Pourquoi la presse en ligne veut vous géolocaliser à quelques mètres près

Il y a maintenant quelques mois, nous avons remarqué que certains sites français de presse avaient une nouvelle lubie : celle de vouloir connaître notre position géographique. Volonté de personnaliser le contenu ou énième solution de tracking mise en place par nos confrères ? Nous avons décidé de faire le point et d'en savoir plus. Une enquête menée conjointement avec nos confrères d'Arrêt sur images.

Dites voir chez @20Minutes, pourquoi vous avez besoin de ma position géographique pour que je lise une actu ? pic.twitter.com/pcJonsOhLH

— David Legrand (@davlgd) 21 octobre 2013

« www.20minutes.fr souhaite avoir accès à la position géographique de votre ordinateur ». C'est par cette simple demande d'autorisation que nous avons commencé à nous demander pourquoi de plus en plus de sites d'information français commençaient à s'intéresser à la géolocalisation. Malheureusement, notre question de ce 21 octobre 2013 posée sur Twitter est restée sans réponse. Nous avons donc décidé de creuser.

La géolocalisation : une information utile, et déjà largement exploitée

Car après tout, une position géographique peut être relativement utile, même à des sites d'information. C'est d'autant plus le cas de ceux qui, comme 20 minutes, disposent d'éditions locales. Malheureusement, une fois l'autorisation acceptée, rien n'était modifié dans notre contenu. Il fallait donc chercher ailleurs. C'était d'autant plus étrange qu'il existe une manière plus simple de localiser un internaute, sans lui demander son accord : via son adresse IP. 

En effet, des sociétés comme MaxMind se donnent pour rôle de faire correspondre les deux informations qui ne sont pourtant pas liées au départ, et des outils comme GeoIP2 permettent de connaître en un instant votre fournisseur d'accès, votre pays, et une estimation de votre localisation via des coordonées. Une démonstration est disponible par ici. C'est un type de procédé déjà largement utilisé, notamment par Google et son moteur de recherche. Pour s'en rendre compte, il vous suffit d'ouvrir une fenêtre de navigation privée au sein de votre navigateur, de rechercher « Pizzeria », et ce sont logiquement celles de votre ville qui vous seront proposées :

 
Puisque nous sommes à Nancy, même en navigation privée Google nous propose les pizzerias de Nancy

Mais cette méthode a un défaut : elle est imprécise. En effet, ce n'est pas vraiment votre machine qui est localisée mais le dernier nœud de votre fournisseur d'accès. Sur une connexion 4G par exemple, ce sont les pizzerias de Paris qui nous sont proposées, plus celles de Nancy. Et pour cause, les coordonnées remontées par un outil tel que celui de MaxMind nous situent près de Châtelet - Les halles, autant dire assez loin de notre chère place Stanislas.

L'API de géolocalisation HTML5 : une solution très précise, même sur ordinateur

C'est pour cela que le W3C (World Wide Web Consortium), l'organisme chargé de constituer les standards qui sont au cœur de nos navigateurs, a travaillé il y a quelques années à la création d'une API de géolocalisation au sein du HTML5. Celle-ci fonctionne de manière assez simple : l'éditeur d'un site demande à connaître votre position, un accord vous est alors demandé par le navigateur. S'il est donné, l'information est récupérée de la manière la plus efficace possible. S'il est refusé, rien n'est transmis, sinon le signal du refus. Cette information dispose d'une durée de vie définie par l'éditeur qui peut ainsi disposer d'une sorte de « cache », s'évitant de récupérer l'information à chaque chargement de page.

C'est un procédé utilisé par de nombreux outils, comme ceux de cartographie tels que Google Maps, car il est bien plus précis, notamment sur les smartphones et tablettes. En effet, lorsque cela est possible, c'est la puce GPS intégrée qui est utilisée. Mais les ordinateurs n'en disposent pas en général. Les navigateurs sont alors libres d'utiliser les solutions qu'ils souhaitent, et elles sont nombreuses. L'une des plus efficace passe par votre connexion Wi-Fi. Chrome et Firefox utilisent par exemple une API de Google pour cela.

