Ce week-end, j’étais à un anniversaire de mariage. J’y ai rencontré de nouvelles têtes, et comme cela se fait souvent, j’ai expliqué ce que je fais dans ma vie professionnelle.
Dans ces cas-là, je commence en douceur « Je travaille dans la publicité digitale ». Je lis souvent dans les yeux de mes interlocuteurs une déception « Il avait l’air sympa »… J’enchaîne alors en précisant « On fait du ciblage publicitaire et de la mesure en respectant la vie privée ». Petit éclair d’intérêt dans leur regard « Ah ? ». « Oui, on ne traque pas les gens, on fait des stats et de l’IA, sans identifiants, sans cookies ». « Enfin ! Mais c’est génial, ça ! Il y en a marre de ces pubs qui nous espionnent !!! »
J’ai renouvelé l’expérience trois fois ce week-end, et des dizaines de fois ces dernières années. 100% de réussite.
Mon échantillon n’est sûrement pas représentatif, mais j’ose prendre le risque d’affirmer « les gens ne veulent pas être espionnés à des fins publicitaires ».
J’en vois déjà qui se lèvent pour me rétorquer « Oui, mais ils veulent tous que la publicité soit personnalisée ! ». On est d’accord : espionner non, personnaliser oui !
Il y a quelques semaines, j’ai pris la parole dans une conférence. Environ 300 personnes dans la salle, toutes professionnelles de la publicité digitale. La table ronde ne s’est pas passée comme je pensais, mais j’avais prévu de poser une question à l’assemblée « levez la main si vous avez un adblocker ? ».
J’ai déjà réalisé l’expérience en petit comité : entre 30% et 50% des acteurs du marché ont un adblocker. Certains peuvent ne pas en avoir au travail (il faut pouvoir vérifier que la campagne que l’on suit fonctionne), mais ils en ont un à la maison.
Et lors de cette conférence, tout le public hochait la tête d’approbation lorsque les intervenants louaient les performances des identifiants et de la data…
A titre personnel, personne ne veut être espionné, mais dès qu’on devient professionnel, on accepte d’espionner les gens ? 🤔
Certains me diront : « c’est juste une question de performance ». Et bien non ! A part dans un cas très spécifique (retargeting de visiteurs ou d’acheteurs), la performance n’est pas meilleure en espionnant les internautes.
Mais les habitudes sont là, ancrées profondément. Les présupposés ont la vie dure. Et celui qui met en œuvre des solutions de collecte de données personnelles, qui espionne les internautes à des fins publicitaires, celui-ci fait à autrui ce qu’il ne voudrait pas qu’on lui fit !
Quel bonheur c’est pour nous chez Implcit de travailler sur des méthodes en phase avec nos valeurs ! Quel bonheur de ne pas être schizos !
Janus, le dieu aux deux visages, divinité préférée des schizos 😝
Il y a quelques mois, j’ai d’abord cru à une rumeur : la CNIL et son homologue européen (CEPD) envisagent de soumettre toutes les informations d’une requête HTTP au consentement. Et cela implique l’URL.
On peut comprendre la logique derrière cette idée : parmi les informations transmises, il y a des identifiants (déjà soumis au consentement), l’adresse IP (qui permet potentiellement de remonter à la véritable identité physique de l’internaute). Donc, on amalgame tout, et on considère que tout doit être soumis à consentement. C’est facile et simple à comprendre, comme tout raccourci expéditif.
Commençons par analyser les conséquences qu’aurait une telle décision si elle était prise. En un mot, sans consentement, la publicité serait distribuée au hasard.
Or la publicité sans aucun ciblage n’existe pas. L’équation économique ne marche pas. Personne ne distribue des flyers depuis des avions en saupoudrant à la fois les villes et les campagnes (sans information géographique, c’est ce qui se passerait). L’adresse IP, tronquée, ne fournit pas une information personnelle, mais reste le seul moyen de savoir dans quel pays se trouve l’internaute. Si cette information ne peut pas être utilisée, le marché publicitaire serait complètement aveugle.
Pour les internautes qui ne donnent pas leur consentement, l’expérience même sur les sites serait dégradée, ridicule, exaspérante. Sans ciblage géographique, vous seriez abreuvé de publicités (dans l’ordre), en Chinois, en Hindi, en Anglais et en Espagnol, pour des marques que vous ne connaîtrez jamais. Ridicule. Sans aucun ciblage, vous auriez des publicités pour des tampons hygiéniques sur des sites de voiture et inversement. De nombreuses études montrent que l’expérience est meilleure si la publicité correspond à nos goûts et à nos besoins. Les sites décideraient-ils de ne plus mettre de publicité aux internautes qui ne consentent pas ? Au contraire ! Vue la faible valeur d’une publicité non ciblée, ils seraient tentés de décupler le nombre de publicités ! Pour l’internaute, le résultat serait terrible : un arbre de Noël de publicités hétéroclites, sans aucun intérêt pour la plupart, et qui rivaliseraient d’artifices pour attirer l’attention (messages racoleurs, couleurs vives, effets stroboscopiques…).
Pour les sites, je l’ai dit, la tendance baissière du prix unitaire de la publicité se traduirait presque certainement par une hausse des volumes (ou une réduction des effectifs). L’image de leurs espaces publicitaires en serait impactée. Les annonceurs seraient moins attirés par ces inventaires de piètre qualité. La boucle infernale qui tire l’Open Web vers le bas et les géants américains vers le haut accélèrerait. Le lobbying des Google, Meta, Amazon et autres ne serait-il pas derrière cette interprétation de la CEPD ?
