Etes-vous d'accord avec les préférences publicitaires par défaut par lesquelles vous recevez de la réclame ciblée? Peu importe votre réponse, selon des chercheurs. Vous serez encore et toujours suivi, même si vous indiquez que vous ne le souhaitez pas.

Ces dernières années, des lois sur la confidentialité ont été adoptées dans différentes régions du monde, en vue de brider la collecte des données en ligne. Pour l'Europe, cela passe entre autres par le GDPR, ce qui fait que sur les sites, vous devez souvent donner votre autorisation et que vous pouvez refuser que vos données soient traitées. Ces approbations transitent en général par une 'consent management platform' (CMP).

Trois chercheurs, à savoir Zengrui Lui (Texas A&M University), Umar Iqbal (université de Washington) et Nitesh Saxena (Texas A&M University), ont développé un mécanisme pour tester ces systèmes CMP et ont découvert que ceux-ci ne sont pas toujours conformes à ce qu'ils promettent. Ils ont en fait testé trois des CMP les plus populaires: Didomi, Quantcast, Onetrust & Cookiebot. Le rapport complet de leurs recherches, vous pourrez le lire ici.

Intérêts connus vs intérêts inconnus

La méthode de test consistait à créer des profils avec des intérêts dans 16 niches différentes (notamment ordinateurs, jeux, actualité, sport, contenu pour adultes), et à visiter les cinquante sites les plus populaires d'entre eux. En guise de contrôle, les chercheurs ont aussi eu recours à un profil vierge n'ayant aucun intérêt.

Dans le même temps, ils ont examiné le degré d'intensité des différentes publicités (par les systèmes publicitaires automatisés). En général, il était question d'une publicité très ciblée sur des jeux par exemple pour un profil, dont l'intérêt pour ce genre de chose est bien connu, proposée de manière nettement plus nette et précise par les systèmes publicitaires. Plus il y a de données sur l'utilisateur, plus c'est coûteux, mais aussi intéressant d'atteindre ledit utilisateur. Cela fut testé avec et sans autorisation de traitement des données et avec le profil vierge.

La législation seule ne suffit pas

La conclusion est que chez la plupart des acteurs, il y a des fuites de données, qui sont exploitées pour dresser un profil en ligne de l'utilisateur, même si ce dernier indique explicitement ne pas le vouloir. Idéalement, les profils n'autorisant pas le traitement des données devraient faire l'objet d'aussi peu d'offres en temps réel qu'un profil vierge. Or tel n'est pas le cas.

Les chercheurs concluent donc que la législation seule ne suffit pas pour protéger les gens contre les traceurs et le traitement des données. Il n'y a pas de contrôle sur ce genre de systèmes, qui ne sont du reste pas hermétiques. La solution idéale est que l'utilisateur ait recours à ses propres outils comme des extensions qui bloquent les publicités et les traceurs, mais comme cela exige plus de travail de la part de l'utilisateur, les chercheurs proposent que les régulateurs commencent à prendre des mesures contre les systèmes CMP qui enfreignent la loi.

