Alliance publicitaire Gravity : la collecte des données commence, pas l’opt-out

À peine l'Alliance Gravity a-t-elle été annoncée, que certains de ses membres ont mis en place le dispositif de collecte de données, sans méthode de refus pour les internautes. Pendant ce temps, la CNIL continue d'attendre ePrivacy...

Hier, un projet en préparation depuis quelques mois était annoncé : Alliance Gravity. Derrière ce nom aux accents spatiaux se cache en réalité un groupement d'éditeurs qui s'inquiètent du poids que prennent les GAFAM sur le marché publicitaire. Leur constat est simple : cette position s'explique par la quantité de données collectées à travers leurs différents services.

S'ils veulent s'imposer et assurer un modèle économique pour leurs titres, ils doivent faire de même. Une vision des choses sans doute assez partielle (ou partiale), mais qui est une tendance lourde du secteur où de tels regroupements vont devenir la norme. Des revendeurs et l'opérateur SFR rejoignent d'ailleurs le projet. Le Figaro et Le Monde devraient de leur côté annoncer leur propre initiative dès demain. L'unification à la française gardera donc un petit goût de « chacun pour soi ».

Le tout se passe sur fond d'arrivée du RGPD et d'ePrivacy, qui doivent encadrer la collecte et l'utilisation des données à partir de mai 2018 en Europe. On notera d'ailleurs que ceux qui participent à l'aventure sont souvent ceux qui sont les plus opposés au renforcement des obligations en la matière.

La trop longue hésitation de la CNIL

De fait, les éditeurs profitent d'une faille laissée béante par la CNIL (qui n'a pour le moment pas répondu à nos questions). La commission a en effet, après des années de bataille et de discussions sur la question des cookies et des traceurs, décidé de s'intéresser au marché publicitaire l'année dernière. Le tout pour nous annoncer en mai qu'elle avait mis en pause ses enquêtes dans l'attente des nouveaux textes européens, tout en promettant d'agir une fois que tout sera en place (sans doute avec de nouveaux délais).

Ainsi, cela fait des années que les éditeurs et leurs prestataires collectent et exploitent des données sans réel consentement des internautes, à coup de centaines de trackers par page. Et surtout, sans moyen concret de s'y opposer si ce n'est en bloquant les cookies tiers et en utilisant des extensions spécifiques.

Dans le même temps, les GAFAM tant décriés mettaient en place des solution d'opt-out unifiées. Bien entendu, tout n'est pas parfait. Le cas de solutions omniprésentes telles que Google Analytics ou le recoupement massif des données à travers différents services continue de poser question.

Mais au final il est plus simple de s'opposer au ciblage publicitaire via ces géants américains que via la multitude d'acteurs du marché français. Récemment, Apple a indiqué commencer à travailler sur une solution d'isolation des traceurs afin de limiter la collecte par différents domaines. Une version plus évoluée d'une initiative précédente de l'EFF : Privacy Badger. 

Les plus taquins noteront que tous les membres annoncés de Gravity utilisent des trackers des GAFAM et leur livrent donc déjà leurs données d'une manière ou d'une autre. Une autre façon de les centraliser, sans doute.

Alliance Gravity : l'unification des scripts

Mais de tout cela, il n'a pas vraiment été question lors de la conférence d'hier qui a surtout été l'occasion d'évoquer les objectifs et le calendrier. La plateforme d'achat sera lancée à la rentrée et pleinement opérationnelle en novembre. Elle doit permettre de toucher 44% des internautes français et de récolter 10 milliards de données par mois. Une première étape avant des objectifs plus ambitieux sur le long terme.

#alliancegravity quelques datas...ce n'est qu'un debut @LesEchos @LagarderePub @sfrregie @SoLocalGroup pic.twitter.com/vtpcHLJbl7

— PrismaMediaSolutions (@PrismaMediaS) 4 juillet 2017

Impossible d'en savoir plus sur la question de la protection de la vie privée, qui n'a semble-t-il pas vraiment été évoquée... si ce n'est pour dire que l'alliance attend les prochains développements à Bruxelles (en espérant sans doute peser sur les débats en cours). Aucun site ne permet d'en savoir plus pour le moment. De notre côté, nous avons surtout pu confirmer que c'est la plateforme Mediarithmics qui est au cœur technique du système.

Ainsi, les différents éditeurs et partenaires doivent, dans les prochaines semaines, intégrer un nouveau script qui viendra progressivement remplacer une bonne partie de ceux en place. Les régies, elles, resteront séparées. Une manière de limiter le nombre de trackers tout en permettant des recoupements socio-démographiques qui pourront être enrichis par les données plus précises telles que celles d'un revendeur comme Darty-Fnac ou d'un opérateur comme SFR.

Les nouveaux acteurs du marché publicitaire

Car c'est aussi cela qui se joue dans ce projet : la mutation de certains acteurs qui voient leur avenir dans le marché publicitaire. Dans le cas de SFR, cela rejoint la stratégie de convergence du groupe Altice, qui a déjà placé quelques pions sur d'autres terrains à travers le rachat de Teads ou son implication sur la question de la publicité adressée en TV.

Pour les revendeurs, la publicité est une manière de se positionner comme un acteur central, qui connait énormément de choses sur ses utilisateurs et de manière assez fiable : habitudes de consommation, données géographiques, centre d'intérêts. Le tout est d'ailleurs largement inspiré de ce que propose Amazon ou de mutations en cours dans la grande distribution où la collecte massive de données est aussi vieille que la pratique des cartes de fidélité.

