Monoprix brade vos données personnelles

Votre panier d'achat Monoprix est le secret le moins bien gardé du web

Publié par Pixel de Tracking le 13 avr. 2020

Le site web multiplie les traqueurs, dès la page d'accueil

En ces temps de confinement, la grande distribution connaît un boom des commandes en ligne (ainsi que des indisponibilités fréquentes). Ainsi, ayant des habitudes d'achat chez Monoprix, j'ai voulu en savoir plus sur la manière dont leur site web gérait mes données personnelles. Démarrons l'investigation sur monoprix.fr :

  • Désactivez votre adblocker.
  • Supprimez les cookies sur Chrome (Paramètres > Paramètres avancés > Effacer les données de navigation), ainsi vous êtes déconnecté de votre compte Google.
  • Ouvrez la console Chrome (⌘+Option+J sur Mac, Ctrl, Shift et J sur PC), onglet "Network" ou lancez Charles Proxy.
  • Puis allez sur la page accueil monoprix.fr.
  • Ne surfez pas mais observez les différentes sociétés tierces qui vous pistent.

Et la liste des traqueurs est longue, j'ai été obligé d'en faire 2 captures :

accueil1accueil2

Notez que tous ces traqueurs ont été déclenchés avant même d'avoir pu jouer avec le bandeau de consentement pour signifier que je ne voulais pas être traqué. Ces bandeaux sont aujourd'hui malheureusement une sombre blague, car en plus d'être insupportables pour l'utilisateur, ils fonctionnent rarement correctement.

baniere cookies monoprix

Voici les sociétés qui vous pistent dès la page accueil Monoprix, sans consentement :

  • Google : Via son service publicitaire à destination des entreprises Doubleclick, et via Google Analytics.
  • AB Tasty : outil français d'A/B testing et de personnalisation de site.
  • Commanders Act : via commander1.com, outil français de Tag Management, Celui-ci est censé déclencher les autres traceurs lorsque les conditions sont réunies, selon des règles pré-établies par Monoprix. Visiblement, Monoprix ne prend pas en compte votre consentement pour déclencher de nombreux tags.
  • Effiliation : outil d'affiliation français. Comment marche l'affiliation ? Un site web qui fera la pub de produits Monoprix touchera une commission si un utilisateur clique sur cette pub pour ensuite acheter un produit.
  • Evidon : renommé Crownpeak, propose un outil de recueil de consentement aux sites web.
  • Eulerian : outil français d'analytics, d'attribution (déterminer quel campagne publicitaire est la plus efficace) et de Data Management, il permet à Monoprix de mieux vous profiler.
  • Facebook : on ne présente plus, les traceurs Facebook sont malheureusement omniprésents sur le web.
  • Salecycle : outil de data management pour les sites d'e-commerce, analyse les comportements clients pour maximiser les ventes de Monoprix.
  • 3W.Relevanc : alias 3WRégie, se présente modestement comme "le leader français dans la collecte, la mesure, le ciblage et la monétisation d’audiences et de données transactionnelles".
  • Mediarithmics : plateforme d'achat d'espaces publicitaires et outil de data management français, dont j'avais déjà évoqué le rôle pour Showroomprive et La Fnac.
  • Outbrain : leader mondial des articles sponsorisés, vous avez surement remarqué les titres putassiers en bas des articles de presse, c'est majoritairement eux.
  • AppNexus : via le domaine adnxs.com, racheté par AT&T, c'est un des leaders de l'adtech (loin derrière Google), fournit une plateforme d'achat d'espaces publicitaires pour les annonceurs, et une solution de monétisation pour les éditeurs.
  • CapitalData : via kdata.fr, société française qui vous profile en mélangeant vos données online et offline. D'après leur site web : En créant l’interface entre points de contacts numériques (e-mails, consultation de contenus, achat en ligne) et les événements ou interactions générées dans la vie réelle (visites en magasin, panier d’achats), nous facilitons la mise en place de stratégies d’activations digitales pour développer les ventes incrémentales en magasin.

les bons cookies monoprix

Chez Monoprix, tous les cookies sont les bienvenus, même les plus intrusifs.

Refusez le consentement, les traqueurs tiers sont toujours omniprésents

Si maintenant, à la différence de la quasi totalité des internautes, vous décidez de cliquer sur le bandeau de consentement et de refuser la fuite de vos données personnelles vers des tiers :

Monoprix - refus tracking

Notez qu'il faut cliquer sur le bouton rouge "J'accepte" pour refuser le tracking, mais que les outils de mesure d'audience, de personnalisation de site et de publicité devraient maintenant être désactivés. Continuez alors votre surf sur Monoprix et observez les requêtes envoyées par votre navigateur :

Monoprix - consentement negatif

Le tracking continue, avec les mêmes sociétés marketing dont on a parlé précédemment (dont Google et Facebook, toujours omniprésents), mais aussi de nouvelles sociétés marketing :

Connectez-vous et le tracking devient permanent

Sans être connecté, il est encore possible de supprimer les cookies. Également, vos données personnelles ne sont pas associées à des données nominatives. Que se passe-t-il lorsque vous vous connectez à votre Monoprix afin de passer votre commande ? Pour vérifier, j'ai d'abord refusé le tracking tiers via le bandeau de consentement proposé par Monoprix, puis je me suis connecté.

