Parmi les trackers publicitaires, il existe les "cookies", des trackeurs que l'on accepte ou non d'enregistrer dans l'historique de son navigateur web. Ici un très grand cookie, facile à repérer, à Tokyo, en 2003 (photo d'illustration).

Question posée le 13/11/2019

Bonjour,

Vous êtes nombreux à nous interroger sur la promesse faite par Libération à ses abonnés numériques : la fin des trackers publicitaires. Le directeur général du journal, Clément Delpirou, en détaillait les contours sur France Inter le 10 octobre : «On sera le premier titre de presse à proposer à nos abonnés un abonnement zéro data. Quand vous serez abonné et connecté au site de Libération, on vous garantit l’absence de tout tracker publicitaire lors de votre session. […] Pour le bon fonctionnement du site il y a un certain nombre d’outils statistiques qui seront encore en place. […] Mais aucune présence de trackers ou de mouchards publicitaires qui transmettraient la donnée à des tiers.» Les trackers (ou «mouchards») publicitaires, ce sont des petits bouts de code qui, sur un site, permettent de récolter vos données de navigation pour vous envoyer ensuite des messages publicitaires ciblés.

«Nous garantirons ainsi à nos abonnés une lecture en toute sérénité, sans que leurs données de navigation soient transmises à des tiers publicitaires, a précisé le journal dans la foulée. Plus précisément, nous ne transmettrons aucune des données personnelles liées à la navigation ou au comportement des abonnés de Libération.»

Très vite, de nombreux internautes et médias s’en sont émus : non, Libération n’est pas le premier «titre de presse» (comme l’a également écrit un peu vite CheckNews dans un premier temps) à épargner tout ou partie de ses lecteurs en termes de trackers pubs. Mais plutôt le premier quotidien national. Des médias comme NextInpact, Reflets, les Jours ou Canard PC l’ont fait avant. Plus drôle encore, d’anciens de Libé ont fait remarquer que le quotidien au losange avait appliqué, il y a quelques années, cette mesure… oubliée par les nouvelles équipes.

Tiers ou pas tiers

Mais surtout, de nombreuses voix (notamment celle d’Aeris, twittos qui «bosse dans la sécurité informatique et plus précisément sur la vie privée») se sont élevées, estimant que la promesse de Libé n’était pas tenue et que des trackers publicitaires subsistaient pour les abonnés sur le site de Libération. A nouveau, CheckNews a été saisi sur le sujet.

Pour y voir plus clair, il convient d’emblée de distinguer deux types de cookies, ces petits fichiers déposés sur votre appareil (ordinateur, téléphone portable) lorsque vous visitez un site. Comme l’indiquait Clément Delpirou sur France Inter, Libération (comme tous les sites sur abonnement) doit par exemple déposer un cookie (non publicitaire) pour «reconnaître» les personnes abonnées lorsqu’elles se connectent : le cookie est déposé par le domaine liberation.fr lorsque l’internaute s’y connecte, et on parle donc de «first party cookie» ou «cookie interne».

A l’inverse, les «third party cookies» (ou «cookie tiers» en franglais) sont déposés sur l’appareil de l’internaute par un autre domaine que liberation.fr lorsqu’il visite le site du journal. Il peut s’agir par exemple d’un cookie de suivi de l’audience déposé par Google, ou d’un tracker publicitaire.

Les cookies tiers

Prenons d’abord les cookies tiers. L’outil Kimetrak (développé par les équipes du site indépendant Next Inpact) ou le bloqueur Ublock Origin, permettent de voir en un clic les différents domaines tiers susceptibles de déposer un cookie sur son appareil lorsqu’on visite un site.

Or, en passant un article de Libération (compte abonné) à la moulinette, mardi 12 novembre, soit après l’entrée en vigueur annoncé du zéro tracker pub, CheckNews détectait six domaines tiers différents déposant des cookies lorsqu’on est abonné.

Il y a tout d’abord les cookies de suivi d’audience déposés par Chartbeat (suivi d’audience en temps réel), Google Analytics (suivi d’audience gratuit utilisé par une grande partie des sites Internets) et l’ACPM (Alliance pour les chiffres de la presse et des médias). Il ne s’agit pas de trackers publicitaires mais d’outils statistiques permettant par exemple de connaître précisément le nombre de personnes qui lisent des contenus, ou la durée de leur visite.