Pour les acteurs de la publicité contextuelle, le respect de la vie privée n’est pas qu’un argument. C’est une valeur d’entreprise. En créant Implcit, nous nous me sommes rangés du côté de ceux qui protègent la vie privée, à l’opposé de toutes les solutions qui cherchent à l’exploiter. En soumettant l’URL à un consentement, la CNIL donnerait raison à ceux qui vont utiliser toutes les informations qu’ils peuvent collecter sur nous, sous prétexte que l’on a donné son consentement ? Nous qui nous battons pour protéger les internautes des prédateurs des données personnelles, nous serions jetés dans le même sac qu’eux ?
En hissant le consentement en Graal absolu, la CNIL ne mesure pas les effets contre-productifs qu’auraient une telle décision. Pire, elle commettrait une erreur factuelle.
Pour comprendre les raisons de cette erreur, il faut entrer un tout petit peu, si ce n’est dans le détail, simplement dans la nature des informations. Identifiants, IP, et même des informations comme le user-agent (souvent accompagné de numéros de versions, de langues qui créent une clé discriminante) sont relatives à un individu. Plus précisément à un appareil, mais je vaux bien faire cette concession à la CNIL… Va pour individu, si cela rend la démonstration plus claire.
Pour ceux qui comme moi parlent couramment le HTTP 😉 (en 1991, on écrivait du HTTP pour accéder à des contenus !), une information se distingue des autres. L’URL indique au serveur web, non pas qui je suis, mais où il (le serveur) doit trouver l’information. C’est donc fondamentalement une information relative au site, et non à l’individu.
Le site peut d’ailleurs décider de modifier son arborescence, déplacer ses contenus. L’utilisateur n’en saura rien, ses clics suivront la nouvelle arborescence. C’est le site qui est propriétaire de l’URL, pas l’internaute.
Dans une logique de consentement, c’est donc le site qui doit autoriser l’URL à être utilisée pour la publicité. Je parie ce que vous voulez que les sites publicitaires donneront leur consentement.
En télévision, la publicité est contextuelle depuis toujours. Avez-vous donné votre consentement ?
Certains rêvent de supprimer la publicité, tout simplement. Et mes avertissements d’expérience utilisateur dégradée renforcent leur position : la publicité disparaîtra. Mais ils se trompent. Des sites qui offrent des services que personne ne paiera avec un abonnement disparaîtront, leurs services avec. La publicité sera encore plus lourde, quantitativement (plus nombreuse), et qualitativement (moins pertinente). Et les géants américains et chinois rafleront la mise des annonceurs qui, eux, ne réduiront pas leurs dépenses. Une telle décision sera contre-productive, aux yeux mêmes de ceux qui la promeuvent !
L’URL consultée par l’internaute n’est pas une information relative à un individu. Elle ne peut pas et ne doit pas être soumise à consentement !
L’Europe a longtemps suivi les Etats-Unis. Parfois, nos règles ont été taxées de tentatives désespérées pour rattraper notre retard technologique. Par exemple, le RGPD, qui a imposé des règles à tous les acteurs du web, y compris américains.
Si je n’aime pas la manière dont le RGPD a été implémenté (les bandeaux irritent tout le monde, et les options de paramétrage poussent à tout accepter ou tout refuser), les principes qui sous-tendent cette réglementation me paraissent sains. Protéger la vie privée, ne rien faire sans l’accord des internautes, cela semble naturel. De plus, malgré ses limitations, le RGPD a éduqué la population. Tout le monde est maintenant plus ou moins conscient que l’industrie publicitaire ne doit pas pouvoir tout faire.
Le California Consumer Privacy Act (CCPA) a commencé à faire réfléchir nos amis outre-atlantiques. Mais c’est un tout autre phénomène qui a déclenché la prise de conscience que la protection de la vie privée est importante.
Tik-Tok. Non pas que Tik-Tok est pire que les autres dans ce domaine. Je ne connais pas assez le modèle économique de cette application pour me risquer sur ce territoire.
Non, la raison est toute simple : Tik-Tok n’est pas américain. Pire encore Tik-Tok est chinois !
Avec Tik-Tok, les américains découvrent combien il est problématique que leurs données personnelles partent à l’étranger. Pourquoi est-ce un problème ? Parce qu’à l’étranger, les lois ne sont pas les mêmes, les recours en justice presque impossibles. Parce rien ne peut plus être contrôlé.
Les Européens connaissent cette situation. Et quand bien même on nous rétorquerait que les USA ne sont pas la Chine, que nos données ne seront pas exploitées contre nos intérêts, les principes énoncés ci-dessus s’appliquent : lois différentes, recours impossible, contrôle inexistant. Et comme en Chine, rien ne dit qu’une demande de la NSA ne déboucherait pas sur un partage de données personnelles voire sensibles.
Ce sentiment de défiance, raillé par les américains, « vous en Europe, vous avez peur de tout », vient de naître aux USA.
Certes, il y a une grande différence entre la défiance envers une application étrangère et son application à d’autres services locaux. Les américains continueront d’avoir plus confiance dans leurs propres entreprises.
Mais la confiance aveugle connaît ses premières attaques. La graine de la méfiance est plantée. Elle ne débouchera pas sur une paranoïa générale, mais elle va changer la relation des américains à leurs données personnelles.
Merci Tik-Tok n’avoir ouvert les yeux de nos amis américains !
La révolution qui secoue aujourd’hui le monde de la publicité digitale provient d’un besoin profond de respect de la vie privée.
