Abonné à Spotify Premium, mais toujours pisté

Payer n'empêche pas Spotify de fuiter vos données personnelles à Google et au who's who du marketing de surveillance

Publié par Pixel de Tracking le 25 avr. 2020

La publicité, une part marginale des revenus de Spotify

Spotify opère sur un modèle "freemium" : vous pouvez écouter gratuitement le service de streaming musical ("Spotify Free") mais vous aurez des limitations et de la publicité. La version gratuite est un produit d'appel pour la version payante.

Si l'on regarde les résultats financiers du dernier trimestre 2019, les utilisateurs de "Spotify Free" représentent 56% de l'ensemble des utilisateurs, mais seulement 11% des revenus de Spotify.

Spotify Q4 2019

Pourtant, Spotify vend agressivement ses utilisateurs "Free"

Si la publicité représente une part marginale des revenus de Spotify, cela ne l'empêche pas d'avoir recours au programmatique, le mode de vente de l'inventaire publicitaire le moins respectueux de la vie privée (lire à ce propos la page explicative de Brave). Spotify accélère même son développement publicitaire indique Julie Clark, la responsable publicité programmatique chez Spotify :

[...] With that said, we still saw double digit rates of growth across each of our Direct, Programmatic, and Ad Studio channels. During Q4 we introduced Dynamic Ad Breaks (“DAB”) in the US and UK which added significant sellable inventory. We plan to expand this capability into 10 more markets in Q1 and will continue to scale these capabilities as content becomes increasingly available over our total geographic footprint.

Aussi, comme le remarque Pat Walshe dans cet excellent thread Twitter, Spotify se vante sur son site pour les annonceurs de très bien connaître vos goûts, vos humeurs, votre comportement online et même de révéler votre comportement offline :

Spotify - the more they stream

Quelles sont ces habitudes musicales "clés", permettant de mieux vous profiler et donc de mieux vous vendre aux marques ?

Habitudes Spotify

Pour vous profiler, Spotify se base aussi sur des données tierces :

Spotify audience research

Spotify étant déjà particulièrement doué pour analyser votre comportement et fournir des recommandations (comme en témoigne votre playlist Discover Weekly), on peut leur faire confiance pour appliquer leur science à la publicité comportementale, fuitant par la même occasion les données personnelles de ses utilisateurs "Free" à des tiers publicitaires.

Mais étant abonné à Spotify Premium et n'ayant donc pas de publicité, je ne m'attendais à ne pas être pisté par des tiers.

Spotify pour iOS fuite mes données personnelles

Voici les étapes suivies pour observer si l'appli iOS de Spotify fuite mes données personnelles :

  • Fermeture des différentes applications en arrière plan.
  • Lancement de l'application Charles Proxy et activation du suivi.
  • Lancement de l'application Spotify (en mode connecté, abonnement Premium), puis écoute de quelques musiques.
  • Export des logs de ma session Charles Proxy vers mon ordinateur.

Spotify iOS

Surprise, Spotify Premium appelle bien des tiers :

  • Google : omniprésent, Spotify appelle ici Crashlytics (rapports de crashs), outil racheté à Twitter en 2017 et intégré à sa boite à outils pour développeurs, Firebase. Si l'appel à un service Google peut être débattu, un outil de rapports de crash fait sens, même pour une application payante.
  • Facebook : omniprésent, Facebook fournit aussi sa boîte à outils pour développeurs. Cette intégration ne semble pas fuiter d'informations personnelles spécifiques (je vois passer un simple appel à Facebook, sans identifiant supplémentaire). Néanmoins, quel intérêt ? Je me connecte à Spotify via mon adresse email et non via Facebook, donc Spotify ne devrait pas avoir de raisons d'appeler Facebook.
  • Adjust : société de marketing mobile proposant plusieurs services dont de l'analytics, de l'attribution (quelle campagne publicitaire a permis l'installation de Spotify) et du retargeting publicitaire. Clairement, je ne paie pas Spotify pour voir ce genre d'entreprises me pister.
  • Comscore : via scorecardresearch.com, société spécialisée dans les études de marché. Ici également, je suis profilé sans avoir donné mon consentement.