Viennent ensuite les cookies des réseaux sociaux, Twitter et Facebook, qui permettent de «vérifier si vous êtes connectés à des services tiers», comme l’indiquent les mentions légales du site, et qui sont liés aux boutons de partage présents sur le site.

Dans un cas comme dans l’autre, il s’agit donc bien de cookies tiers, qu’on pourrait qualifier de trackers, mais qui ne sont pas utilisés à des fins publicitaires. Côté Libération en tout cas. Côté Facebook par exemple, c’est différent : le réseau social explique utiliser à des fins publicitaires les données récoltées grâce à ces boutons, comme l’expliquait déjà CheckNews. Next Inpact a donc recours, par exemple, à des simples liens en guise de boutons de partage Facebook, plutôt qu’aux scripts fournis clés en main par le réseau social, pour éviter ces trackers.

Tagcommander

Reste un cookie déposé par le domaine «tagcommander.com». Selon les équipes techniques d’Altice, maison mère de Libération, il ne s’agit pas d’un tracker publicitaire mais d’un simple «cookie de consentement». En effet, lorsqu’on se connecte pour la première fois sur le site du journal, un bandeau indique : «En utilisant les sites Internet de Libération (les pages et sous-domaines liés au domaine Libération.fr), vous consentez à l’utilisation des cookies.»

Le cookie déposé par Tagcommander.com permet de stocker l’information selon laquelle le bandeau a été affiché et que l’internaute a navigué sur le site (en le déroulant vers le bas), acceptant donc implicitement les mentions légales. Un «consentement au scroll» dans le jargon, qui n’est pas conforme au règlement général sur la protection des données (RGPD) et qui devra bientôt évoluer. Dans une délibération de juillet 2019, la Cnil explique en effet que «le consentement doit se manifester par le biais d’une action positive de la personne» et que «le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable». L’autorité a toutefois accordé un délai d’un an aux entreprises pour s’y conformer.

Mais ce n’est pas fini. Comme le relevait Arrêt sur Images, qui s’est aussi penché sur ce sujet, «deux trackers, l’un pour Google AdServices (la régie publicitaire de Google) et Outbrain (plateforme publicitaire)», que nous n’avons pas détectés lors de nos tests, seraient enfin encore actifs sur certaines pages de Libé.fr pour les abonnés. Le directeur de la diversification numérique à SFR Presse, Olivier Petit, concède la possibilité d’un «bug» : «Il est possible que cela provienne d’une bizarrerie, qui nous a été signalée par un abonné par mail : des trackers continuaient à apparaître sur la première page quand on se connectait, car elle ne se mettait pas à jour. La correction est en cours.»

Plus largement, Regis Verbiguié, directeur du numérique à Libération, reconnaît un processus «complexe» : «On se doutait que le zéro tracker pub serait compliqué mais là on s’en rend vraiment compte. Certaines solutions de tracking sont complexes, et elles ont été mises en place à différents moments. Alors on regarde les retours et on bosse pour rendre le site le plus propre possible. Ça ne se fait malheureusement pas d’un seul coup.»

Les cookies internes ou le «cas» Eulerian

Tout se complique d’ailleurs lorsqu’on s’intéresse aux cookies internes. Comme l’ont relevé Aeris et Reflets.info, Libération dépose un cookie depuis l’adresse f7ds.liberation.fr (ce qu’on peut vérifier en affichant le code source d’une page du site), y compris lorsqu’on est abonné. Il s’agit donc de premier abord d’un cookie interne, puisque l’adresse est un sous-domaine de liberation.fr. Sauf que l’adresse est en fait une simple redirection vers une autre : act.eulerian.net (ce que CheckNews a pu vérifier en envoyant une simple requête «ping» à l’adresse en question). En d’autres termes, le cookie déposé n’est pas vraiment un cookie interne qui provient de Libération.fr, mais est un cookie tiers d’Eulerian.net.