L’industrie publicitaire digitale a cherché par tous les moyens comment collecter de l’information, et comment l’utiliser pour cibler les bonnes personnes avec les publicités les plus adaptées. La moindre possibilité technique a été exploitée, jusqu’à arriver à tout connaître de nos navigations (les pages consultées, les produits achetés, notre position à tout instant…).
Or, quand j’écris « nos », je ne parle pas d’individus. Je parle d’ids propres à des plateformes, des navigateurs et des appareils, générés aléatoirement, et sans aucun lien avec les individus.
Mais le caractère impersonnel de ces ids n’a jamais été bien expliqué au marché. Personnellement, sachant bien comment ils fonctionnent (pour en avoir généré moi-même), je n’ai jamais été gêné par leur utilisation. J’ai toujours su que ce n’est pas Laurent Nicolas qui est ciblé, mais abcd1234. Je n’ai donc aucun problème à conserver mes cookies, pire, je les recopie lorsque je change d’ordinateur !
Bref, cette prise de conscience des abus de la publicité digitale par le grand public a provoqué un rejet généralisé du tracking et du ciblage. Le législateur s’en est emparé (RGPD), les cookies (innocents identifiants stockés) sont appelés « petits logiciels espions » par les journalistes et disparaissent de nos assiettes.
Mais le marché de la publicité digitale ne s’avoue pas vaincu !
Ceux qui avaient fait preuve d’imagination pour collecter et utiliser de l’information s’accrochent à ces méthodes. Et on en arrive aux identifiants « unifiés ». La plupart utilisent une adresse email anonymisée comme base. Au lieu d’un identifiant aléatoire, chaque site, chaque technologie publicitaire peut « hasher » un email (calculer un code unique) avec la même méthode que ses petits copains, et retomber sur le même identifiant qu’eux.
Donc, en essayant de voir sa vie privée mieux respectée, l’internaute est passé d’un identifiant anonyme et aléatoire à une adresse email !
Est-ce bien ce qu’il voulait ?
Prenons alors les avantages listés par les promoteurs des identifiants unifiés, et regardons-les du point de vue des internautes.
L’identifiant est cross-device
Je suis tracé sur tous mes appareils
L’identifiant est cross-plateforme
Je suis tracé par plusieurs sociétés
L’identifiant n’est pas stocké dans un cookie
Je ne peux pas effacer l’identifiant avec ses cookies
L’identifiant peut être différent pour les membres d’un foyer
Même mes enfants peuvent être tracés
Un email est plus stable dans le temps qu’un cookie
Il faudrait que je change mon email pour ne plus être tracé !!!
Un retour de bâton est-il à prévoir ? Je pense que lorsque les gens en auront marre, des alternatives se développeront.
Des services existent déjà pour générer des emails aléatoires. Couplés à des gestionnaires de mots de passes, ils permettront de valider un email et de se loguer avec un identifiant unique (comme l’était le cookie avant).
Les adblockers reprendront de la vigueur. Leurs utilisateurs seront invisibles aux plateformes publicitaires, ça ne veut pas dire qu’ils n’existeront pas !
Enfin, il existe un risque que le législateur partage mon avis. Et interdise purement et simplement ce genre de pratique.
A tous mes copains de l’adtech : prenez du recul sur ce que vous faites, écoutez parfois l’individu qui est en vous, ne mordez pas la main qui vous nourrit, ne refaites pas les erreurs de vos prédécesseurs, n’oubliez pas de respecter la vie privée !
La Responsabilité Sociétale des Entreprises (RSE) recouvre des aspects très variés : économique, sociétal et environnemental. Ces aspects ont en commun de venir compenser la pure logique financière qui réside souvent aux choix stratégiques des sociétés.
L’origine de cette maxime remonte à la révolution française, mais c’est moins porteur sur les réseaux 🙂 …
Les entreprises du domaine de la publicité n’ont aucune raison d’échapper à cette demande tendance. En effet, la responsabilité sociétale est dans certains cas imposée par la loi (sociétés cotées ou de plus de 100 millions de CA). Dans tous les autres cas, elle est attendue par la société.
« La société » est à prendre ici au sens des parties prenantes d’une entreprise. Ses clients, même si l’activité est du B2B, veulent généralement que leurs fournisseurs aient conscience voire travaillent sur leur responsabilité sociétale. Idem pour les fournisseurs. Plus encore, les salariés de la société ont besoin de savoir que leur employeur s’intéresse à ces questions. Car derrière ce que j’ai appelé « parties prenantes », il y a des individus qui peuvent prendre du recul, qui ont des convictions écologiques notamment, qui peuvent être engagés dans des actions bénévoles, et qui ne cloisonnent pas toujours leurs idées et leur travail.
En B2C c’est évidemment encore plus net. Le grand public peut boycotter une marque qui ne serait pas suffisamment éthique. Le risque d’une sous-estimation de la responsabilité sociétale de la marque ne peut plus être négligé.
Et dans la publicité, donc, comment cela peut-il se traduire ?
Responsabilité économique
On cite habituellement le soutien aux producteurs locaux. Quand on n’achète pas de poires mais quand on loue des serveurs, cela peut influer sur le choix de ces fournisseurs technologiques et privilégier la proximité.
Le respect des délais de paiement fait partie du tableau. Et quiconque a travaillé avec une agence média saura de quoi je parle..
Responsabilité environnementale
On commence à voir des initiatives comme celle de l’IAB pour analyser l’impact carbone des campagnes de publicité digitale.
Impact+ en France, Scope3 montent des protocoles pour apporter de vraies mesures, en fonction des créations, de leur poids, des appels, de l’utilisation des cookies, etc.
A ce propos, même si je suis sûr que l’approche d’Implcit réduit la consommation carbone de nos clients, n’étant pas capable de mesurer cette intuition, je ne m’étendrai pas dessus.