La CNIL évoquait dès 2008 les différentes manières de localiser un utilisateur, notamment via le WPS (Wi-Fi Positioning System), qui n'est pas à confondre avec la technologie Wi-Fi Protected Setup. Une solution depuis exploitée à très large échelle par Google via ses fameuses Google Cars qui ont sillonné le monde, mais pas seulement. Dans un article de janvier 2012, la Commission évoquait les abus à ce niveau et ses recommandations :

« Lorsqu'une personne lance une application de géolocalisation sur son smartphone, celui-ci peut lister les points d'accès WiFi à sa portée et interroger une base de données qui permet d'associer un point d'accès WiFi à une position géographique. Le smartphone va donc être capable de géolocaliser précisément le propriétaire du smartphone.

Plusieurs sociétés telles que Google, Skyhook Wireless, Microsoft et Apple ont donc constitué des bases cartographiques recensant ces points d'accès WiFi pour fournir leurs services de géolocalisation.
Ces bases peuvent être créées de deux manières :

1. à partir des données transmises par les téléphones mobiles eux-mêmes lorsqu'ils demandent à être géolocalisés,
2. à partir des données WiFi collectées par des véhicules se déplaçant dans les rues des villes et sur les principaux axes routiers.
   

Par exemple, lors de la mise en place de son service "Street View" en France, la société Google a constitué sa base de données de géolocalisation des points d'accès WiFi grâce au passage des « Google Cars ». Microsoft a fonctionné de la même manière pour son service "Streetside". »

Un scandale avait d'ailleurs éclaté à l'époque puisque Google intégrait de très nombreuses données dans sa base, menant la firme à une amende de 100 000 euros. Mais tout avait fini par être réglé. Ceux qui veulent ne pas être concernés par de telles pratiques peuvent d'ailleurs le faire savoir simplement en rajoutant le suffixe « _nomap » à la fin de leur nom de borne Wi-Fi. Mais combien le font réellement ?

Au final, si vous utilisez une connexion depuis un appareil mobile, une connexion 3G / 4G, ou du Wi-Fi, votre navigateur compatible HTML5 sera largement capable de vous localiser de manière précise. Lors de nos essais en Wi-Fi, les résultats étaient parfois à quelques mètres près. Pour vous en rendre compte, il vous suffit de vous rendre sur la démonstration suivante :

• Démonstration de la géolocalisation HTML5

Comment modifier les paramètres au sein de vos navigateurs ?

Malheureusement, impossible de limiter la précision du résultat ou d'imposer une localisation de votre choix. Mais si vous voulez voir ou retirer les autorisations éventuellement données à différents sites, sachez que c'est le plus souvent assez simple. Cela se passera via ce lien si vous êtes sous Chrome. Et dans les paramètres de confidentialités des « Options internet » dans le cas d'Internet Explorer, dans la section « Emplacement » (voir la capture ci-dessous).

Pour Firefox, c'est différent puisqu'aucune liste n'est accessible. Mais pour chaque site, il vous suffit de cliquer sur la petite terre ou le cadenas à gauche de l'URL dans la barre principale, de cliquer sur « Plus d'informations » puis dans l'onglet « Permissions » pour changer les options relatives à l'accès à votre position.

La géolocalisation utilisée par les sites pour des raisons publicitaires

Mais revenons-en à nos sites de presse en ligne. S'ils utilisent ce procédé, c'est donc qu'ils veulent nous localiser de la manière la plus précise possible. Reste à savoir dans quel but. Comme nous l'avons vu, cela n'est pas éditorial puisque rien ne change.

