Dissonance cognitive
Mieux qu'un Feedly, Twitter m'aura permis de connaître des gens passionnants, experts dans leur domaine, ayant un point de vue décalé ou incisif sur l'actualité. Il aura également été un excellent relais pour mes écrits sur l'adtech et le capitalisme de surveillance. Mais ses dérives, de plus en plus criantes depuis son rachat par Elon Musk, auront eu raison de moi.
2 articles résument très bien mon sentiment sur ce réseau social :
- "On Twitter, we look down", où l'auteur détaille sa schizophrénie concernant Twitter, pourquoi il est toujours dessus.
- "How to Blow Up a Timeline", où l'auteur raconte à quel point la magie du Twitter d'hier était exceptionnelle et fragile.
La goutte d'eau ayant déclenché la fermeture de mon compte ? Le renommage de Twitter en X, un détail dans le projet de vandalisme culturel d'Elon Musk. Vous pourrez maintenant me retrouver sur Mastodon, un réseau social fédéré, qui n'appartient à personne et ne peut donc pas être contrôlé par un milliardaire mégalomane fachiste.
Ayant beaucoup publié sur Twitter, parfois sur des sujets qui auraient mérité que j'écrive un article, je souhaitais néanmoins pouvoir republier mes tweets ailleurs. J'ai donc suivi ces 2 étapes :
- Le téléchargement de mes archives via le site Twitter.
- L'installation de tweetback (merci @aeris) sur mon blog, aidé par cet article.
Mes tweets sont donc disponibles ici, avec un moteur de recherche pour trouver des tweets sur une thématique précise, et ce billet pour référencer les tweets que je souhaite retrouver facilement.
À tout seigneur tout honneur, démarrons cette collection de tweets par le créateur du capitalisme de surveillance.
Le parrain de l'adtech
J'avais déjà écrit un article sur "la domination de Google sur les marché publicitaires", le caractère monopolistique de la brique adtech de Google et la surveillance publicitaire sont étroitement liés :
- Avec la Privacy Sandbox, Google ne permettra plus que vous soyez surveillé via un identifiant utilisateur ? Pas vraiment...
- Sur la possibilité d'utiliser des identifiants utilisateurs sur la stack adtech de Google, après disparition des cookies tiers de Chrome.
- Toujours le double-discours de Google sur les identifiants utilisateurs.
- À la différence d'iOS, il est encore très difficile de refuser le tracking publicitaire sur Android.
- La commission européenne dans son enquête sur l'adtech de Google met en balance vie privée et compétition, une mauvaise approche.
- L'Ad-Exchange Google, où le paradis des fraudeurs.
Google Chrome, agent des publicitaires
Les navigateurs sont généralement nommés "User Agents", ce n'est pas le cas de Chrome, le navigateur dominant de Google :
- Un guide sur la "confidentialité" dans Chrome.
- L'onboarding de Google Chrome, un cas d'école pour les #DarkPatterns.
- "First-Party Set", un dispositif de la Privacy Sandbox visant à continuer le tracking au sein des sites Google (YouTube, Maps...).
- "First-Party Set", un nouveau vecteur de tracking maintenant dans Chrome.
- Privacy Sandbox, ePrivacy s'applique (CNIL) et le consentement est donc obligatoire.
Vous pourrez approfondir le sujet Chrome avec 2 de mes articles :
- "L'entête HTTP problématique envoyé par Chrome à Google."
- "Fin des cookies tiers sur Chrome et Privacy Sandbox : une protection de la vie privée en trompe-l'oeil."
Google Analytics, le cheval de Troie publicitaire
En configuration minimum, Google Analytics devrait fonctionner sans surveillance publicitaire, mais ce n'est pas si simple :
- La création de compte Google, où l'art du #DarkPattern pour mieux vous surveiller.
- Le #PrivacyWashing de Google Analytics.