Libération active sa collecte, sans opt-out

Par curiosité, nous avons commencé à analyser les pages des partenaires de l'Alliance Gravity. Pour le moment, aucun ne semble intégrer de référence au projet ou à Mediarithmics, à l'exception d'un : Libération.

Le site de presse a en effet ajouté un bout de code en JavaScript sur ses pages afin d'envoyer des données à la plateforme. Dans les éléments visibles, on retrouve une mention du domaine de la page, de son titre, de ses mots clefs, de la section du site concerné, etc. Impossible de connaître l'ensemble de ce qui est envoyé sans une analyse plus fine. 

La page dédiée à la question de la vie privée du site ne nous en apprendra pas beaucoup plus. Contrairement à ce que demande la CNIL, il n'est en effet pas fait mention de Gravity, de Mediarithmics ou même de tout autre prestataire. Il est simplement recommandé de gérer la question via les paramètres des cookies du navigateur (qui ne sont pourtant pas le seul point de stockage de données par les trackers).

Aucun dispositif d'opposition n'est présent, mais nul doute que les différentes extensions de blocage ne tarderont pas à intégrer le domaine de Mediarithmics et autres scripts faisant référence à Gravity. Ainsi, le petit jeu du chat et de la souris ne fait que commencer pour le projet et ses membres. 

Un éditeur de presse n'est pas un réseau social (et inversement)

Au final, c'est une autre question qui semble se poser au secteur : celui de son modèle économique. En effet, les éditeurs opposent souvent aux défenseurs de la vie privée que renforcer le besoin d'un consentement explicite et spécifique à la publicité renforce les GAFAM. Ces derniers disposent d'un avantage de poids : les utilisateurs sont connectés à leur service, impliquant de fait un suivi fin de leur activité. 

Un tel argument oublie pourtant deux points essentiels : il appartient aux éditeurs de limiter l'accès à leurs contenus aux seuls lecteurs connectés. C'est notamment ce qui se passe de manière croissante pour les services de replay, de TF1 à M6 en passant par France Télévisions, dont le discours est assez clair sur la question :

De plus, l'activité principale d'un éditeur de presse est de proposer au public un contenu d'information, traité et hiérarchisé par une rédaction, et éventuellement des services tiers.

Ce modèle repose dans de nombreux médias (au moins en partie) sur une offre publicitaire, celle-ci ne nécessitant pas forcément une collecte massive de données. Son efficacité repose par contre le plus souvent sur la capacité à fédérer des audiences énormes, ce qui ne s'accomplit pas toujours par des pratiques (éditoriales) très avouables. 

De quoi se demander pourquoi la réflexion actuelle autour des modèles de financement de la majorité de la presse en ligne tourne presque uniquement autour de la collecte et de l'exploitation de données. Car après tout, cela n'a rien à voir avec le but d'un réseau social, qui est clair : vous permettre d'accéder gratuitement à un service de partage et de communication que vous allez alimenter vous-même avec vos données.

Ainsi, ces réseaux sociaux récupèrent assez facilement des informations personnelles, vos publications quotidiennes, les pages suivies, etc. De quoi vous afficher des contenus qui peuvent vous plaire, mais aussi des publicités ciblées. Un fonctionnement auquel on peut être opposé, et que la loi doit encadrer, mais qui répond à une certaine logique.

La presse face à la pauvreté de ses données et à ses responsabilités

Or, vous n'avez pas à alimenter le site d'un journal pour en profiter. C'est d'ailleurs même plutôt l'inverse. Et c'est tout le problème des éditeurs de presse en ligne qui disposent d'assez peu d'informations sur ses lecteurs, si ce n'est leurs centres d'intérêts et autres dérivés comme leur éventuelle position politique, ce qui peut être une information assez sensible. On imagine donc qu'elle ne devrait pas être collectée et stockée sans consentement de la personne concernée.

Il faut aussi voir comment elles sont récoltées et générées. Car il est facile pour un réseau social qui connait votre date de naissance de connaître votre âge. Moins pour un média qui devra se baser sur vos lectures. Même agrégées et suivies à travers un dispositif unique, il n'est ainsi pas assuré que toutes ces informations soient fiables, une problématique largement évoquée ces derniers mois lors de rencontres auxquelles nous avons pu participer.

De gauche à droite : Olivier Gerolami (Groupe Sud Ouest), Michel Paulin (SFR), Alain Weill (NextRadioTV), Arnaud de Contades (Groupe Marie-Claire), Xavier Romatet (Condé Nast), Rolf Heinz (Prisma Média), Francis Morel (Groupe Les Échos), Marie-Odile Amaury (L'Équipe), Christophe Pingard (SoLocal Group), Nicolas de Tavernost (M6 Group), Denis Olivennes (Lagardère Active), Jean-Nicolas Baylet (Groupe La Dépêche).

Bien qu'enrichies et fédérées, les données d'Alliance Gravity devront donc être certifiées par des tiers de confiance (c'est prévu) et convaincre des annonceurs qui sont de plus en plus méfiants face aux promesses de la publicité en ligne. Outre les questions réglementaires qui ne manqueront pas de se poser d'ici mai 2018, c'est surtout sur ce terrain que le résultat devra être à la hauteur des annonces pour que le projet soit un succès.

À moins que d'ici là, les éditeurs de presse ne se rendent compte qu'il leur est possible d'informer leurs lecteurs, sans organiser une collecte massive de leurs données. Et que la montée en puissance de la réglementation en la matière est avant tout une chance de se démarquer de ceux qui ne l'ont pas encore compris.