Responsabilité sociale
La dernière fois que j’ai parlé à Brian O’Kelley, fondateur d’AppNexus et maintenant de Scope3, il m’a dit que nos métiers sont les deux faces d’une même médaille : rendre la publicité plus responsable.
En effet, nous croyons fermement que la publicité digitale a abusé des capacités que la technologie lui apportait. Ce que j’appelle « l’économie des petits malins » s’est longtemps attachée à trouver les hacks (au sens des failles) qui permettaient par exemple d’obtenir des informations sur les utilisateurs. Le hack le plus célèbre est certainement le cookie tiers qui n’avait pas été pensé pour cibler des publicités.
Le fingerprinting qui consiste à recréer un identifiant unique alors même que l’arrêt des cookies a pour but d’interdire ces types d’identifiant, voici un autre hack.
Prenons la synchronisation des cookies. Du point de vue d’une société de l’adtech, il est tout à fait légitime de chercher à croiser un maximum d’informations sur un utilisateur. Mais cet utilisateur a-t-il donné son consentement explicite à ce partage ?
Bref, la responsabilité sociale a longtemps été négligée dans l’adtech. Pire, ne pas être un petit malin relevait de la faute professionnelle. S’il y a un moyen (légal, ou en exploitant un flou juridique) d’atteindre un objectif, ne pas utiliser ce moyen relève soit de l’incompétence soit de la faute.
Mais le monde change. Les marques, dont la responsabilité sociétale est dorénavant scrutée par le public, mettent la pression sur leurs agences média. La loi qui impose le consentement oblige le marché à obtenir ce nouveau Graal, ou à inventer de nouvelles méthodes en son absence. Les technologies, avec la fin des cookies tiers notamment, changent la donne de la publicité digitale.
Pour moi, tout, absolument tout, doit être réinventé dans la publicité digitale. Le respect de la vie privée et des données utilisateurs devient le nouveau socle sur lequel la publicité doit être repensée pour les décennies à venir.
Messieurs les annonceurs et mesdames les annonceuses, vous qui êtes les premières sensibilisées (je teste l’accord avec le groupe nominal le plus proche) à la Responsabilité Sociétale des Entreprises, exigez de vos agences média qu’elles respectent mieux la vie privée de vos clients. Exigez le contextuel.
Dans le monde d’après (les cookies tiers, pas la fin du monde), la majorité des internautes ne partagera plus ses données personnelles et de navigation.
Ils seront protégés par la loi qui impose déjà le recueil de leur consentement, et par leurs navigateurs, qui bloqueront tous les cookies tiers.
Bref, les internautes pourront se dire qu’ils ne sont plus trackés sans leur consentement. Leur légitime paranoïa publicitaire diminuera peut-être. Internet sera un lieu plus apaisé. Si les acteurs de la publicité en ligne ne reproduisent pas les mêmes erreurs, mais c’est un autre sujet…
Cette insouciance sera peut-être permise par le « sacrifice » de certains.
Si par défaut on ne peut pas mesurer le comportement des internautes, on a quand-même besoin d’information. Sans information, pas de décision éclairée. Sans information, pas de ciblage. Sans ciblage, pas de publicité. Sans publicité, presque plus aucun service internet, presque plus aucune information.
Alors, disposer d’un échantillon d’internautes dont le comportement est connu peut s’avérer clé pour le marché de la publicité digitale.
D’un certain point de vue, ces internautes sacrifient la protection de leur vie privée pour que tous les autres la protègent.
En sont-ils conscients ? Les panels comme ceux de Médiamétrie sont recrutés avec un contrat clair : leur comportement est mesuré anonymement, et les données servent à toute l’industrie.
Savent-ils qu’ils sont mesurés ? Lorsqu’on vous demande d’installer un logiciel « meter » sur votre ordinateur, votre mobile et votre tablette, vous faites un acte volontaire, consciemment. Rien de comparable donc au tracking par cookies qui se fait dans votre dos, ni au cookie-matching qui permet l’échange de vos données entre différents fournisseurs, voire entre différents appareils.
Cette conscience impacte-t-elle leur comportement ? Lorsque NetValue a créé le premier panel d’audience en France en 1998, Nico (cofondateur d’Alenty et d’Implcit) et moi étions déjà là. Je me souviens avoir passé des heures et des heures à analyser la base de données du panel. En plus des statistiques agrégées que l’on produisait, j’avais accès aux données individuelles. Je n’avais aucune information personnelle évidemment, ça ne m’intéressait pas.
Non, ce qui est passionnant avec un panel, c’est qu’on voit l’activité réelle des panélistes. On peut suivre leur navigation. On se demande comment ils passent si vite du coq à l’âne. On voit les tendances apparaître, des sites nouveaux trouver leur audience, des comportements improbables émerger.
Et à en juger par la proportion de sites « pour adultes » que l’on voit dans les données des panels, je peux vous assurer que les panélistes ne modifient pas leur comportement parce qu’ils appartiennent à un panel.
En fait il faut trouver le bon équilibre entre « je sais que je suis mesuré » (et je donne donc un véritable consentement éclairé) et « j’oublie que je suis mesuré » (et je ne change donc rien à mon comportement).
Cette subtile alchimie met aussi en jeu un sentiment d’utilité.
Je n’ai jamais été chargé de recruter le panel, mais j’ai participé à de nombreuses réunions à ce sujet. Permettre à des milliards d’Euros d’être dépensés en publicité (c’est le cas pour les panels télé), donne à certains panélistes un sentiment de fierté.