Alors qui se cache derrière cette adresse ? Une entreprise française du même nom, spécialiste de «l’attribution marketing et du Data Management». Sur son site, Eulerian détaille : «Lorsqu’elles sont utilisées par nos clients, nos solutions logicielles reposent sur un cookie propriétaire des clients (cookie associé au nom de domaine du client) afin de collecter des informations concernant votre navigation sur les sites des clients, en particulier les informations suivantes : le terminal utilisé (ordinateur, mobile, tablette, etc.), le navigateur utilisé, les interactions avec des éléments publicitaires, le temps passé sur le site ou encore les actions effectuées, notamment les pages consultées, les produits visualisés, l’inscription à un service, la création d’un panier ou encore la soumission d’un formulaire d’inscription. Les données collectées par les cookies des clients sont transmises à Eulerian.»

Résultat : «Pour les abonnés de Libé, c’est la triple peine», déplore Aeris, contacté par CheckNews. D’abord parce que l’opt-out indiqué sur le site de Libération (l’option qui permet de refuser le cookie d’Eulerian) ne fonctionne pas, étant donné que le cookie est déposé par Libération.fr. Ensuite puisque ce tracker (mal) caché est «imblocable par les ad-blockers», ces programmes qui permettent de neutraliser les publicités et leurs trackers (puisque cela impliquerait de bloquer le domaine Libération.fr, empêchant du même coup l’accès au site). Enfin (et surtout) puisque ce cookie interne masquerait un tracker publicitaire et que la promesse de n’envoyer aucune donnée de navigation à des tiers publicitaires pour les abonnés ne semble donc pas tenue.

Sur le premier point, la direction technique de Libération reconnaît un problème «qui aurait dû être résolu il y a longtemps» : «L’opt-out va très vite être réparé, assure-t-on à CheckNews. Le cookie existera toujours mais l’optout impliquera que les données ne seront plus rafraîchies d’une part et que plus aucune utilisation n’en sera fait d’autre part.» Concernant les bloqueurs de pub, ensuite, l’inquiétude d’Aeris pourrait être de courte durée : comme souvent, des internautes travaillent déjà sur des solutions de contournement.

Enfin, et surtout, reste le troisième point : la présence d’un potentiel tracker publicitaire Eulerian pour les abonnés. Selon la direction technique du journal, ce cookie déposé ne sert qu’en interne, et pour deux choses : l’attribution, c’est-à-dire savoir par quel canal ou campagne de publicité un lecteur de Libé est devenu un abonné, et analyser le comportement des abonnés sur le site. En clair, il s’agit bien, pour elle, d’un tracker mais non publicitaire. Un «tracker analytics», dans le jargon, comme le sont ceux de Google Analytics par exemple, mais centré sur l’abonné («user centric») : «Il permet ainsi de suivre le comportement d’un abonné donné sur le site de Libération, pour savoir ce qui l’intéresse le plus, et ensuite lui proposer des offres de reconduction d’abonnements personnalisées par exemple.»

«Il y a une confusion sur ce qu’est Eulerian : c’est un prestataire technique, pas une régie publicitaire, explique la direction technique de Libé à CheckNews. C’est un sous-traitant, au même titre que l’hébergeur par exemple (qui dans l’absolu a accès à beaucoup de données aussi). Eulerian fournit ce qu’on appelle une DMP (Data Management Platform). C’est-à-dire que des données sur les abonnés sont collectées avec un cookie interne, mais sont hébergées chez Eulerian. Ils ne partagent pas ou ne commercialisent pas ces données. Ils les gèrent, sur une plateforme dédiée qu’on a chez eux, pour notre compte. On a délégué à Eulerian ce travail, mais Libé garde la main sur les données.»

«Tracker analytics user-centric»

Après réflexion sur une potentielle suppression du cookie lors des discussions pour cet article, Libé a donc finalement décidé de le «garder pour les abonnés» puisque son maintien est «compatible avec la promesse du zéro tracker publicitaire» et qu’aucune «donnée abonné ne sera transmise à des fins publicitaires, jamais».