À noter pour Facebook, je n'ai pas de compte et j'avais déjà désactivé les "Données Facebook" dans les paramètres de confidentialité Spotify :

Spotify Facebook

Et pourtant, Spotify continue d'appeler Facebook.

Comment éviter ce tracking ? Spotify ne présentant pas d'opt-out pour son appli iOS (plus de détail plus bas dans l'article), il vous faudra passer par des solutions sophistiquées telles que les applis DNSCloak, Adguard ou NextDNS.

Spotify pour Mac, drogué aux solutions publicitaires de Google

Regardons maintenant si le client Mac de Spotify fuite également des données personnelles vers des sociétés publicitaires. Pour cela, j'ai suivi les mêmes étapes mais avec l'application Charles Proxy pour Mac :

Spotify Mac

Spotify envoie donc vos données personnelles également sur l'appli Mac, vers ces tiers :

  • Google : via de multiples domaines, Spotify utilise Google Ad Manager pour monétiser son inventaire publicitaire. Problème : j'utilise la version Premium de Spotify, je ne reçois pas de publicité. Pourquoi Spotify fuite-t-il mes données personnelles à la solution publicitaire de Google ?
  • Comscore : via scorecardresearch.com, ce traqueur est déjà présent sur l'appli iOS, on le retrouve sur l'appli Mac.
  • Qualaroo : outil de recueil de feedbacks utilisateurs, permet à Spotify de segmenter ses utilisateurs pour n'envoyer des sondages qu'à certains utilisateurs. Cette société récupère donc votre profil et votre usage de Spotify. À noter qu'elle est responsable de l'appel à Amazon (via le domaine s3.amazonaws.com, elle héberge sa librarie javascript sur AWS).

Si l'on zoome sur les informations envoyées à Google Ad Manager lors de l'appel publicitaire (la requête https://securepubads.g.doubleclick.net/gampad/ads?), on se rend compte que Spotify fuite pas mal d'informations à Google dont :

  • Votre identifiant publicitaire Doubleclick, via le cookie "IDE". Il vous suit partout sur internet et donc même sur des applis Desktop grâce à Spotify.
  • Votre âge.
  • Votre sexe.
  • L'identifiant publicitaire Spotify : aduserid.
  • Votre playlist d'écoute : Discover Weekly, etc.
  • L'artiste écouté (encodé) : artist.
  • Votre plan Spotify : ici Spotify Premium.

Comment éviter ce tracking ? Spotify ne proposant pas de vrai opt-out sur son appli Mac (plus de détail plus bas dans l'article), il vous faudra passer par des solutions sophistiquées telles qu'un Pi-hole ou Adguard.

Sur le player web, le Far West

Si je n'utilise pas au quotidien le player web, préférant utiliser l'appli Mac, j'ai voulu me rendre compte du tracking sur le web. Avant de me connecter, l'utilisation des traqueurs par Spotify est déjà massive :

Spotify web player 1Spotify web player 2

Les sociétés qui récupèrent vos données personnelles grâce à Spotify sont nombreuses, c'est un véritable who's who du marketing de surveillance :