Un point confirmé à Arrêt sur images par Pierre Koetschet, rédacteur en chef adjoint du site de 20 minutes, qui évoque la vocation publicitaire de l'ensemble : « Ça ne concerne pas la rédaction pour l’instant. Mais c’est prévu, c’est la vocation de 20 Minutes. Sur le papier, on a onze rédactions locales et on offre un journal différent en fonction de nos éditions, que ce soit sur le rédactionnel ou sur la publicité : on fait de la géolocalisation papier en fait », explique-t-il, « Sur Internet, bizarrement, c’est plus difficile d’offrir du contenu différent. On commence à savoir le faire pour la publicité, et on travaille dessus pour le rédactionnel. Les données qu'on récupère aujourd'hui nous servent aussi à ça. ».

On y vient donc : SoLoMo. Le principe qui nous a été répété à longueur de temps dès 2012, selon lequel un bon service web se doit d'être Social, Mobile, mais aussi Local pour avoir un avenir. Un principe largement adopté par la publicité qui n'a pas attendu 2014 pour proposer des solutions aux annonceurs qui veulent jouer sur la proximité de leur entreprise.

En effet, en août dernier, on apprenait que Google Maps allait par exemple afficher des éléments publicitaires lors de la recherche d'un lieu. Une manière de proposer une publicité plus adaptée aux besoins de l'utilisateur, ce qu'il pourra apprécier, et surtout la promesse d'une meilleure « transformation » pour l'annonceur, qui paiera sans doute plus cher pour un tel service.

Mais dans un premier temps, les indications étaient floues sur la façon dont fonctionnaient les choses. 20 minutes nous précisait en effet : « On gère la pub en interne, donc de toutes façons vos informations ne sont pas communiquées à une régie pub externe ». Problème : nous avions relevé une telle demande de localisation sur de nombreux autres sites ces derniers mois. L'express.fr nous a d'ailleurs aussi confirmé l'utiliser : « On commence à le mettre en place, surtout pour le mobile, mais ça reste embryonnaire. Pour le rédactionnel on y réfléchit tout juste, rien n'est encore mis en place. »

Une capture prise sur le site de l'Express il y a quelques jours

Proxistore : la régie publicitaire que les sites de presse n'évoquent pas

Nous avons donc décidé de regarder de plus près ce qui était fait de nos informations récupérées afin de vérifier les propos de nos interlocuteurs. Et sur au moins un point, ils disaient vrai : les données de géolocalisation sont gardées dans un simple cookie au sein de notre machine : « proxistore_geo ».  Impossible de savoir si elles sont aussi gardées au passage dans les serveurs des sites en question afin de les recouper avec des comptes d'utilisateurs connectés par exemple, mais on nous a systématiquement affirmé que ce n'était pas le cas.

Ce cookie contient les dernières coordonnées enregistrées (lattitude, longitude), notre code postal, et n'expirera qu'au bout d'un an. Son nom ne semblant pas si anodin, nous avons décidé de faire une petite recherche concernant Proxistore. Et nous avons alors eu la confirmation de ce que nous pensions : il s'agit d'une régie publicitaire belge, membre de l'IAB Europe et indépendante des différents sites que nous avions identifiés. Sa liste de clients est d'ailleurs assez fournie de ce côté de la frontière puisque l'on y trouve : 20 minutes, L'Entreprise, L'Express, Le Monde, Le Huffington Post, Doctissimo, Courrier International, Télé Loisirs, Télérama, L'Expansion, L'Équipe, Cosmopolitan, etc. 

Sur son site, elle se présente ainsi :

« Proxistore est issue de la scission de la SA BEWEB en 2013. Leader dans le domaine de la publicité digitale locale, la société est présente en Belgique, en France et en Allemagne avec un réseau d'éditeurs premium et touche au moyen de son propre moteur de géolocalisation plus de 140 millions de surfeurs. La société développe également son expansion dans tout le reste de l’Europe. Le siège est situé à Bruxelles où sont actuellement basées les activités de ventes, de marketing et de recherche et développement, en collaboration avec les équipes commerciales européennes. »

Nous avons pu nous entretenir avec son PDG, Bruno Van Boucq, qui était déjà l'un des membres fondateurs de Beweb en 1995. Il nous a ainsi expliqué avoir travaillé avec ses équipes sur une solution de géolocalisation spécifique et brevetée, afin de permettre à ses clients de diffuser des publicités locales en proposant aux annonceurs des solutions simples à mettre en place.