- Sur l'illégalité de Google Analytics, un debunk de l'article de @Devergranne.
- Un long thread sur l'illégalité de Google Analytics, suite aux décisions des CNILs autrichiennes puis françaises.
- Auchan utilise-t-il encore Google Analytics ? Il est permis d'en douter.
- La liste des plaintes de @NOYBeu à la CNIL, pour transfert de données personnelles vers les US (Google & Facebook).
Autres outils Google
L'adtech de Google, Chrome ou Google Analytics sont loin d'être les seules outils dédiés à mieux vous surveiller :
- Utilisation du Server-Side Tagging de Google Tag Manager.
- Google Fonts, un cheval de Troie pour vous surveiller ?
- Vos conversations avec Google Bard sont relues par des humains.
Approfondissez le sujet via la lecture de mon article "Google Tag Manager, la nouvelle arme anti adblock".
Alias Meta, le pire du capitalisme de surveillance, une source d'inspiration pour Google et pour toute l'adtech.
Une captation de données sans limites
Dans mon article "Avec les "signaux résilients" de Facebook, la surveillance publicitaire évolue", j'avais détaillé comment Facebook contournait les protections contre le tracking des navigateurs. Comme avec Google, abus de position dominante et violation de votre vie privée vont de pair, comme je l'avais d'ailleurs écrit dans l'article "Facebook et WhatsApp, où l'art de vous trahir". Facebook met tout en place pour capter toujours plus de données utilisateurs :
- Comment Facebook s'adapte aux protections navigateurs et autres adblockers.
- Les outils publicitaires de Facebook font du fingerprinting sur des applis tierces, exemple avec Duolingo.
- En particulier, Facebook récupère les données de l'accéléromètre de votre téléphone.
- Le partage de données entre WhatsApp et Facebook/Meta.
- La modération sur WhatsApp, vos messages ne sont pas toujours privés.
Des partenariats avec la terre entière
2 exemples intéressants, mais Facebook a interfacé son écosystème publicitaire avec tous les outils qui comptent :
- Un partenariat avec Criteo sur Facebook et Instagram.
- Shopify se lance dans la publicité ciblée (sur Facebook...), avec les données de ses clients.
Violer la loi, une spécialité
Facebook se moque des réglementations et de la CNIL :
- Bannières cookies (ePrivacy), Facebook se moque toujours de vous (et de la CNIL).
- Le parcours de la mort pour vous opposer à la publicité ciblée sur Facebook/Instagram.
- Sur WhatsApp, le parcours promet d'être aussi difficile.
- Le #PrivacyWashing de Facebook (et Google).
La surveillance des plateformes, via les "Pixels" & "Conversion APIs"
Pour contourner vos adblockers et autres protections navigateurs, Facebook a créé son "Pixel" et sa "Conversion API" (CAPI), il a inspiré les autres plateformes :
- Facebook.
- Google.
- TikTok.
- Snapchat.
- Pinterest.
- Un exemple de fuite sur Greenpeace.
- Un autre exemple avec Amnesty International.
- Un thread d'exemples de fuites.
- Une étude montrant l'ampleur de ces fuites.
- Lockr, un service pour cacher son e-mail... et continuer la surveillance publicitaire.
Je parle également de ces fuites de données dans l'article "Guerlain (LVMH) : luxe et surveillance".
Apple
Comme l'indique mon article "Apple vous protège-t-il vraiment de la surveillance publicitaire ?", Apple n'est pas parfait côté vie privée, mais c'est généralement un allié face à la surveillance de Google, de Facebook et de l'adtech.
Une définition particulière du "tracking"
Apple a mis en place des mécanismes assez efficaces pour vous protéger de la surveillance publicitaire, qui n'affectent pas son propre business, ce qui a le don d'énerver l'adtech :
- La désinformation de l'industrie publicitaire sur Apple.
- Sur le "tracking" d'Apple.