Là encore, la liste des traqueurs est longue et j'ai du en faire 2 captures :

Monoprix - tracking connecté 1Monoprix - tracking connecté 2

Quelles sont les tiers qui récupèrent des données personnelles permanentes ?

  • Salecycle : cette société récupère mes données de navigation (tous les produits Monoprix consultés) ainsi que mon prénom, mon nom, mon numéro de téléphone et mon email !
  • CapitalData : via kdata.fr, cette société récupère un hash de mon email, ce qui lui permet de me traquer de manière permanente, quel que soit le terminal avec lequel je me connecte, et quelle que soit l'application (pas simplement sur Monoprix). Elle récupère aussi mon id de compte Monoprix. Elle récupère également un fingerprint de mon ordinateur, ce qui est une autre technique "sale" pour me traquer. Elle synchronise également ses identifiants utilisateur avec AppNexus, la plateforme d'achat d'espaces publicitaires (ce qui lui permet de me recibler).
  • 3W.Relevanc : alias 3WRegie, en plus de récupérer un hash de mon email, mon id de compte Monoprix et l'ensemble de mes produits consultés, cette société récupère également mon age, mon sexe et mon code postal.
  • Target2Sell : récupère mon id de compte monoprix ainsi que ma navigation.
  • Criteo : le célèbre retargeter français récupère mon id de compte monoprix ainsi que ma navigation.
  • Rakuten Advertising : via nxtck.com, récupère un hash de mon adresse email ainsi que ma navigation.

Ainsi Monoprix fuite des données personnelles permanentes et même parfois nominative alors que j'ai refusé le tracking tiers, brisant clairement le contrat de confiance que je pourrais avoir. Que se passe-t-il si jamais j'accepte le tracking tiers (c'est à dire en ne paramétrant pas le bandeau de consentement mais en le fermant) ? Exactement la même chose, les mêmes traqueurs sont déclenchés, avec les mêmes données personnelles.

Monoprix sous-traite sa page de "contrôle" des cookies

Si l'on consulte maintenant la "Charte de protection des données à caractère personnel" de Monoprix, on peut y lire un passage sur les retargeters 3W RelevanC, Criteo et Capital Data :

Monoprix - publicites cibles

Quelle est la base légale de cette collecte ? Surement pas l'intérêt légitime, mais Monoprix n'a jamais recueilli mon consentement (et l'a même bafoué).

Monoprix ne mentionne ici pas les autres sociétés tierces qui collectent mes données personnelles, mais bien caché, propose un lien vers une page hébergée par Evidon. Cette page est une page de "opt-out" à l'ancienne où certains des partenaires de Monoprix proposent d'installer un cookie de "opt-out" sur votre navigateur (tandis que d'autres partenaires ne proposent rien).

L'appli iOS Monoprix, gérée par un prestataire, brade aussi vos données personnelles

On pourrait croire que l'appli iOS Monoprix permet de faire ses courses, il s'agit en fait juste de pouvoir gérer ses coupons. Regardons les requêtes envoyées via Charles Proxy :

Monoprix - iOS

Il n'y a aucun appel au domain monoprix.fr, l'appli est hébergée par Snapp, une agence bordelaise, preuve que Monoprix a un retard considérable dans sa stratégie numérique. Mais vous n'échapperez pas aux traqueurs avec :

  • Adobe : via demdex.net et campaign.adobe.com, le géant américain ne propose pas seulement Photoshop mais aussi une suite nommée Adobe Marketing Cloud. Monoprix (ou plutôt Snapp) fait fuiter mon adresse email à Adobe.
  • Facebook : l'appli Monoprix utilise la boite à outil Facebook.
  • Google : utilisé pour sa suite Firebase.
  • Tune : via mobileapptracking.com, outil d'attribution, permet à Monoprix de comprendre quelles campagnes publicitaires fonctionnent.
  • Segment : le tag manager pour Apps qui permet de renvoyer vos données personnelles à d'autres prestataires.

Et manque de chance, rien n'est fait pour désactiver ces traqueurs. On pourrait se dire que pour utiliser une appli de coupons, il faut déjà être d'accord avec le fait de brader ses données personnelles, mais le minimum serait que Monoprix informe ses clients et leur laisse le contrôle.