  • Google : Spotify est dopé aux solutions de Google et utilise ici Google Tag Manager, Google Analytics et Google reCaptcha.
  • TowerData : via rlcdn.com alias Rapleaf, société qui s'est fait connaître en 2010 en récupérant sauvagement les informations utilisateurs de Facebook et en revendant les identités enrichis (bien avant le scandale Cambridge Analytica). Rapleaf a été racheté en 2013 par TowerData, un énorme data provider qui vous connait probablement très bien.
  • Nielsen : via myvisualiq.net alias VisualIQ, un service d'attribution (permet à Spotify de déterminer quelles campagnes publicitaires sont les plus efficaces) racheté par le géant des études de marché Nielsen en 2017. Nielsen vous traque aussi via exelator.com alias eXelate, un data provider racheté en 2015.
  • Adobe : via demdex.net alias Demdex, la Data Management Platform racheté par Adobe en 2011. Via des rachats successifs, Adobe n'est pas seulement un géant des outils créatifs (Photoshop, InDesign, Lightroom...), mais aussi du marketing.
  • Comscore : via scorecardresearch.com, ce traqueur est donc partout, après les applis iOS et Mac, on le retrouve sur le player web.
  • Tapad : ce data provider vous connaît aussi très bien, il est capable de faire le lien entre les différents appareils que vous utilisez (smartphone, ordinateur...).
  • Oracle : via bluekai.com alias BlueKai, une Data Management Platform racheté par Oracle en 2014. Vous connaissiez SQL ? Oracle a changé. Tout comme Adobe, Oracle s'est diversifié via des rachats successifs pour maintenant proposer aux entreprises un "Marketing Cloud".
  • Facebook : impossible d'y échapper. Facebook n'est pas appelé ici directement par Spotify mais par Visual IQ (alias Nielsen), Facebook et Nielsen ont un accord de partage de vos données personnelles.
  • Qualaroo : outil de recueil de feedbacks utilisateurs déjà vu sur l'application Mac.

Seulement, vous ne pouvez pas écouter de la musique sans être connecté. Est-ce que Spotify va limiter les traqueurs lors de ma connexion vu mon abonnement Premium ? Regardons les traqueurs envoyés une fois connecté :

Spotify web player connecte 1Spotify web player connecte 2

Pas de chance, Spotify ne limite pas le tracking, même si vous êtes abonné Premium ! Et cette fois-ci, les identifiants sont associés à votre compte Spotify, donc très intéressants pour ces sociétés de marketing qui peuvent ainsi vous reconnaître, vous suivre sur votre ordinateur et faire le lien avec vos autres appareils. Et mention spéciale à Nielsen qui via Visual IQ synchronise votre identifiant à plusieurs autres Data Providers (encadré en rouge) : TowerData, Oracle, Adobe, Facebook et Tapad !

Comment éviter ce tracking ? Spotify ne fournissant pas d'opt-out pour le web (plus de détail plus bas dans l'article), une solution raisonnable est d'utiliser un ad-blocker tel que uBlock Origin (extension Firefox ou Chrome).

Une politique de confidentialité bavarde mais trop floue

Si l'on lit maintenant la politique de confidentialité de Spotify, en section 6, Spotify indique la raison pour laquelle Spotify traite vos données personnelles :

base juridique Spotify publicite personnalise

Spotify se base donc sur l'intérêt légitime pour vous servir de la publicité personnalisée, en contradiction avec la RGPD. Si l'on regarde maintenant la section 7 pour découvrir avec quelles sociétés Spotify partage vos données personnelles :

destinataires donnees personnelles

L'information, noyée dans une longue politique de confidentialité, est incroyablement floue : qui sont ces destinataires ? Que font-ils exactement de vos données personnelles ? Par exemple, il aurait fallu détailler pourquoi Spotify appelle Facebook et fuite vos données personnelles à Google.

Spotify a également un joli "Centre de confidentialité" mais cette page ne nous avance pas plus concernant la publicité, la seule indication étant :

Nous collectons et utilisons vos données personnelles pour les raisons suivantes : [...] Vous fournir des fonctionnalités, des informations, de la publicité ou tout autre contenu basé sur votre emplacement spécifique.

Une mascarade de contrôle sur les données personnelles

Pour comprendre s'il est possible de désactiver le tracking, j'ai d'abord consulté le "Centre de Confidentialité", qui m'a simplement redirigé vers la page "Paramètres de confidentialité" de mon compte.