- Les arguments d'Apple concernant son "tracking" vs le tracking de l'industrie publicitaire.
- Les arguments des lobbyistes de l'adtech, anti Apple.
- Debung du lobbyiste Eric Seufert sur Apple ATT.
- Apple favoriserait la publicité ciblée sur ses propres Apps, plainte de France Digitale.
- La plainte du Geste contre Apple ATT.
- Arguments déployés par les apps pour vous pister (pop-ups ATT).
- Apple ne fait pas le ménage, certaines Apps continuent de vous pister, après opposition.
- Facebook note qu'il est toujours possible de surveiller les utilisateurs Safari via les paramètres de tracking (NB: en navigation privée, plus maintenant).
- Apple "privacy manifests", une initiative pour contrer le fingerprinting.
Apple aime vos données personnelles
Certaines pratiques d'Apple sont problématiques :
- Le parcours du combattant pour désactiver Siri #darkpattern.
- Apple ne respecte pas ePrivacy sur son propre site.
Adtech
Au côté de Google et de Facebook, des milliers d'entreprises "innovent", souvent pour mieux vous surveiller.
L'adtech, une énorme boite noire
Fonctionnement quasi incompréhensible, multiplication des intermédiaires, des fuites de données et des scandales, voici le merveilleux monde de l'adtech :
- Quand l'un des créateurs du "Real Time Bidding" ne comprend pas comment il a pu être re-ciblé, c'est mauvais signe pour cette industrie opaque.
- Un groupe de sénateurs américains se demande vers quels pays partent les données personnelles dans le cadre du "Real Time Bidding".
- Pas de scandales liés aux cookies publicitaires ? Pas vraiment, comme le montre cette longue liste.
- Les revendeurs publicitaires, porte grande ouverte aux fuites de données personnelles et à la fraude.
- À propos d'un mécanisme essentiel au "Real Time Bidding", la synchronisation des cookies.
- Illustration de la synchronisation des cookies avec ID5, une catastrophe pour l'expérience utilisateur et pour votre vie privée.
Vous identifier, pour mieux vous surveiller
L'adtech a du talent pour trouver de nouveaux mécanismes de tracking :
- Contourner les protections navigateurs et autres adblocks ? Certains, comme Tracedock, communiquent clairement là-dessus.
- Dans l'adtech aussi, on a des solutions pour contourner les protections navigateurs (e.g. Safari ITP).
- First.id, un identifiant qui contournerait les protections anti-tracking des navigateurs.
- Détail de la "promesse" de first.id, par rapport au navigateur d'Apple, Safari (et sa protection ITP).
- Tracking dans l'adtech toujours, avec la société ID5, spécialisée dans l'identification des utilisateurs.
- TrustId, où comment les opérateurs téléphoniques (Orange, Bouygues Telecom, SFR...) veulent permettre à l'industrie publicitaire de vous surveiller grâce à votre carte SIM.
- Le tracking sans cookies ni consentement, libre blanc de l'IAB.
- Plus fort que le Server-Side Tagging de Google Tag Manager pour contourner les protections navigateurs et autres adblocks ? Zaraz de Cloudflare.
- Taboola (les liens putaclics en bas des articles) a une techno "cookieless", votre e-mail (et les limites de Safari ITP ?).
- Déchiffrage d'une présentation de Liveramp, un des leaders sur la "data".
Tracking déguisé via les alias CNAME
Certains acteurs adtech mettent en danger la sécurité de vos comptes en ligne, en poussant à l'utilisation d'un alias de domaine appelé CNAME, juste pour contourner les protections des navigateurs. De nombreux sites français ne se posent pas la question et suivent ces préconisations. Quelques exemples :
- Criteo pousse la technique à tout ses clients.
- Eulerian aussi.
- Autre acteur français offrant cette option, Mediarithmics.
- Les acteurs américains ne sont pas en reste, avec Adobe.