Après un lancement en Belgique en 2011, c'est en novembre 2013 que le service débarque en France en partenariat avec Geolid, après une entrée du groupe Raoularta au capital en août. Il se pose ainsi en alternative européenne à des géants tels que Google, en indiquant chercher à proposer, notamment à la presse française, un moyen de se monétiser en affichant des publicités qui ne sont pas excessives au niveau de leur présentation (un simple pavé), plus adaptées aux besoins des clients, sans pour autant dépendre de sociétés américaines.

Le PDG nous a semblé volontaire sur les questions de vie privée. Un bon point face aux déboires que l'on peut rencontrer avec les mastodontes du web, qui ne se préoccupent pas toujours de ces questions avec la plus grande attention. Il nous a en outre indiqué s'être rapproché de la Commission européenne, et plus spécialement des équipes de Neelie Kroes, afin de s'assurer du respect des règles en la matière et laisser aux utilisateurs le contrôle de leurs données.

Ainsi, outre l'accord qu'ils doivent donner via leur navigateur (obligatoire selon la norme du W3C), vous avez la possibilité de visualiser les informations vous concernant et de les modifier via cette page. Vous pouvez aussi plus simplement nettoyer vos cookies comme le recommande la CNIL. Pour rappel, il est aussi possible de le faire avec les services de Google par exemple, mais les choses sont bien moins faciles à trouver pour l'utilisateur lambda, puisque les paramètres sont situés au sein du fameux Dashboard de la société ou via ce lien. En effet, cette fois les données sont archivées et stockées dans ses serveurs avec un historique parfois assez complet.

Les publicités de Proxistore identifient la société et indiquent la géolocalisation

L'utilisateur ne sait pas à qui il fournit ses données de localisation

On retrouve donc des intentions louables et une transparence qui n'est pas courante pour une régie publicitaire. Mais un défaut subsiste : lorsque l'utilisateur donne son accord pour être localisé, il le donne au site de presse comme nous l'avons vu précédemment. Le navigateur ne prend pas en compte le domaine de Proxistore qui va traiter cette donnée, mais celui du site visité. Or, ce dernier ne mentionne à aucun moment la finalité publicitaire de cette collecte, et encore moins que c'est pour le compte de Proxistore qu'il effectue cette demande.

Et c'est bien là que le bât blesse. Proxistore nous dit de son côté être conscient de cette problématique et avoir déjà mis de nombreux éléments en place pour s'assurer d'une transparence vis-à-vis de l'utilisateur. Ainsi, les publicités qu'ils diffusent mentionnent clairement leur origine et donnent accès à son site, qui permet alors de visualiser et de modifier les informations récupérées. De plus, rien n'est stocké par la société, qui ne se sert donc que du cookie déposé. L'utilisateur peut refuser ou effacer ce dernier, rejoignant les recommandations récentes de la CNIL en la matière. 

Les cookies, l'une des batailles de la CNIL

Mais pour la Commission, tout n'est pas si simple. Dans un entretien avec ses services, il nous a ainsi été confirmé que la finalité d'une collecte de données devait être clairement mentionnée. En outre, l'information de l'utilisateur doit prévaloir sur toute autre considération. Un point que les sites utilisant les services de Proxistore n'ont, semble-t-il, pas mis en place. 

Dans sa délibération de décembre, elle précisait ainsi que « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s'y opposer ».

