L'Équipe, premier sur le sport et sur la surveillance

Même si vous êtes abonné, L'Équipe ne vous permet pas d'éviter la fuite de vos données personnelles

Publié par Pixel de Tracking le 1 mai 2020

L'appli iOS de L'Équipe fuite mes données personnelles dès son lancement

Après avoir investigué un média français (Le Figaro), puis un célèbre service de streaming auquel je suis abonné (Spotify), étudions maintenant LE journal sportif français : L'Équipe. Étant abonné à L'Équipe, j'ai déjà installé l'appli iOS. Afin de me rendre compte de l'expérience utilisateur lors d'une nouvelle installation, je supprime préalablement l'application.

Installons donc l'appli iOS de L'Équipe et vérifions si des tiers peuvent me pister, pour cela suivons ces étapes :

  • Fermeture des différentes applications en arrière plan.
  • Lancement de l'application Charles Proxy et activation du suivi.
  • Lancement de l'application L'Équipe.

Je suis directement connecté car je suis abonné, la suppression antérieure de l'application n'ayant pas supprimé toutes mes données. Aussi, je suis accueilli sur l'application avec un bandeau de consentement bien visible :

Bandeau consentement L'Equipe

On voit néanmoins que le bouton "accepter" est mis en avant, tandis que L'Équipe ne propose pas de bouton "refuser" mais un "paramétrer" peu visible : un bon exemple de "Dark Pattern".

Si je ne clique pas sur "paramétrer" mais que je me contente de scoller sur la page ou que je clique pour lire un article, la bannière de consentement disparaît. L'Équipe profite d'une faille dans la législation, encore tolérée par la CNIL, qui permet de considérer qu'un simple scroll sur la page vaut consentement (lire à ce propos mon article sur le mensonge des bannières de consentement).

Cliquons donc sur "paramétrer" :

L'Equipe parametrer

On voit encore un exemple de "Dark Pattern" avec le bouton "tout accepter" clairement mis en avant par rapport au bouton "tout refuser". Je clique sur "tout refuser" et suis redirigé sur l'accueil de L'Équipe.

Je stoppe alors l'enregistrement de ma session Charles Proxy et envoie les logs vers mon ordinateur pour analyse :

L'Equipe install

Surprise, malgré mon refus du tracking, je suis bien traqué par plusieurs tiers :

  • Google : vous ne pouvez échapper au géant de Mountain View. L'Équipe appelle ici plusieurs services de Firebase, la boite à outil de Google pour les développeurs, dont Crashlytics (rapports de crashs) et Remote Config (permet à L'Équipe de personnaliser son application sans avoir à effectuer de mise à jour).
  • Facebook : vous ne pouvez non plus échapper au géant de Menlo Park. L'Équipe appelle la boîte à outil de Facebook pour les développeurs, Facebook suit alors vos activitées à la trace, chaque article lu étant traqué.
  • Amazon : oui, L'Équipe réalise l'exploit de fuiter vos données personnelles à 3 GAFAs sur 4, même si vous êtes abonné ! L'Équipe utilise Amazon Transparent Ad Marketplace, la solution de "header bidding" d'Amazon (monétisation publicitaire programmatique). Problème : je suis abonné et donc je n'ai pas de publicité, aussi j'ai déjà refusé le tracking publicitaire.
  • Wonderpush : j'ai refusé les notifications mais L'Équipe fuite mes données personnelles à un service de notifications.
  • AT Internet : solution d'analytics bordelaise, qui récupère ainsi toute ma navigation.

J'ai refusé le tracking, mais L'Équipe considère que j'accepte le tracking de 512 sociétés

Venant d'installer L'Équipe et de refuser le tracking, je consulte quelques articles et observe les nouvelles requêtes envoyées par L'Équipe :

L'Equipe connecte

La liste des traqueurs s'allonge, de nouvelles sociétés me pistent :

  • Weborama : société de Data Marketing française, Weborama enrichit et vend votre profil. Weborama propose également des outils pour les annonceurs et agences telles qu'une Data Management Platform (permettant de segmenter les utilisateurs pour ensuite pouvoir les recibler) et un adserveur (permettant de diffuser des campagnes publicitaires et de mesurer leur efficacité).
  • SAP : via Gygia, racheté par SAP en 2017. SAP est un géant du CRM (concurrent de Salesforce) qui grâce à Gigya propose une "Customer Data Platform", afin de vous profiler, de suivre toutes vos interactions et de mieux vous recibler.
  • Dailymotion : le player vidéo de L'Équipe, Dailymotion a certes perdu depuis longtemps le match contre YouTube (et s'enfonce encore depuis son rachat par Bolloré), cela ne l'empêche pas de vendre son player en marque blanche aux médias, et de vous surveiller afin d'alimenter son business publicitaire.
  • Médiamétrie : via estat, outil de mesure d'audience.
  • Comscore : via scorecardresearch.com, géant du marketing qui peut ainsi vous profiler sur L'Équipe.