J’imagine que c’est aussi un argument pour ceux qui testent des médicaments (la rémunération aussi, ne soyons pas naïfs)…
A cette source de motivation, on peut ajouter maintenant un certain sens du sacrifice. OK, ils ne sauvent pas des vies, ne donnent pas leur sang, n’aident pas les SDF. Mais ils acceptent que leurs données soient mesurées pour justement, que celles des autres ne le soient pas. Partager toutes les données sur son comportement digital, c’est utile pour la société.
Donc à tous les panélistes qui sacrifient la protection de leur vie privée, pour protéger la nôtre, merci !
Lorsqu’une cause est perdue, faut-il encore se battre ?
Je suis né à Sedan, ville connue pour son club de foot, où a joué le père de Yannick Noah, et pour l’épisode des dernières cartouches. En 1870, les troupes françaises encerclées par un régiment bavarois à Bazeilles, près de Sedan, se battent jusqu’à leur dernière cartouche. Le lendemain, Napoléon III signe la capitulation à Sedan.
Dans le même genre d’idée, Les Chouans de Balzac raconte le combat tragique (car nous savons qu’il est perdu) des derniers royalistes lors de la révolution française.
Chouans, affiche (extrait)
On peut trouver une certaine noblesse à se battre jusqu’au bout. C’est très japonais. Dans La Noblesse de l’Echec, Ivan Morris cite d’innombrables exemples de héros Japonais, connus pour avoir perdu, mais perdu avec honneur.
Les Chouans ont le sens de l’honneur, certes. Mais ils ont aussi la violence de celui qui se sait acculé.
En 2021, avec la data, on assiste à une sorte de baroud d’honneur des start-ups de la data.
Mais c’est bon, la messe est dite. Le tout data va bientôt se terminer ! Laissez tomber !
Alors pourquoi certains continuent-ils de chercher des bidouilles pour prolonger un peu leur agonie ?
Prenez les empreintes numériques par exemple.
Petit aparté lexical. On se trouve obligés de dire « empreintes numériques » pour éviter d’utiliser « empreintes digitales ». Alors que l’expression anglo-saxonne est digital fingerprint. Tout ça parce qu’on a la flemme de parler français. Le mot digital en anglais signifie « numérique », car il vient de digit, qui désigne un chiffre (en base décimale). Or on compte en base décimale parce qu’on a dix doigts. Et en français, digital désigne les doigts et non les chiffres. Donc, en traduisant bêtement digital (les mots anglais sont en italique dans mes articles) par digital, on se retrouve coincés. Les empreintes digitales ne peuvent plus désigner les traces numériques que l’on laisse, car elles évoquent celles de nos doigts. Faites un effort, parlez (vraiment) Français ! Fin de l’aparté lexical.
Qu’est-ce qu’une empreinte numérique ?
C’est l’utilisation de toutes les informations que vous laissez trainer pour vous identifier de manière à peu près unique, comme les liste très bien Firefox) :
« les extensions que vous utilisez
le système d’exploitation et le modèle de votre appareil
la résolution de votre écran et la langue
des informations sur votre connexion réseau
les polices d’écriture installées sur votre ordinateur »
La combinaison de toutes ces informations est pratiquement unique pour chaque navigateur. Donc sans cookies, un service en ligne peut utiliser ces combinaison comme identifiant unique et enregistrer des informations sur vous sans votre consentement.
Alors comment contrer ces calculs d’empreinte numérique ?
Il n’est plus vraiment nécessaire de transférer certaines informations, comme les polices de caractères installées. Avec les réseaux rapides aujourd’hui, les polices utilisées peuvent être chargées à la volée. Idem pour les langues.
Bref, avec quelques évolutions des navigateurs, il sera de plus en plus difficile de calculer des empreintes numériques. Les utilisateurs et le marché n’y perdront pas grand chose.
Mais il existe une autre information que les Chouans de la data lorgnent. L’adresse IP.
Liée à quelques unes de ces informations, l’IP se révèle extrêmement utile pour calculer une empreinte numérique.
Et supprimer l’adresse IP des requêtes HTTP, c’est comme faire une Forêt Noire sans chocolat ou du vin sans raisin ! Tout l’Internet est fondé sur la communication entre deux ordinateurs via leur adresse IP !
Il semble qu’il soit possible de la supprimer. Mais alors de nombreux services, légitimes et pertinents, partiraient avec. Par exemple, comme connaître le pays d’un internaute ? Comment un responsable sécurité peut détecter des comportements frauduleux sur ses serveurs sans détecter qu’une IP inconnue a un comportement anormal ?
Jusqu’où faudra-t-il aller pour que les acteurs du marché publicitaires arrêtent enfin de jouer au petit malin ? Notre industrie s’est développée sur la base de bidouilles techniques. On ne peut pas attendre qu’elle s’autorégule…
En 2018, la CNIL avait joué un rôle important en sanctionnant plusieurs sociétés qui recueillaient trop de données géolocalisées. Et ça avait marché.
Le cadre de la protection de la vie privée est posé, il faut juste l’appliquer.
Je préfère que la CNIL bloque les petits malins qui trouveront la prochaine faille, plutôt que de continuer ce jeu technologique du chat et de la souris.
Aujourd’hui la question que je pose ici est la suivante : Facebook espionne-t-il nos conversations via le micro de nos téléphones ?
Je vais tuer le suspens tout de suite, la réponse est non.
Mais pourquoi la question peut-elle être légitimement posée ?
Tout simplement parce la publicité sur Internet nous a habitués à nous sentir espionnés.