Pas de quoi convaincre complètement Aeris : «L’attribution relève pour moi bien plus du domaine de la publicité que des mesures d’audience. Mais que ça soit publicitaire ou non n’est pas le problème. Si c’est de "l’analytics user centric", alors c’est en non-conformité totale avec les [lignes directrices du Comité Européen de la Protection des Données (EDPB)] sur le RGPD qui demandent consentement & opt-in.» Ces dernières estiment en effet que l’analyse du comportement d’un utilisateur identifiable d’un site n’est pas assimilable à de la mesure d’audience classique, et qu’il faut donc que l’utilisateur y consente activement (opt-in). Aeris voit surtout un décalage entre la promesse et le résultat : «Tu ne lances pas une campagne de com’comme ça si tu ne fais pas au moins aussi bien que Nextinpact, Reflets ou Mediapart… Tu ne fais pas une annonce de ce tonneau pour laisser des trackers type Eulerian. C’est opaque, et personne ne sait réellement ce qui est fait derrière.»

Reste une question en suspens : lors de nos tests, le cookie Eulerian a parfois renvoyé à un sous-domaine de BFMTV.com (qui fait partie du même groupe que Libération), également lié à Eulerian. La direction technique n’a pas réussi à reproduire ce phénomène et n’était pas en mesure de l’expliquer au moment d’écrire ces lignes.

Et pour les non-abonnés ? Le cookie Eulerian est également déposé, pour «analyser le parcours des lecteurs jusqu’à la page d’abonnement» mais aussi pour «collecter des données sur les visites pour vendre des emplacements de publicité ciblée», selon Olivier Petit. «Par exemple, un annonceur peut vouloir toucher les internautes qui s’intéressent beaucoup à la culture. Le cookie nous permet de détecter si un internaute se rend sur trois pages liées à la culture, et lui servir la publicité de l’annonceur en question. Mais les données restent à Libé.»

Comme l’a relevé Reflets.info, la pratique du cookie interne qui en masque un autre n’est pas cantonnée à Libération et les internautes peuvent y être confrontés sur de nombreux autres sites médias.

Problèmes de sécurité

Pour finir, en plus des questions en termes de vie privée, la pratique pose des problèmes de sécurité, toujours selon Aeris : «Eulerian a par exemple accès à tous les cookies déposés par Libération.fr. Ils passent sur le réseau et sont donc récupérables par l’entreprise.» Ce qui veut dire qu’en théorie, quelqu’un chez Eulerian pourrait par exemple récupérer puis «copier/coller un cookie dans un navigateur pour se connecter à la place de l’abonné et accéder à son profil utilisateur» qui contient de nombreuses données personnelles.

«Eulerian est un acteur de confiance, français, qui ne stocke pas ces cookies. Si on ne peut envoyer aucune donnée à aucun sous-traitant, on n’a plus d’hébergeur, on n’a plus de site», répond la direction technique de Libé. Qui justifie le choix du cookie interne : «On met un cookie en first party car ce sont nos données à nous. Et puis, cela permet que le cookie ne soit pas considéré comme un tracker pub par les ad-blockers, puisque ce n’en est pas un.»

Les retours des internautes ont par ailleurs permis à CheckNews de détecter un potentiel problème de sécurité lié au cookie Eulerian. La direction technique a indiqué à CheckNews que ce problème serait corrigé lors de la refonte du site de Libé prévue dans les mois à venir.

En résumé : il est exact que des trackers publicitaires subsistaient, début novembre, pour les abonnés sur le site de Libé en dépit de la promesse faite. La présence de deux d’entre eux, détectés par certains internautes, résultait d’un problème technique (une page qui ne se mettait pas à jour lorsqu’on se connectait au site) qui sera rapidement corrigé, selon la direction technique de Libération. Certains internautes reprochent également au site du journal de déposer un cookie lié aux serveurs d’Eulerian, y compris pour les abonnés. Selon certains, ce cookie pourrait être assimilable à un tracker pub et conduit quoi qu’il arrive à une trop grande opacité en ce qui concerne l’utilisation des données. La direction technique de Libé, assure l’inverse et évoque un outil de statistique interne, qui ne sera dès lors pas supprimé.

Cet article sera mis à jour en fonction d’éventuels développements.