Google associe vos données de surf à vos données personnelles, et il est difficile d'y échapper

Vos paramètres de compte Google ne disent pas tout sur l'étendue du flicage opéré par le géant américain

Publié par Pixel de Tracking le 7 janv. 2020

Comme évoqué dans mon article sur les services Google qui captent vos données personnelles, Google offre de multiples services captant les données personnelles. Le grand public est au courant des services B2C, mais ignore souvent qu'il est également traqué par les services publicitaires et analytics de Google sur des sites tiers.

À l'origine, le rachat de l'outil publicitaire Doubleclick

Ce flicage généralisé sur le web et sur les applications a démarré avec le rachat de Doubleclick en 2008, mais jusqu'en 2016, Google s'interdisait d'associer vos données de surf Doubleclick avec vos données personnelles sans votre consentement positif.

  • Voici ce que proclamait Google jusqu'en octobre 2016 : “we will not combine DoubleClick cookie information with personally identifiable information unless we have your opt-in consent
  • Voici la nouvelle politique de Google après octobre 2016 : "Depending on your account settings, your activity on other sites and apps may be associated with your personal information in order to improve Google’s services and the ads delivered by Google."

Grâce à l'équipe de Framasoft, la remarquable étude "Google data collection" a été traduite en français. Cette étude indique comment Google associe vos données de Doubleclick avec vos données personnelles Google : si vous avez déjà un cookie doubleclick, au moment de la connexion à votre compte Google, vous envoyez votre token d'authentification Google ainsi que votre cookie à Doubleclick dans la même requête, ce qui permet de croiser vos données.

Peut-on désactiver cette association ?

Regardons maintenant si l'on peut désactiver cette association via les paramètres de son compte Google. En apparence oui, dans Google Compte > Données et personnalisation > Commandes relatives à l'activité, il faut décocher "Inclure l'historique Chrome et l'activité liée aux sites, aux applications et aux appareils qui utilisent les services Google".

commandes activité google

Suivez alors les étapes suivantes :

  • Désactivez votre adblocker
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation)
  • Surfez alors sur lemonde.fr, site utilisant les services Doubleclick (Google Ad Manager, l'adserveur éditeur et le SSP proposé par Google)
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" et filtrez sur doubleclick
  • Scrollez sur la page (lemonde.fr considère que le scroll vaut acceptation des cookies, et déclenche ensuite le tracking publicitaire)
  • Dans l'onglet "Network" de la console, vérifiez votre cookie doubleclick

Via lemonde.fr, doubleclick vous suit maintenant sur le web avec le cookie "IDE" :

lemonde doubleclick

Vous allez maintenant vous connecter à votre compte Google :

  • Allez sur google.com et ouvrez la console Chrome
  • Connectez vous et filtrez la console Chrome sur doubleclick

Google envoie à doubleclick votre token d'authentification ainsi que votre cookie doubleclick "IDE", permettant d'associer vos données pseudonymisées Doubleclick à vos données personnelles Google. Mais à la différence du rapport "Google Data Collection", vous avez décoché l'inclusion de l'activité liée aux sites qui utilisent des services Google. Pourquoi Google effectue-t-il toujours cette association ?!

connexion google doubleclick

Doubleclick enregistre cette association dans un nouveau cookie, "DSID" :

connexion google doubleclick cookie DSID

Voyons ce que Google indique sur ce cookie dans ses règles de confidentialité : "Nous utilisons également des cookies appelées “AID”, “DSID” et “TAID” afin de suivre votre activité multi-appareils lorsque vous êtes déjà connecté à votre compte Google depuis un autre appareil. Nous procédons de la sorte afin de coordonner les publicités que vous voyez depuis différents appareils et mesurer les événements de conversion".

En réalité, Google est plus loquace sur l'aide en ligne de ses outils B2B :

  • Google Analytics : "Lorsque les utilisateurs activent la personnalisation des annonces, Google peut obtenir une vue générale de leur interaction avec une propriété en ligne via différents navigateurs et appareils. Par exemple, cela vous permet d'analyser la manière dont les utilisateurs parcourent les produits de votre site sur leur téléphone, puis reviennent plus tard effectuer un achat via leur tablette ou ordinateur portable. Grâce au volume important de données générées par les utilisateurs ayant activé la personnalisation des annonces, Google peut produire des estimations sur le comportement multi-appareil de l'ensemble de votre base d'utilisateurs."
  • Doubleclick Campaign Manager (son adserveur annonceur) : "Les rapports sur les conversions multi-environnements associent les cookies (pour le Web), les ID d'appareil réinitialisables (pour les applications mobiles) et les connexions Google anonymes pour identifier un utilisateur dans les différents environnements."

Si vous souhaitez vous opposer à ce suivi "multi-appareil", c'est donc compliqué. Vous pouvez donc désactiver la personnalisation des annonces : "Ces cookies peuvent provenir des sites web google.com/ads google.com/ads/measurement, ou googleadservices.com. Si vous ne souhaitez pas que les publicités que vous voyez soient coordonnées entre vos appareils, vous avez la possibilité de vous opposer à la Personnalisation des annonces depuis paramètre des annonces".

Cela vous permettra de disparaître des rapports Google Analytics mais apparemment pas des rapports Doubleclick Campaign Manager.

Conclusions

Ce test nous fait douter du respect accordé par Google à vos choix concernant vos données personnelles :

  • Vous pouvez décocher "Inclure l'historique Chrome et l'activité liée aux sites, aux applications et aux appareils qui utilisent les services Google", mais Google continuera d'envoyer votre token d'authentification à Doubleclick, permettant l'association de vos données pseudonymisées à vos données personnelles. Comment contrôler que Google n'associe pas effectivement vos données ? À part via un audit interne, c'est aujourd'hui impossible.
  • Doubleclick vous suit sur tous vos appareils lorsque vous êtes connectés à votre compte Google grâce au cookie "DSID", vos paramètres de compte Google n'y peuvent rien.
  • Si vous souhaitez rester connecté à votre compte Google, l'option la plus directe pour arrêter ce flicage est d'installer un adblocker.