Toutes les données disponibles ont été exploitées (géolocalisation permanente, produits consultés, etc.). Le ciblage est si précis que la plupart des gens pensent que leur nom, leur email et leur numéro de téléphone sont utilisés pour les cibler.
La méfiance est donc tout à fait légitime.
Hier, à une amie, qui devait passer là où nous avons confiné notre famille, j’ai envoyé le message suivant sur Messenger : « tu veux prendre du bois ? On en a trop ». Dans l’après-midi, elle m’a parlé (In Real Life, pas sur Messenger) d’un outil qui permet de fendre des bûches. Deux heures plus tard, elle m’a envoyé le message suivant : « je viens de recevoir une publicité pour l’outil dont je t’ai parlé !!! Tu crois que mon téléphone a espionné notre discussion ? »
Difficile de savoir quel mécanisme a déclenché ce ciblage. Avait-elle déjà mentionné ce produit dans une autre conversation ? Etait-elle allée voir cet outil sur Amazon quelques semaines plus tôt ? Avait-elle acheté une hache sur Amazon ?
Cela pourrait même être juste un coup de chance incroyable. La probabilité est infime me direz-vous. Mais des probabilités très faibles appliquées à ces réseaux de milliards d’utilisateurs, cela donne des effets très réels.
Une chance sur un million, multiplié par un milliard de personnes, multiplié par 100 publicités par jour et par personne, ça fait des millions d’évènements complètement improbables qui se produisent tous les ans. Et dès que vous ajoutez un peu de ciblage (localisation à la campagne, mot « bois » dans Messenger, recherche de hache sur Amazon, que sais-je encore ?), il devient très probable que chaque individu soit témoin d’un de ces hasards improbables.
Quand j’avais 10 ou 15 ans, un médium a été invité en prime-time à la télévision. Il promettait de dire l’avenir de certains téléspectateurs, et de réparer des montres à distance ! Il fallait pour cela respecter une procédure :
apporter une montre en panne devant l’écran
la tenir dans ses mains quelques minutes en pensant très fort à elle
ne la remonter que sur ordre du médium
appeler le standard téléphonique de l’émission si la montre se remettrait à marcher
Le standard s’est vite trouvé submergé d’appels ! Faisons un petit calcul rapide. Si une montre sur 10 000 était juste un peu coincée (c’est très peu, vous me l’accorderez), elle a pu se décoincer lors de son transport ou lorsqu’elle a été remontée. Cette anecdote est racontée dans ce vieil article : « Dans son ouvrage Le grand bluff (page 17), Gérard Majax explique que les montres anciennes ne se cassent pas complètement. Elles s’arrêtent mais il suffit de les secouer un peu tout en réchauffant leur graisse pour qu’elles puissent fonctionner un temps… « Les horlogers experts ont été catégoriques sur ce sujet » affirme-t-il. »
Si quelques millions de personnes ont regardé l’émission, et tenté l’expérience, quelques centaines de montres ont pu miraculeusement « tomber en marche » au même moment. Un standard téléphonique de quelques postes, voire quelques dizaines de postes, a donc pu se faire submerger d’appels simultanés.
Et ceux qui avaient envie de croire le médium ont été confortés dans leur croyance.
De même, ceux qui croient que la publicité espionne leur micro de téléphone penseront détenir la preuve qu’ils avaient raison.
Et ceux qui se posent des questions se trouvent troublés, et légitimement, car on ne leur propose aucune réponse satisfaisante.
Enfin notre cerveau est ainsi fait que l’on va beaucoup plus se souvenir du trouble ressenti pour une publicité hyper-ciblée comme celle-ci, que des cent autres qui n’ont rien déclenché en nous. On croira donc que le phénomène d’espionnage est beaucoup plus fréquent qu’il ne l’est en vérité.
Non, les GAFA n’espionnent pas les utilisateurs via les micros ou les caméras de leurs téléphones. Mais dans cette ambiance de suspicion générale où la publicité nous a plongés, il n’en reste pas moins que l’effet de l’hyper-ciblage est dévastateur.
FLoC (Federated Learning of Cohorts) est la solution que Google développe pour Chrome, lorsque le navigateur n’acceptera plus les cookies tiers, quelque part en 2022.
Le principe est le suivant. Lors de votre navigation, Chrome enregistre les pages que vous consultez. Il calcule un identifiant sur la base de ces pages. Par exemple, si vous visitez les pages A, B et C, cet identifiant sera peut-être 123. Si vous visitez les pages D, E et F, l’identifiant pourra être 4, 5, 6. Si un autre internaute visite les mêmes pages, le même identifiant sera remonté. Mais, et c’est là que ça devient intéressant, si quelqu’un a un comportement proche du vôtre, par exemple A, B et G, il aura un identifiant proche, par exemple 124.
C’est un peu comme ça que fonctionne Shazam. Les musiques qu’il connaît ont un identifiant robuste. Lorsque vous shazamez une musique, le bruit alentour font que l’identifiant calculé par votre application n’est pas le même que celui calculé sur le morceau original. Mais il est proche, et Shazam peut donner le titre le plus probable que vous entendez.
FloC va générer des millions d’identifiants, et en associer plusieurs à chaque requête publicitaire. Les acheteurs d’espaces publicitaires pourront connaître les identifiants qu’ils ont achetés, et comparer les performances (les clics, malheureseument le plus plus souvent) obtenues pour les différents identifiants.
Ils pourront ainsi choisir d’acheter ou non tel ou tel identifiant, ou de moduler leurs prix d’achats, etc.
Ces identifiants n’ont pas de signification humainement compréhensible. Mais j’imagine que des petits malins vont vite s’amuser à simuler des comportements de navigation sur Chrome, pour regarder quels identifiants sont générés, et construite une sorte de dictionnaire géant.
