’espionnage américain, révélé par Edward Snowden ; vous pouvez réécouter mon intervention en suivant ce lien :
• Jeudi 13 juin, je suis intervenu pendant Les Choix de France Info, l’émission de Jean Leymarie, pour parler de nos «Données personnelles : quelles traces laissons-nous ?», à réécouter sur :
• Enfin, toujours, jeudi, j’étais sur le plateau de C Dans l’air, dont le thème était «Qui espionne qui ?»
http://www.france5.fr/c-dans-l-air/international/qui-espionne-qui-39118
Cette semaine, France Culture, France Info et France 5 m’ont invité pour parler du programme américain de surveillance électronique
• Mardi 11 juin, j’ai été l’invité du journal de 18H de Tara Schlegel, pour parler du scandale Prism, le système d’espionnage américain, révélé par Edward Snowden ; vous pouvez réécouter mon intervention en suivant ce lien :
• Jeudi 13 juin, je suis intervenu pendant Les Choix de France Info, l’émission de Jean Leymarie, pour parler de nos «Données personnelles : quelles traces laissons-nous ?», à réécouter sur :
• Enfin, toujours, jeudi, j’étais sur le plateau de C Dans l’air, dont le thème était «Qui espionne qui ?»
http://www.france5.fr/c-dans-l-air/international/qui-espionne-qui-39118
Espionnage américain : les données qu'Apple, Facebook ou Google possèdent sur nous sont extrêmement indiscrètes
The Guardian et The Washington Post ont révélé que la NSA (National Security Agency), l’agence américaine chargée des écoutes électroniques, pouvait avoir directement accès aux serveurs d’Apple, Facebook, Google, Microsoft, Skype et autre Yahoo! pour espionner des citoyens du monde entier.
Pour se rendre compte à quel point les données archivées par ces géants de l’Internet révèlent tout de nous, y compris notre intimité, il suffit de créer une publicité sur Facebook.
Voici déjà plusieurs mois que j’ai constaté que Facebook permettait aux annonceurs de cibler des publicités en fonction de nos centres d’intérêt supposés pour certaines pratiques sexuelles ou certaines drogues illicites (lire l’épisode 1 : Les publicités Facebook ciblent nos préférences sexuelles ! ; l’épisode 2 avec l’avis de la CNIL et de son homologue irlandais ; l’épisode 3, avec la réponse officielle, mais décevante, de Facebook, ainsi qu’une interview de Benoit Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l’Université de Montréal ; l’épisode 4 avec l’ultimatum que la CNIL irlandaise avait lancé à Facebook ; l’épisode 5 pour apprendre comment Facebook nous range dans telle ou telle catégorie pour nous afficher des publicités ciblées).
La saisie d’écran ci-dessous, réalisée ce matin même, prouve qu’il est toujours possible de concevoir une publicité sur Facebook ciblant les internautes en fonction de données sensibles.
Espionnage américain : les données qu’Apple, Facebook ou Google possèdent sur nous sont extrêmement indiscrètes
The Guardian et The Washington Post ont révélé que la NSA (National Security Agency), l’agence américaine chargée des écoutes électroniques, pouvait avoir directement accès aux serveurs d’Apple, Facebook, Google, Microsoft, Skype et autre Yahoo! pour espionner des citoyens du monde entier.
Pour se rendre compte à quel point les données archivées par ces géants de l’Internet révèlent tout de nous, y compris notre intimité, il suffit de créer une publicité sur Facebook.
Voici déjà plusieurs mois que j’ai constaté que Facebook permettait aux annonceurs de cibler des publicités en fonction de nos centres d’intérêt supposés pour certaines pratiques sexuelles ou certaines drogues illicites (lire l’épisode 1 : Les publicités Facebook ciblent nos préférences sexuelles ! ; l’épisode 2 avec l’avis de la CNIL et de son homologue irlandais ; l’épisode 3, avec la réponse officielle, mais décevante, de Facebook, ainsi qu’une interview de Benoit Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l’Université de Montréal ; l’épisode 4 avec l’ultimatum que la CNIL irlandaise avait lancé à Facebook ; l’épisode 5 pour apprendre comment Facebook nous range dans telle ou telle catégorie pour nous afficher des publicités ciblées).
La saisie d’écran ci-dessous, réalisée ce matin même, prouve qu’il est toujours possible de concevoir une publicité sur Facebook ciblant les internautes en fonction de données sensibles.