DMP : saurons-nous ce qu'elles savent de nous ?


Focus sur les organismes de l'écosystème programmatique que nous considérons parmi les plus sensibles en termes de traitement de données personnelles : les Data Managment Platform, ou DMP.



Publié le 20 novembre 2023, modifié le 3décembre 2023



Qu'est-ce qu'une DMP ?


Une DMP est une plateforme de gestion de données. Il s'agit d'une entité qui rassemble et compile l'ensemble des données personnelles collectées par ses organismes clients, ou par elle-même directement. Lorsqu'une publicité ciblée s'imprime sur votre écran, le circuit de demande(s) d'impression publicitaire et de réponse(s) a très souvent une DMP pour étape. Ce que nous dénonçons régulièrement, in extenso le profilage des utilisateurs que nous sommes, les DMP (entre autres, mais majoritairement) le réalisent.



Il se trouve que nous nous sommes récemment intéressés à deux alliances d'organismes sur lesquelles nous allons revenir : l'alliance Valiuz et l'alliance Gravity. Dans ce contexte, nous avons constaté que derrière ces deux alliances se trouve une seule et même DMP, nommée Mediarithmics. Nous allons nous attarder sur ces trois entités. Pourquoi s'y intéresser ? Parce que la somme des données compilées par Mediarithmics est de nature à donner le vertige. Mais ne nous y trompons pas : si Mediarithmics est ici pris pour exemple, il en va de même pour toutes les DMP en termes de masse de données collectées, et ceci ne reste toujours qu'une goutte d'eau dans l'océan de données glânées par les Big Tech, Meta et Google en tête. Il faut ainsi bien comprendre que le cas de Médiarithmics n'est ici fourni qu'à titre d'illustration, et n'est n'est ni pire ni meilleur que d'autres DMP.



Ce qui nous a alerté


A l'origine, le sujet qui nous intéressait était la disparition des cookies tiers. Entrangement, ce sont ces mêmes cookies tiers dont nous devions traiter l'absence que nous avons retrouvés bien présents dans nos audits de site, et ont provoqué une interrogation. Ces audits concernent comme nous l'avons dit deux alliances : Valiuz et Gravity, que nous allons brièvement décrire ici.



Les alliances


L'alliance Valiuz


Valiuz est une alliance de 19 enseignes appartenant à la famille Mulliez. La liste de ces enseignes peut se trouver sur cette page. L'objectif de Valiuz consiste à mutualiser les données collectées dans chacune de ces enseignes pour réaliser un profilage et des campagnes marketing. La page que vous pouvez découvrir sur son site a au moins le mérite d'être claire sur son fonctionnement. Vous pouvez y voir ci-dessous un exemple :




Deux points importants sont à relever. Tout d'abord, nous devons préciser que les données collectées par une enseigne ne sont pas utilisées par d'autres. Par exemple, un client Auchan n'utilisera pas de données collectées par Décathlon. En revanche, et le lecteur l'aura compris via le schéma ci-dessus, une compilation de ces données est belle et bien réalisée par l'alliance elle-même, qui va proposer "à son niveau" des campagnes marketing, e-mailing, etc.



Ensuite, au delà de la collecte de données en elle-même, subsiste la problématique du consentement. Il faut savoir que dans la démarche que nous allons détailler par la suite, nous avons exprimé notre consentement à chacune des trois entités évoquées : le propos de notre article ne porte donc pas sur sa validité. En revanche, il est toujours intéressant pour le lecteur de constater les travers et les biais mis en oeuvre dans ce domaine, et nous recommandons plus que chaudement la lecture de cet excellent article de Pixeldetracking au sujet de Décathlon, membre de Valiuz, dans lequel plus de détails concernant l'enseigne Decathlon et l'alliance Valiuz sont fournis.


L'alliance Gravity


Gravity est une alliance média qui regroupe un "territoire de collecte" de 132 sites parmi les plus visités en France. La liste des sites concernés est consultable ici. Comme Valiuz, Gravity propose un profilage des usagers, comme vous pouvez le constater sur sa page d'accueil. Nous nous sommes déjà attardés sur cette alliance et vous proposons pour plus de détails la lecture d'une partie d'un de nos anciens articles qui y est consacré, consultable sur cette page.





Les faits


En visitant les sites auchan.fr (membre de l'alliance Valiuz) et lejdd.fr (membre de l'alliance Gravity), nous avons observé la présence de cookies tiers, notamment le cookie "mics_vid", à l'origine conçu par Mediarithmics, déposé et dupliqué sur différents domaines : celui du site visité, celui de l'alliance pour le cas de Valiuz et celui de Mediarithmics, ainsi que le montre cette compilation de captures d'écran ci-dessous.





Notre source d'inquiétude : le cookie identifiant "mics_vid" prend exactement la même valeur quel que soit le site, l'alliance concernée et le domaine. La question qui vient immédiatement à l'esprit est donc: dans quelle mesure et jusqu'à quel point Mediarithmics centralise-t-elle et merge-t-elle les données qu'elle collecte pour ses clients ?