Donc il sera possible de comprendre un peu mieux ce que représentent ces identifiants.
Il n’en reste pas moins que ce sont des identifiants de comportement, en non d’individus ou de navigateurs.
Comment alors remonter à des individus ?
La théorie veut que le comportement de chaque individu est unique. Techniquement je suis d’accord, et philosophiquement je l’espère. Je crois fermement au libre-arbitre et à l’infinité de l’âme humaine.
Aparté personnel. En classe de seconde, mon professeur de Français, Monsieur Pigeot, nous avait posé ce sujet de devoir : « un personnage médiocre peut-il être un héros de roman ? ». Je n’avais pas eu une très bonne note, car j’avais seulement développé mon sentiment que chaque humain est unique. 30 ans après, j’ai écrit une nouvelle intitulée « pour en finir avec Monsieur Pigeot ». J’y décrivais un individu lambda, nommé Pigeot, qui devenait l’homme le plus important de toute l’humanité. En effet, 100 millions d’années après la disparition de l’homme sur terre, une forme de vie extra-terrestre découvre des preuves qu’une intelligence a vécu sur Terre. Tous les fossiles retrouvés sont analysés pour l’identifier. Jusqu’à ce qu’un morceau de la mâchoire de Monsieur Pigeot apporte une preuve indiscutablee : une dent artificielle ! Seule une espèce intelligente pouvait recourir à de telles pratiques. Monsieur Pigeot est ainsi devenu la preuve que l’humanité était intelligente. Sa mâchoire occupe désormais le centre du musée dédié à la première civilisation d’une exoplanète que ces extra-terrestres ont édifié à sa mémoire. Fin de l’aparté.
Bref, je suis intimement convaincu que chaque individu est unique, et que donc, la réunion de tous ses comportements lui est unique.
Si j’utilisais Chrome, je ferais partie d’une cohorte de fans de Borges. Je ferais aussi certainement partie d’une autre cohorte de spécialistes du programmatique. L’intersection des deux ne doit pas compter beaucoup de monde, vous en conviendrez.
Donc, en ciblant ces deux cohortes, il devient théoriquement possible de me cibler, presqu’exclusivement !
Et alors ?
D’une part il y aura peut-être des mécanismes pour imposer une taille minimale aux cibles créées par cohortes.
D’autre part, ce ciblage restera non nominatif, à la différence de ces ids calculés sur des adresses email que le marché nous promet.
Enfin, la différence entre la théorie est la pratique me semble fondamentale. En admettant qu’il soit en théorie possible de retrouver un individu à partir de son comportement, cela se fera-t-il pratiquement ? Quelle peut-être la motivation pour mettre en place ce type de processus ? La lourdeur (analyse du comportement d’un individu identifié), voire la faisabilité même de cette collecte (qui d’autre que moi sait réellement ce que je fais ?) rendent ces pratiques si ce n’est impossibles, du moins non rentables. L’industrie de la publicité se fonde sur des mécanismes simples et peu coûteux. Un ciblage individuel via FLoC coûterait trop cher.
Donc les anti-FLoC ont raison en théorie. Mais à moins que leur vie ait vraiment un intérêt énorme, personne ne déploiera les moyens nécessaires à les espionner. Et si on parle d’espionnage, on dépasse le cadre de FLoC. Le divorce de Bezos l’a montré, quand on veut, on peut. Mais encore faut-il vouloir ! N’est pas Bezos qui veut !
Pour protéger la vie privée, il n’est pas nécessaire de mettre en place un système parfait. Il suffit de rendre son contournement trop cher pour que le marché l’accepte.
« Deux lions à l’affût dans la jungle » du Douanier Rousseau (détail)
Pourquoi les publicités ciblées sont-elles massivement rejetées par le public ?
Comme souvent, les raisons sont variées, et certaines, modérées, se nourrissent d’autres, plus extrêmes, pour exister par procuration.
Regardons quelques motivations, en commençant par les plus soft.
Aussi étonnant que cela paraisse 😉, il semblerait que certaines personnes n’aiment pas la publicité ! Si, si, je vous assure, ça existe !
Pour ces personnes, l’expérience utilisateur est perturbée par les publicités. Le fait que la publicité soit ciblée ou pas leur importe peu. La pub c’est mal. Point.
Je me dis souvent que la loi Hadopi sur le téléchargement illégal de fichiers (films, musique principalement) n’a peut-être pas eu l’effet prévu, mais a atteint un autre objectif tout aussi important. Les très rares sanctions (coupure d’accès internet), et les moins rares avertissements ont été relayés par les médias et le bouche à oreille. Et grâce à cette communication, les jeunes ont été informés, souvent pour la première fois, que les contenus ont un coût, donc un prix.
La semaine dernière, exilés à la campagne, confinement oblige, on a fouillé des cartons de vieux DVD. Nous avons regardé A bord du Darjeeling Limited (génial film de Wes Anderson en passant), et j’ai dû expliquer à mes garçons pourquoi on avait une expérience utilisateur aussi pourrie. En effet, sous prétexte d’éduquer le spectateur, l’éditeur du DVD imposait la diffusion d’un clip agressif (images et musique brutale) qui assimile le piratage à du vol, voire à un crime !