Regardons en détail les informations envoyées à Didomi, la plateforme française de gestion du consentement de L'Équipe (via le domaine api.privacy-center.org) :

Didomi consentement

Didomi suit le Transparency & Consent Framework de l'IAB, qui doit permettre à toutes les parties de la chaîne de publicité numérique de garantir le respect du RGPD et de la directive ePrivacy, selon les propres mots de l'IAB (le lobby des sociétés de l'adtech). Regardons ce que Ditomi stocke suite à mon refus du consentement :

  • purposes: les finalités que j'autorise ou non, ici toutes les finalités sont correctement refusées.
  • vendors: les sociétés que j'autorise ou non. La capture d'écran est coupée, mais L'Équipe via Didomi considère que j'ai donné mon consentement à être traqué par 512 sociétés de l'adtech (liste des identifiants de société renseignés dans le tableau "vendors": "enabled") !

Comment se fait-il que L'Équipe permette à ces 512 sociétés de me traquer alors que j'ai refusé le tracking ?

Un parcours du combattant pour retrouver le bandeau de consentement

Afin de retrouver le "bandeau de consentement" et de vérifier si je n'ai pas raté une option pour bloquer ces 512 sociétés, il me faut aller dans "menu", puis scroller tout en bas pour déplier le menu "mentions légales" et enfin "gestion des cookies". Là, en scrollant encore dans la page "Politique des cookies sur Lequipe.fr" sur mon iPhone, je trouve le lien CMP (Consent Management Platform) et clique dessus :

refus consentement

L'Équipe propose encore un magnifique "Dark Pattern" car il me faut cliquer sur "Par tous nos partenaires - Voir" (que j'ai encadré spécialement en rouge) pour comprendre que je n'ai pas entièrement refusé le tracking mais que j'aurais consenti à ces 512 partenaires :

tous nos partenaires - consentement

Je m'empresse de refuser ces partenaires puis d'enregistrer le changement.

Mais L'Équipe continue de fuiter mes données personnelles

Je ferme alors l'application, puis la relance et consulte quelques articles pour constater le tracking :

L'Equipe tracking off

Rien ne change, L'Équipe continue de fuiter mes informations, comme si j'avais toujours dis oui à la vente de mes données personnelles.

Sur le site web lequipe.fr, le far west dès la page d'accueil

Afin de comprendre si L'Équipe abuse aussi du tracking sur son site web, voici les étapes à suivre :

  • Désactivez votre adblocker.
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
  • Puis allez sur la page accueil lequipe.fr.
  • Ne surfez pas mais observez les différentes sociétés tierces qui vous pistent.

Vous pouvez déjà constater que sans adblocker, l'expérience utilisateur est catastrophique, le contenu étant caché par la publicité et le bandeau de consentement :

L'Equipe page accueil

Vos données personnelles enrichissent tellement de sociétés que j'ai été obligé de supprimer certaines requêtes et de faire 2 captures d'écrans :

L'Equipe web tracking accueil 1L'Equipe web tracking accueil 2

Avant même que vous n'ayez pu prendre connaissance des principaux titres, vous êtes déjà pisté par :