La solution contre ce tracking ? Firefox avec uBlock Origin, et "NextDNS, mon nouveau bloqueur de traceurs et de publicités préféré".
Les bannières cookies, plaie du web
Plutôt que de changer de modèle économique, l'adtech préfère pourrir votre expérience utilisateur :
- Analyse de la dernière version du protocole de consentement publicitaire (bannières cookies), le TCF v2.2 de l'IAB.
- Le TCF jugé illégal ? Webinar réaction de Didomi, le leader des bannières cookies.
- Deux bannières cookies sur un même site !
- Bannière cookie de toute beauté, sur le site Ingeniance Tech Blog.
- Un #DarkPattern de toute beauté de TrustArc sur le site Starbucks, bannière cookie qui prend plus de 30 secondes pour valider votre refus de consentement.
- AT Internet, exemption de consentement et cookies tiers.
- Vous utilisez un adblock ? Pas d'accès à Rustica.
- Bannière cookies Gens de Confiance non conforme, corrigé rapidement !
- L'Équipe, champion de la surveillance.
Pour aller plus loin, lisez "De la légalité des bannières de consentement IAB", une analyse des bannières de consentement proposées par Sirdata.
Sirdata
Fournisseur de bannières cookies, de données comportementales et de solutions "consentless", Sirdata est une société intéressante :
- Consentement sur une myriade de sites avec Sirdata.
- Le recyblage sans consentement de Sirdata.
- Sirdata challenge la recommandation de proxification de Google Analytics de la CNIL.
- Avec quels arguments Sirdata prétend rendre Google Analytics conforme à la loi (via son produit, le Sirdata Helper) ?
- Sirdata Analytics Helper et Le Figaro.
- L'impunité de Sirdata, la CNIL est aux abonnés absents.
L'intérêt légitime, la plus grande arnaque de l'adtech
La plus grande arnaque de l'adtech ? Prétendre avoir un "intérêt légitime" (une des bases légales du RGPD) à vous surveiller :
- Vous surveiller grâce à votre adresse IP, sans consentement.
- Publicité ciblée basée sur l'intérêt légitime, avec le site web du Figaro.
- Même problématique sur l'App Le Figaro.
- Radio France, Didomi et l'intérêt légitime pour la publicité ciblée.
Les initiatives positives
Publicité et respect de la vie privée ne sont pas irréconciliables :
- Firefox et la publicité, des choix respectueux de la vie privée (dont IPA, une intéressante initiative avec... Facebook).
- Une proposition intéressante de NOYB pour remplacer les horribles bannières cookies.
Sites et Applications
Ce complexe de la surveillance publicitaire ne fonctionnerait pas si les sites web et applications refusaient de les utiliser. Mais la manne publicitaire est souvent trop tentante.
Conditions d'utilisation abusives
Beaucoup de sites jouent avec la réglementation, voire s'en affranchissent :
- Twitter n'a pas attendu Elon Musk pour cracher sur votre vie privée.
- Comment Microsoft vous force à donner votre numéro de téléphone.
- Decathlon, à fond la surveillance avec Valiuz.
- La coopérative de données personnelles Valiuz, présente sur tous les sites du groupe Mulliez.
- La pernicieuse mise à jour des conditions d'utilisation de Doctolib.
- Uber, la publicité ciblée par défaut.
- L'App Elyze, où comment constituer une base de données d'opinions politiques sans consentement.
Pour approfondir, vous pourrez lire "Decathlon, à fond la surveillance".
Fuites de données personnelles
Il n'y a pas que les conditions d'utilisations, celles-ci correspondent rarement à la réalité du terrain :
- Des éditeurs français tels que L'Équipe ou Le Bon Coin continuent de travailler avec Tapad, une société controversée ayant fermé en Europe.
- Appli SNCF Connect : vos données personnelles fuitent sans consentement.
- Cozy Cloud et la vie privée : promesses vs réalité.