Il nous a d'ailleurs été précisé que le simple fait de faire valider par l'utilisateur l'utilisation des cookies pourrait ne pas suffire, et qu'il faudra explicitement lui détailler le but publicitaire de la géolocalisation dont il fait l'objet afin de pouvoir être en conformité avec ses recommandations.

Pour l'ARPP et la CNIL : l'information doit être claire et complète

Mais qui est donc responsable aux yeux de la Commission ? La réponse n'est pas si simple à donner. Pour la CNIL, c'est le responsable de traitement qui est visé en cas de plainte. Reste donc à savoir qui il est dans ce genre de cas. Ses services peuvent dépêcher un juriste et un spécialiste afin d'identifier les manquements éventuels, ce qui peut mener à une mise en demeure dans un premier temps, puis à une sanction si rien n'est fait. Dans sa brochure 2013, elle précisait ainsi que dans l'année passée, 6 017 plaintes avaient été déposées pour 458 contrôles effectués. Un chiffre en hausse de 19 % et menant à 43 mises en demeure, 9 avertissements, 4 sanctions financières et 2 relaxes. 

Même son de cloche du côté de l'ARPP. Son Directeur général, Stéphane Martin, a été plutôt clair sur la question et nous a précisé que son organisme recommande aux professionnels du secteur « que les données de géolocalisation soient collectées et utilisées de manière loyale et transparente [...] Dès lors que les informations collectées s’assimilent à des données à caractère personnel, les utilisateurs devraient être informés par tout moyen (par exemple au moment de l’installation de l’application) de la finalité de celle-ci. De même, le principe du consentement préalable, libre, spécifique et éclairé de la personne concernée est à respecter ; cette personne se voit offrir un moyen de s’opposer à l’usage de ces informations. En conséquence de leur qualification de données à caractère personnel (dans la plupart des cas), la loi de 1978 est applicable au traitement des informations de géolocalisation : déclaration CNIL, finalité du traitement, etc. »

Il nous confie par contre ne pas encore avoir reçu de plainte spécifique sur les questions de géolocalisation, et y voit une forme d'acceptation des internautes : « À date, l’ARPP n’a pas reçu de réclamations sur ce type de ciblage, très certainement parce qu’il est jugé utile par les internautes/mobinautes, qui se voit afficher des messages, des allégations publicitaires pertinentes. »

Publicité ou intérêt rédactionnel : les sites doivent clarifier la situation

Il faudra donc très certainement que les sites de presse en ligne, qui sont déjà très friands des outils de tracking en tous genres (on vous en parlait ici) apprennent à être plus transparents sur la question, et informent leurs utilisateurs de la finalité de cette collecte.

Tous nous ont néanmoins confirmé deux choses : les données seront à terme exploitées pour des raisons éditoriales, ce qui nous a été confirmé par Proxistore, et aucune publicité de la régie n'est encore affichée en France. En effet, tout est actuellement en phase d'essai, et seules quelques simulations ont été mises en place pour les internautes de l'hexagone. Espérons que d'ici à l'exploitation concrète de ces données, ces questions soient réglées.

Le Point vous géolocalise pour les municipales, mais ne stocke que la ville qui vous concerne pendant la durée de la session

Car il existe déjà des sites qui utilisent la géolocalisation dans un but purement éditorial. C'est notamment le cas du Point, pour sa page dédiée aux municipales de 2014. Ici, si vous acceptez la géolocalisation, c'est Le Point qui va stocker un cookie qui ne vivra que le temps de la session et ne retiendra rien de plus que la ville qui vous concerne.

Bref, rien à voir avec la publicité, mais comme dans le cas des contenus sponsorisés pas toujours indiqués comme tels (on vous en parlait aussi avec Arrêt sur images), l'utilisateur ne sait plus à quel saint se vouer, et ne peut plus avoir confiance. Et c'est bien là tout le problème.

Prolongez notre enquête en lisant celle d'Arrêts sur image : Pourquoi les sites de presse veulent vous géolocaliser au mètres près