La solution proposée par Mediarithmics


Comme expliqué, Valiuz ne se contente pas de collecter via Mediarithmics des données utilisateurs à l'occasion de visites occasionnelles sur Internet. Elle compile également des données extérieures aux visites de site (achat en magasin avec un compte associé ou une carte de fidélité par exemple) pour réaliser des mises en corrélation de multiples éléments collectés tant sur Internet que dans la vie réelle. Mais c'est Mediarithmics qui en parle lui-même le mieux, comme le montrent ces captures disponibles sur son site, consultable ici :






Au passage, cela donne-t-il toujours envie d'accepter les cookies à l'occasion de navigations ? Chaque click sur "acceptez tout" rend toutes ces collectes et traitements licites.



Ainsi cette DMP, comme beaucoup d'autres rappelons-le, met en lien et enrichit des profils clients / Internautes avec toute votre activité quand elle en a la possibilité, i.e. quand vous acceptez le traitement de vos données : navigation Internet, achats, déplacements, courriels reçus, etc... Estimant avoir un intérêt à agir, nous avons donc souhaité connaître ce que chaque acteur évoqué sait de nous, et plus particulièrement Mediarithmics.



Malheureusement...



Nous ne saurons jamais


Comment savoir ? Simple : il "suffit" de le demander en utilisant notre droit d'accès RGPD. Nous avons donc appliqué la méthodologie suivante (A relever que le terme de méthodologie est bien présomptueux dans notre cas) :



- Click sur une publicité issue de mail de prospect adressé par "electrodepot.fr", membre de l'alliance Valiuz, sur boîte mail personnelle. Acceptation des traceurs. La visite de la seule page de redirection de ce site a été réalisée,
- Relevé des cookies déposés,
- Visite et acceptation des traceurs de la page d'accueil de "autoplus.fr", membre de l'alliance Gravity, et
- Relevé des cookies déposés (comme expliqué précédemment, ceux-ci ont la même valeur que sur le site "electrodepot.fr").



Exercice du droit d'accès aux données personnelles aux différentes entités :



- A Electrodepot, leur demandant le jeu de données lié à l'adresse mail qui a reçu le courriel de prospect,
- A l'alliance Valiuz, leur demandant le jeu de données lié au cookie identifiant relevé sur la visite de "electrodepot.fr", en l'espèce les cookies "mics_vid" et "mics_uaid"
- A l'alliance Gravity, leur demandant le jeu de données lié au cookie identifiant proposé par sa page dédiée, censément pour aider les usagers . Important : cet identifiant, nommé "vec", n'est autre que l'identifiant "mics_vid" de Mediarithmics, et a la même valeur.
- A Mediarithmics, leur demandant le jeu de données lié à ses cookies identifiants, en l'espèce les cookies "mics_vid" et "mics_uaid" ayant la même valeur sur tous les sites visités : Electrodepot, Valiuz, Autoplus, Gravity.



Les résultats obtenus (et aussi ceux non obtenus) demeurent intéressants. Les voici ci-dessous :


Valiuz a été le premier à nous fournir ce qui a été demandé. La réponse est cohérente et correspond bien aux données de notre visite. Il est intéressant de relever que la fourniture des seuls identifiants "mics_vid" et mics_uaid" ont permis de répondre à la demande, ce point est important pour la suite (concernant Mediarithmics). Les finalités de la collecte ont bien été précisées dans la réponse.


Comme Valiuz, réponse cohérente et correspondant bien aux données de visites et d'achats, avec une réponse beaucoup plus complète au demeurant que Valiuz (segmentation incluse). La réponse a été apportée dans les délais prévus par la réglementation.


Aucune réponse après un mois de délai. Réclamation à venir très prochainement.



Enfin, plus intéressant concernant Mediarithmics :





L'équipe de Mediarithmics a dans un premier temps été très réactive, et a fourni une réponse très complète et juridiquement argumentée le jour même en précisant la position de l'organisme et la réponse qu'elle comptait apporter. Voici une partie du corps de cette réponse, qui à la fois tend à être plutôt rassurant en termes de collecte par environnement client, mais qui amène aussi malgré tout quelques interrogations.



Citation d'une partie de la réponse de l'équipe DPO de Mediarithmics :


"Nous distinguerons notre réponse en fonction de l'activité.


1. La fourniture de solutions logicielles marketing


Nous mettons à disposition de nos clients des environnements logiciels en SaaS (Software as a Service) leur permettant de collecter et de traiter des données personnelles. Ces environnements, de même que les données qu'ils contiennent, sont isolés et propres à chaque client.


Chaque client, en tant que Responsables de Traitements au sens du RGPD, définit les traitements de données qu'il effectue dans ses environnements, ainsi que les données collectées.


mediarithmics, en tant que Sous-Traitant au sens du RGPD, met à disposition de ses clients tous les services nécessaires pour le respect des réglementations en vigueur. Ces services incluent des services de consultation, modification et suppression des données permettant la réalisation de l'exercice des droits d'une personne concernée.