- Un player vidéo sur le site des Echos (Digiteka) entraîne des fuites massives de données personnelles.
- La BBC ne respecte pas la directive ePrivacy (cookies).
- Inscription sur les listes électorales et fuites de données personnelles vers AT Internet.
- Prêt immobilier avec Pretto, surveillance publicitaire inclus.
- Les applis de météo et la fuite de votre géolocalisation, une histoire d'amour.
- Fuite de données personnelles avec l'application iOS LastPass.
- Groupama, cookies, #DarkPattern et CNAME.
Covid et fuites de données personnelles
Beaucoup de fantasmes en France sur la surveillance liée à TousAntiCovid (comparé au peu de relai médiatique sur la vidéosurveillance algorithmique par exemple, avec la France en pointe du domaine comme le dénonce La Quadrature du Net), mais j'ai néanmoins regardé l'appli TousAntiCovid :
L'hypocrisie du milieu
Dans la catégorie, on aime bien dénoncer Google et Facebook, mais on oublie de balayer à notre propre porte :
- L'hypocrisie d'Amnesty International, premier à dénoncer le capitalisme de surveillance mais aveugle sur son propre site.
- L'hypocrisie d'Amnesty International, suite.
- S'abonner pour soutenir la presse et éviter la surveillance de Google ? Une grande partie de la presse française permet à Google de gérer les abonnements (et vos données personnelles).
- Réaction du DG de Le Figaro après l'amende de la CNIL.
- Après l'amende de la CNIL, Le Figaro bafoue encore la loi.
La CNIL, un allié très frustrant
Pour vous défendre contre la surveillance publicitaire, la réglementation, incarnée en France par la CNIL. Elle est de bonne volonté, rend parfois des décisions importantes (contre Google ou Facebook), mais n'agit que trop rarement et très lentement. Manque de moyens ou complaisance avec l'adtech ? Probablement un peu des deux...
La CNIL et les cookies
La CNIL n'ayant pas envie d'appliquer la loi pour les sites d'information, les abus sont généralisés :
- Un thread de threads sur les différents types d'abus.
- Les bons élèves qui ont ensuite dégradé leur interface de consentement.
- "Continuer sans accepter", l'historique du #DarkPattern promu par la CNIL.
- "Continuer sans accepter", le #DakPattern de la CNIL généralisé sur le web.
- "Continuer sans accepter", le #DakPattern de la CNIL généralisé sur les Apps.
- "Continuer sans accepter", en bas du bandeau.
- "Continuer sans accepter", avec acceptation en haut à droite.
- Absence du bouton "Tout refuser", sur le web.
- Absence du bouton "Tout refuser", sur les Apps.
- Cookies non essentiels déposés avant acceptation, sur le web.
- Cookies non essentiels déposés avant acceptation, sur les Apps.
- Cookies non essentiels déposés après refus de consentement, sur les Apps.
- Cookie wall, sur le web.
- Cookie wall, sur les Apps.
- Dégradation de l'interface utilisateur si refus de consentement.
- Cookies et player vidéo sur l'Est Républicain.
Pour approfondir, lisez les articles suivants :
Les sanctions de la CNIL
La CNIL sanctionne donc parfois Google et Facebook, on peut regretter la lenteur des procédures et les montants pas si importants par rapport aux revenus de ces 2 sociétés, mais ces sanctions finissent par avoir de l'effet :
- Cookies publicitaires sans consentement chez Google et Facebook.
- Sur la faiblesse des sanctions de la CNIL envers Google et Facebook.
- Les sanctions du Luxembourg sont beaucoup plus conséquentes.
- La CNIL sanctionne Google sur l'absence du bouton "Tout refuser".
- Mais Google se moque toujours de la CNIL.
- Si vous cliquez sur "Tout refuser" sur la bannière Google, celui-ci vous surveille-t-il encore ? Mystère...
- L'avis (critique) de NOYB sur la CNIL.