Sauf que cette page permet juste de refuser le traitement de mes données Facebook (par défaut, l'option est activée, vous avez dit consentement ?) et de refuser la publicité personnalisée (option activée par défaut également mais qui ne me sert à rien car je n'ai pas de publicité en version Premium) :

Spotify publicite personnalise

Spotify a également une page sur la "politique cookie". Sur mobile, Spotify mentionne la possibilité de limiter le tracking publicitaire via iOS :

Par exemple, vous pouvez utiliser le paramètre « Limiter le suivi publicitaire » (sur les appareils iOS)

Pas de chance, j'ai déjà activé ce paramètre (qui n'a donc pas l'effet annoncé) :

Suivi publicitaire limite

Spotify informe également de la possibilité de bloquer les cookies sur l'application de bureau (l'appli Mac donc) :

Vous pouvez à tout moment retirer votre consentement à l'utilisation de cookies sur l'application de bureau Spotify. Si vous ne souhaitez plus recevoir de cookies, accédez à la page Paramètres de compte et activez la fonctionnalité de refus des cookies de bureau. Lorsque cette fonction est activée, elle bloque les cookies de l'installation de l'application de bureau Spotify sur cet ordinateur. [...] Le choix du blocage des cookies sur l'application de bureau Spotify risque de nuire à votre expérience de Spotify.

Ce consentement que je n'ai jamais donné, je pourrais donc le retirer (mais il pourrait nuire à mon expérience Spotify, sans que je sache pourquoi). Après avoir encore bien cherché, il ne faut pas aller sur la page "Paramètres de compte", mais sur "Préférences" :

Preferences Spotify Mac

Et là, il vous faut scroller puis repérer le "Afficher les paramètres avancés" :

Scroll Spotify Mac Preferences

Puis encore scroller jusqu'en base pour découvrir, bien caché, "Confidentialité" et ce "Dark Pattern" de toute beauté :

Confidentialite Spotify Mac

Le paramètre est décoché, on pourrait donc croire que le tracking est désactivé (comme il l'est pour Facebook et pour les publicités personnalisés). Erreur ! Il faut cocher le paramètre pour bloquer les cookies. Et Spotify est là pour vous faire peur en indiquant que l'activation du paramètre peut avoir un impact négatif sur l'expérience Spotify... Quel "impact négatif" ? Pas de détail.

J'ai donc coché le paramètre et redémarré Spotify pour étudier "l'impact", malheureusement les traqueurs sont encore là :

Spotify traqueurs sans cookies

En particulier, s'il ne dépose plus le cookie IDE via doubleclick.net, Google continue de recevoir toutes vos autres informations personnelles, dont l'identifiant publicitaire Spotify aduserid qui est resté le même. Spotify se moque de vous en empêchant Google de déposer son cookie IDE mais en lui permettant derrière de vous identifier via l'identifiant Spotify (encore plus invasif car cet identifiant permet à Google de vous reconnaître quelque soit votre appareil).

L'identifiant publicitaire Spotify devrait pourtant être bloqué selon la définition de Cookies donnée par Spotify :

Cookies Spotify

Spotify a d'ailleurs une relation très particulière avec Google, et pas simplement pour la publicité : Spotify a décidé de migrer son infrastructure sur le Cloud Google, ce qui constitue pour Google Cloud Platform un beau cas d'usage dans sa lutte contre Amazon AWS et Microsoft Azure.

Quelle action contre Spotify ?

Une plainte est déjà en cours auprès de la CNIL Suédoise, concernant le droit d'accès aux données personnelles (article 15 de la RGPD). Mais aucune action n'a encore été entreprise concernant la fuite de données personnelles, il y aurait pourtant de quoi lancer une investigation :

  • Spotify fuite vos données personnelles vers des tiers sans obtenir votre consentement au préalable.
  • En particulier, Spotify fuite vos données personnelles à Google et Facebook.
  • Le player web de Spotify fuite vos données personnelles au who's who du marketing de surveillance.
  • Spotify ne fournit aucun opt-out sur son appli iOS.
  • L'opt-out fournit par Spotify sur son appli Mac est clairement un "Dark Pattern" et ne fonctionne pas.
  • La politique de confidentialité s'appuie sur l'intérêt légitime pour la publicité personnalisée, et ne respecte donc pas la RGPD.
  • La page d'informations cookies donne des informations fausses, Spotify ne fournissant pas les contrôles nécessaires au refus des cookies.

Et tout ceci même si vous payez un abonnement à Spotify !