  • Google : omniprésent sur le web, L'Équipe monétise son inventaire publicitaire via Google Ad Manager, mesure votre comportement sur son site via Google Analytics et s'appuie sur AMP pour accélérer les temps de chargement des articles sur le web mobile.
  • Weborama : la société de "Data Marketing" française vous profile sur l'App de L'Équipe mais aussi sur son site web.
  • Oracle : via son rachat de Grapeshot, société spécialisé dans la publicité contextuelle. Grapeshot fournit les différentes acteurs de l'adtech en informations contextuelles sur les pages que vous visitez, ces sociétés pouvant alors enrichir votre profil. Voici des explications détaillées officielles sur son fonctionnement ainsi qu'une interview de Grapeshot par Ciaran O'Kane. Oracle s'est diversifié dans l'adtech via des rachats successifs et ne vend donc pas que des bases de données. Voici comment il présente son offre de marketing de surveillance : Oracle Data Cloud repose sur les technologies créées par six sociétés acquises différentes, chacune leader ou pionnière dans son domaine.
  • Realytics : une solution française de mesure de performance des campagnes TV.
  • ACPM : anciennement l'OJD, association professionnelle de médias français, ayant ici pour but de certifier l'audience des sites.
  • Bluekai : autre société de Data Marketing rachetée par Oracle, elle permet à ses clients de construire et d'enrichir votre profil pour mieux vous cibler.
  • Facebook : omniprésent également, L'Équipe utilise une de ses briques à destination des sites web, ce qui permet à Facebook de ne rien perdre de votre navigation.
  • AT Internet : via le domaine xiti.com, la société bordelaise d'analytics récupère aussi votre navigation sur le web.
  • Kameleoon : service français d'A/B testing et de personnalisation de site web, vous profile afin de vous fournir la version du site qui marchera le mieux pour l'objectif de L'Équipe (exemple : abonnement).
  • Integral Ad Science : via le domaine adsafeprotected.com, solution de contrôle des publicités diffusées. Integral Ad Science va mesurer la visibilité des publicités, si la publicité est affiché à un humain (et non à un bot), et si le contexte de diffusion est satisfaisant pour les marques (qui veulent éviter le streaming, le porno ou les contenus illégaux).
  • MediaSquare : via les domaines audiencesquare.com et mediasquare.com, plateforme de monétisation publicitaire constituée de plusieurs médias français. L'objectif étant de se réunir pour faire le poids face à des Google ou Facebook. Cette alliance fait de moins en moins sens aujourd'hui car la plupart des opportunités publicitaires sont vendues à l'unité sur le marché "programmatique" (RTB), directement par les éditeurs. Pour la petite histoire, MediaSquare est la fusion de 2 groupements concurrents, La Place Media et AudienceSquare (à l'origine : une guéguerre entre médias parisiens).
  • Pubstack : une solution de "header bidding" française. Quesako ? L'Équipe va interroger plusieurs plateformes de monétisation publicitaire, elles-mêmes vont interroger de multiples plateformes d'achat d'inventaire publicitaire, tout cela pour vous afficher une publicité (entre-temps, vos données personnelles auront fuitées à ces centaines d'acteurs (à ce propos, regardez la vidéo du navigateur Brave, "Data-Leakage in Real-Time Bidding").
  • Rubicon : une solution de monétisation publicitaire, vous piste sur un large éventail de sites web et fuite vos données personnelles à de nombreuses plateformes d'achats.
  • AppNexus : une autre solution de monétisation publicitaire, AppNexus propose également une plateforme d'achat d'espaces publicitaires, se fait maintenant appeler Xandr et a été racheté par le géant des télécoms américain AT&T.
  • Wonderpush : le service de notification déjà vu sur l'app L'Équipe.
  • Dailymotion : que vous regardiez des vidéos sur l'app ou le site web L'Équipe, Dailymotion vient enrichir votre profil publicitaire, et même le synchroniser avec des plateformes d'achat d'espaces publicitaires.
  • Moat : via le domaine moatads.com, a aussi été racheté par Oracle. Moat est concurrent d'Integral Ad Science, il propose des solutions de prévention de la fraude mais sa spécialité est la mesure de la visibilité (si la publicité est visible sur votre écran, ou cachée).
  • Comscore : géant américain du média planning, Comscore vous profile sur de nombreux sites web.

Cette liste de traceurs n'est pas exhaustive car si l'on refait le test, de nouvelles sociétés publicitaires apparaissent.

Le refus de consentement est quasi impossible, sur le web aussi

Comme sur l'application L'Équipe, essayons de refuser la fuite de mes données personnelles en cliquant sur "paramétrer" à partir du bandeau de consentement (et oui, pas de bouton refuser). Il vous faut alors cliquer sur "Refuser" pour les 5 finalités :

Refus consentement L'Equipe web - etape 1

Vous pourriez croire que c'est bon, mais l'expérience de l'app L'Équipe nous a appris le "Dark Pattern" du CMP Didomi implémenté par L'Équipe : il vous faut maintenant cliquer sur "voir nos partenaires", puis encore cliquer sur "tout bloquer" :

Refus consentement L'Equipe web - etape 2

Cliquez enfin sur "enregistrer", puis une 2ème fois sur "enregistrer" : au total, il vous aura fallu 11 clics pour refuser le consentement (!) comparé à un clic ou même une simple poursuite de navigation via un scroll sur la page pour "consentir" à vous faire pister par des dizaines de sociétés.