OK, il faut bien éduquer le marché, mais ce clip a eu l’effet inverse de celui recherché. Ceux qui devaient le supporter étaient justement ceux-là mêmes qui avaient payé le DVD, pas les pirates ! Evidemment, le clip ne pouvait pas être zappé. Ni les deux bandes annonces de trois minutes chacune (pour des films qui, 15 après, sont retournés dans leur légitime anonymat) qui le suivaient !!! En tout, 10 minutes d’attente (fois deux car j’ai eu la bonne idée de revenir au menu pour changer la langue ! Ma femme et mes enfants m’ont interdit de toucher à la télécommande). L’expérience utilisateur est tellement lamentable, que cette pratique, heureusement abondonnée, a dû en pousser plus d’un à télécharger illégalement des films pour éviter de se taper ces contenus.
C’est un peu ce qui est en train de se passer en ce moment avec les bandeaux d’acceptation des cookies. OK, ça part d’une bonne intention (appliquer une loi qui vise à protéger nos données). Mais ces bandeaux perturbent l’expérience utilisateur, et mettent l’accent sur le ciblage publicitaire.
Il faut bien sûr éduquer au ciblage publicitaire. Mais tel que c’est fait, dans un environnement agressif (p…. de bandeau !), le message ne peut pas être présenté de façon positive.
Positive, la pub ? J’ai souvent entendu (même de la part de personnes qui travaillent dans ce secteur) : les sites n’ont qu’à trouver d’autres sources de financement. Plus facile à dire qu’à faire ! Les abonnements ne fonctionnent que sur les gros sites d’information. Et la parade du native n’est jamais que de la publicité qui se cache derrière de l’éditorial. Pour moi, c’est pire que de la publicité, car le contrat moral qui sépare l’information de la publicité n’est pas respecté.
Alors oui, certains n’aiment pas la publicité, et ils n’ont pas tort !
Ensuite, certains acceptent la publicité mais n’aiment pas le ciblage.
Quand je dis que je travaille dans la publicité digitale, on me dit systématiquement « Ah oui, c’est toi qui me balance des pubs pour les chaussures que j’ai vues il y a trois semaines ? ».
Il y a ciblage et ciblage. Recevoir une publicité ciblée sur un centre d’intérêt ne pose pas de problème à cette population. Soit ils ne se rendent pas compte que la publicité est ciblée, soit ils considèrent que la publicité ciblée leur évite de recevoir des messages inutiles (à la fois dérangeants pour l’internaute, et une perte sèche pour l’annonceur).
Le problème, c’est l’hyper-ciblage. Ceux qui ne travaillent pas dans la publicité digitale ne peuvent pas deviner (et souvent ne peuvent pas comprendre, par manque de compétences techniques) que l’hyper-ciblage ne vise pas Laurent Nicolas, né le 7 mai 1970 à Sedan, mais qu’il vise l’identifiant uid=ff94d201-3b5b-47e8-a884-dd4315c37a4d (ce n’est pas mon vrai identifiant, n’essayez pas de me cibler 🙂 ).
Pour tous ces gens, la majorité des internautes, le ciblage est fondé sur des données qui permettent de les identifier nomminativement ! Avec ses publicités matraquées sans fin, Criteo a beaucoup fait pour éduquer le marché, à son corps défendant. C’est grâce à l’hyper-ciblage, les gens ont compris qu’ils étaient ciblés. Mais, faute d’explication, ils croient que Criteo connaît leur nom, leur adresse et leur téléphone. Et faute de capping (j’expliquerai un jour pourquoi Criteo ne met pas de capping), ce qui aurait pu être un service (dans cet article de 2012 (!), j’expliquais comment j’utilisais le retargeting comme pense-bête), est devenu une gêne.
L’hyper-ciblage est responsable d’une partie du rejet de la publicité !
Troisième catégorie, ceux qui refusent toute forme de ciblage.
La confusion qui règne entre données individuelles et données personnelles est utilisée à dessein par ceux qui refusent tout ciblage, et tout traçage.
Ceux-ci installent donc des adblockers, non seulement pour l’expérience utilisateur, mais aussi pour refuser tous les types de cookies, même ceux qui sont liés à du comptage de visiteurs sur des sites.
On trouve dans cette catégorie de nombreux informaticiens, qui effacent leurs cookies de session, utilisent le moteur de recherche Qwant, et le navigateur Brave. Eux ne peuvent pas être accusé de ne pas comprendre la différence entre un cookie et un numéro de téléphone. Ils rejettent tout traçage. Point.
Ces arguments de contrôle et de protection de la vie privée sont tout à fait acceptables. En revanche, je décroche lorsqu’ils dérivent vers des théories complotistes. Comme les données sont personnelles, les mouchards espions (comme il convient d’appeler les cookies pour renforcer leur dangerosité) permettent à ceux qui dirigent le monde (eux seuls savent qui, mais passons) de tracer nos actions sur Internet, mais aussi le contenu de nos ordinateurs, nos comptes bancaires, nos emails et nos conversations privées.
Si tout ceci est effectivement possible, ce n’est pas avec des cookies publicitaires, mais avec des virus. C’est une toute autre histoire. Mais dans le complotisme, l’amalgame est roi !
Alors que penser de cet article de DuckDuckGo qui montre comment ne pas être ciblé par Floc (le système de ciblage anonyme que Google développe) ? Je voulais écrire sur ce sujet, mais mon post est déjà assez long, revenez la semaine prochaine !
Personnellement, je n’ai aucun problème avec la publicité ciblée :
je sais pertinemment que c’est un identifiant anonyme qui est suivi et ciblé
je préfère avoir des publicités pour des produits que je pourrais potentiellement acheter, plutôt que pour des serviettes hygiéniques ou des montres de luxe
En revanche, j’ai des problèmes avec la publicité (ciblée ou non) :
lorsqu’elle est matraquée sans capping
lorsqu’elle prend trop de place par rapport au contenu (sites « arbres de Noël »)
