Une analyse de Consumer Reports publiée le 17 janvier 2024 examine qui envoie des informations sur l’activité d’un utilisateur Facebook à Facebook. L’étude a été co-réalisée avec The Markup, une société à but non lucratif qui vise à servir le bien public. L’enjeu est d’importance à l’heure où de nombreuses alternatives aux cookies se structurent afin de réaliser du ciblage publicitaire.
Chaque utilisateur voit ses données transmises à Meta par 2230 entreprises en moyenne
L’étude révèle qu’en moyenne, chaque utilisateur Facebook voit ses données transmises par 2230 entreprises à Meta. L’étude prend en compte le mode d’échange de données de serveur à serveur avec Meta. Ce mode d’échange est notamment promu par Commanders Act face à la disparition des cookies tiers sur Chrome. Autre point, Consumer Reports s’inquiète que beaucoup de noms de sociétés impliquées dans le transfert de données vers Meta ne soient pas clairement identifiées. L’étude insiste sur l’omni-présence de LiveRamp en tant que courtier de données dans ces transferts.
L’étude a été menée avec 709 Américains volontaires qui ont partagé les archives de leurs données Facebook
Consumer Reports a constaté qu’un total de 186 892 entreprises ont envoyé des données concernant ce panel au réseau social Facebook. En moyenne, chaque participant à l’étude a vu ses données envoyées à Facebook par 2 230 entreprises. Ce nombre est toutefois largement variable. Les données de certains panélistes répertoriaient 7 000 entreprises fournissant leurs données.
Analyse des données transférées de serveur à serveur
Consumer Reports souligne que l’étude a examiné une forme de suivi cachée, ce que l’on appelle le suivi de serveur à serveur, dans lequel les données personnelles passent des serveurs d’une entreprise aux serveurs de Meta. Une autre forme de suivi, dans laquelle des pixels de suivi Meta sont placés sur les sites Web des entreprises, est visible par les navigateurs des utilisateurs.
Le pixel Facebook est un bout de code que l’on place sur les pages d’un site web afin de connaître les actions de l’internaute
Ainsi, le pixel enregistre certaines actions effectuées par les visiteurs d’un site site web après avoir vu une des publicités sur Facebook : achat, visualisation d’une page produit, inscription à la newsletter, recherche, ajout au panier… Grâce à cela, on peut savoir si les publicités Facebook sont efficaces et effectuer des publicités ciblées, en fonction des actions réalisées sur le site.
L’identité de nombreux fournisseurs de données n’est pas claire
Les réalisateurs de l’étude préviennent que le panel d’utilisateurs étant des volontaires, il n’est pas représentatif de la population américaine dans son ensemble. Bien que Meta fournisse des outils de transparence comme celui qui a permis l’étude, Consumer Reports a identifié des problèmes avec ceux-ci, notamment le fait que l’identité de nombreux fournisseurs de données à Meta n’est pas claire d’après les noms divulgués aux utilisateurs et que les entreprises qui fournissent des services aux annonceurs sont souvent autorisées à ignorer les demandes de désinscription.
Le courtier en données LiveRamp est apparu dans la quasi-totalité des données des participants
Les données examinées par Consumer Reports proviennent de deux types de collecte effectuée par Meta. Il y a les événements (Events) et les audiences personnalisées (Custom Audiences). Les deux catégories incluent des informations sur ce que les gens font en dehors des plateformes Meta. Les audiences personnalisées sont des listes d’identifiants personnels, tels que des adresses e-mail, des adresses postales, des numéros de téléphone et des identifiants (ID) publicitaires mobiles, transférés par les annonceurs à Facebook dans le but de cibler les audiences pour les publicités.
Le ciblage des audiences utilise les données des clients, des partenaires et des courtiers
Les publicités ciblées sont dirigées vers leurs destinataires prévus à l’aide de données collectées auprès des clients de l’annonceur ou de ses entreprises partenaires, achetées auprès de courtiers en données, ou en accordant une licence à des données détenues par une autre entreprise avec laquelle l’annonceur a conclu un contrat pour aider à cibler les publicités sur des groupes spécifiques.
Les publicités peuvent être ciblées soit directement sur les personnes dont les données ont été partagées, soit sur un « public similaire »
Le deuxième ensemble de données que Facebook permet aux utilisateurs grand public de télécharger est celui des événements. C’est une compilation détaillée des actions effectuées par l’utilisateur lorsqu’il utilise Internet ou interagit avec une entreprise. Les entrées typiques incluent la visualisation de certaines pages du site Web de l’entreprise, l’achat d’un produit ou d’un service, la visite de points de vente physiques et même la montée de niveau dans un jeu vidéo.
Suivi des internautes par « pixel » ou par l’API Facebook de conversion, CAPI
Comme pour les données d’audiences personnalisées, les données d’événements sont transférées par les annonceurs Facebook à Facebook, généralement dans le but de cibler des publicités ou de mesurer si une publicité Facebook a abouti à une action hors Facebook telle qu’une vente. Les annonceurs collectent généralement des données sur les événements à l’aide d’un script, ou « pixel de suivi », exécuté sur leurs sites Web ; en utilisant le code du kit de développement logiciel (SDK) Facebook exécuté dans une application mobile ; ou par un serveur exécutant l’API Facebook Conversions (CAPI). Dans le cas du suivi de serveur à serveur, le serveur d’une entreprise transmet des données à un serveur Meta.
Les événements CAPI, de serveur à serveur, ne peuvent pas être vus par les utilisateurs grand public
Les propriétaires de sites Web peuvent configurer le « pixel » pour suivre les interactions des utilisateurs sur le site Web, telles que les recherches ou le remplissage d’un formulaire, en envoyant chaque action à Meta, même si l’utilisateur n’a pas de compte sur Facebook. Consumer Reports attire l’attention sur le fait que lorsqu’un internaute charge les données partagées avec Meta, il se retrouve face à des noms d’entreprise illisibles pour l’utilisateur en dehors des sociétés facilement reconnaissables. Il y avait 7000 noms illisibles dans le cas de l’étude actuelle.