Une note sur ces "Consent Management Platforms" (Didomi n'étant pas seul à laisser ses clients proposer ces "Dark Patterns", nous avions constaté le même problème avec SFBX sur le site Le Figaro) : si L'Équipe a bien paramétré Didomi pour rendre le refus de consentement quasi impossible, Didomi ne devrait pas proposer cette option (et la CNIL devrait enquêter sur les quelques CMP du marché pour les contraindre à ne pas proposer de "Dark Patterns"). En d'autres termes : L'Équipe est bien responsable, mais Didomi devrait également être responsable.

Le refus du consentement sur le web ne sert à rien

Que se passe-t-il maintenant lorsque vous consultez des articles ? Comme sur son appli iOS, L'Équipe ne se gène pas pour continuer à fuiter vos données personnelles, bien que vous ayez explicitement refusé le tracking :

Pas de consentement L'Equipe 1Pas de consentement L'Equipe 2

On retrouve beaucoup des tiers déjà vu, et quelques traceurs supplémentaires :

  • LinkedIn : vous avez un profil LinkedIn ? Vous êtes également profilé via votre navigation sur le web, LinkedIn vend votre profil aux publicitaires.
  • Adomik : solution française pour optimiser sa monétisation publicitaire, propose une solution de header bidding et analyse la performance des différentes plateformes de monétisation publicitaire.
  • Outbrain : leader mondial de la recommandation de liens sponsorisés, les articles aux titres putassiers en bas des articles ? C'est souvent eux !
  • SpotX : via le domaine spotxchange.com, racheté par RTL Group, plateforme de monétisation publicitaire spécialisé dans la vidéo.
  • Zemanta : racheté par Outbrain, plateforme d'achat d'espaces publicitaires spécialisé dans la publicité native (publicité qui reprend les codes du contenu, comme la publicité sur Facebook ou Twitter par exemple).

Connecté sur le web mais toujours surveillé

Je me connecte maintenant à mon compte L'Équipe. Pour rappel, j'ai refusé tous les traceurs et je paye mon abonnement à L'Équipe tous les mois, je ne reçois donc pas de publicité. Mais encore une fois, cela n'empêche pas L'Équipe de fuiter mes données personnelles à Google, Facebook, LinkedIn, Comscore, Dailymotion, AppNexus, AT Internet, Adomik et Médiamétrie :

L'Equipe web connecte

Payer et refuser les traqueurs ne suffisent donc pas à empêcher L'Équipe de fuiter vos données personnelles.

Les mensonges de la politique de confidentialité

Si l'on lit maintenant la politique de confidentialité de L'Équipe, et que l'on recherche "publicité") :

confidentialite - L'Equipe

L'Équipe déclare donc avoir votre consentement pour vous profiler et afficher de la publicité. Comme on l'a vu, L'Équipe fuite vos données vers de nombreux acteurs (Google, Facebook, Amazon, Weborama, Comscore, SAP) qui font du profilage publicitaire sans votre consentement.

L'Équipe déclare également que vous pouvez gérer les cookies publicitaires dans la page d'informations cookies ou signaler votre opposition au profilage publicitaire dans votre compte, mais nous avons déjà vu que rien ne fonctionnait.

Au delà de ces mensonges, L'Équipe semble oublier que le monde a changé et que la consultation de son site web est possible hors d'un navigateur. Il n'est jamais fait mention des applications iOS et Android sur sa Politique de Confidentialité, sa Politique des cookies ou sa page "utilisation des cookies".

Un ménage nécessaire sur les sites média

Nous avions déjà noté que la surveillance publicitaire était généralisé sur les sites média avec Le Figaro, L'Équipe ne déroge pas à la règle et y ajoute une touche supplémentaire : être abonné et ne pas recevoir de publicité ne suffit pas à limiter le tracking. Comme nous l'avons vu, L'Équipe se moque de vous et de votre vie privée à plusieurs niveaux :

  • L'Équipe fuite vos données personnelles dès lancement du site web ou de l'appli iOS, avant même que vous ayiez pu donner votre consentement.
  • L'Équipe et son partenaire Didomi font tout pour vous empêcher de refuser le consentement.
  • Même si vous avez refusé le consentement, L'Équipe continue de fuiter vos données personnelles.
  • Même si vous êtes connecté et que vous payez, L'Équipe continue de fuiter vos données personnelles.
  • La politique de confidentialité de L'Équipe semble oublier l'univers applicatif et vous ment sur le fait qu'il demande votre consentement pour le profilage publicitaire.

Sans sanctions de la CNIL, et même si l'expérience utilisateur est dégradée, il est malheureusement peu probable que L'Équipe change. À titre individuel, vous pouvez installer un adblocker tel que uBlock Origin sur le web ou des applis telles que DNSCloak, Adguard ou NextDNS sur iOS.