Exercice des droits dans le cadre de l'activité 1 [NDLR : fourniture de solutions logicielles marketing et collecte des données] :


Il vous appartient d'adresser votre demande d’exercice des droits directement au(x) Responsable(s) de Traitement concerné(s).


Afin de vous aider dans vos démarches, mediarithmics peut vous indiquer une liste de clients, Responsables de Traitement, susceptibles de traiter ou d'avoir traité des données vous concernant liées à votre identifiant cookie mediarithmics.


Pour ce faire, merci de nous transmettre l'identifiant cookie mediarithmics figurant sur votre navigateur en répondant à cet email.


Afin de récupérer votre identifiant cookie mediarithmics, il vous suffit de vous rendre sur notre site web depuis votre navigateur web ou mobile et de cliquer sur le lien suivant https://www.mediarithmics.io/legal/exercise-your-rights.


Nous attirons votre attention sur le fait que :


mediarithmics n’est pas habilitée à vous confirmer si des données personnelles vous concernant sont traitées par nos clients Responsables de Traitement ni à nous communiquer ou donner accès à ces données personnelle dans le cadre de cette procédure.
Il vous appartiendra de contacter directement les clients listés, Responsables de Traitement, pour exercer vos droits.
Cette liste de clients peut ne pas être exhaustive. Nos clients peuvent traiter des données vous concernant, sur la base d'autres identifiants que l'identifiant cookie mediarithmics ou de toutes autres données, pour lesquelles nous ne sommes pas en mesure de procéder à une réconciliation.
Dans le cadre de nos obligations d’assistance, à réception des informations relatives à votre identifiant cookie mediarithmics, nous informons les clients concernés de toute demande d'exercice des droits dont mediarithmics est destinataire en qualité de Sous-Traitant. Cette information comporte copie de votre demande initiale ainsi que de votre identifiant cookie Mediarithmics. Cette information ne vaut pas demande d’accès de votre part."



fin de citation.



Premier point : "Ces environnements, de même que les données qu'ils contiennent, sont isolés et propres à chaque client". Si cette affirmation est plutôt de nature à nous rassurer et paraît très vraisemblable, nous nous permettons malgré tout d'insister et d'exprimer notre inquiétude suite au constat de dépôts de traceurs à la valeur identique sur tous les sites, de façon indifférenciée, et nous ignorons dans quelle mesure et de quelle façon Mediarithmics enrichit les profils utilisateurs.



En revanche, il est important de préciser que dans la seconde partie de la réponse, Mediarithmics précise bien être responsable de traitement pour ce qui concerne les opérations de réconciliations, et indique nous apporter une réponse, moyennant la fourniture d'identifiants. Nous allons revenir sur ce point.



Par ailleurs, nous avons été dans un premier temps circonspects sur la nature du statut de sous-traitant de Mediarithmics. Au demeurant, il est exact que cette DMP ne définit pas d'elle-même les données collectées et les traitements associées : ce sont bien ses clients qui les déterminent, en l'espèce Valiuz. Une interrogation sur un point particulier, méritant un approfondissement juridique, a cependant persisté. Elle porte sur le fait que Mediarithmics collecte elle-même directement les données sur les sites visités, et non les alliances via leurs sites membres. Ainsi, si l'on audite le site "electrodepot.fr", on aurait à priori tendance à croire que Valiuz réalise techniquement la collecte de données via la source "analytics.valiuz.com", décelable sur le site electrodepot.fr comme le montre la capture d'écran ci-dessous.




Point de méfiance : le script-balise "tag.min.js" porte le même nom que la balise déposée par Médiarithmics. Dans une telle situation, notre intuition nous incite à réaliser une résolution DNS. Intuition confirmée :




Le domaine "analytic.valiuz.com" n'est qu'un alias du domaine "events.mediarithmics.com", contenant les scripts de collecte et de réconciliation de mediarithmics, qui donc réalise bel et bien directement la collecte de données auprès de l'usager. Au passage, afin de comprendre les objectifs et dangers potentiels pour l'utilisateur, nous proposons si cela intéresse nos lecteurs la visite de cette page de l'association "La quadrature du Net" expliquant l'utilisation d'alias, ou CNAME. Sur le fond, après avis de juriste (que l'on tient à remercier ici très chaleureusement au passage), Mediarithmics pourrait en théorie (dans le domaine de la collecte de données) se définir en qualité de sous-traitant, comme indiqué dans le courriel de réponse : c'est bien Valiuz qui, utilisant un outil technique, définit la collecte et les finalités des traitements. En revanche, le profilage opéré par Mediarithmics constitue bien un traitement dont il est responsable, ce qu'au demeurant, comme déjà dit, il ne conteste pas.



Si ces faits semblent se confirmer pour Gravity, qui qualifie dans sa politique de confidentialité Mediarithmics de "prestataire", il est intéressant de noter que Valiuz, en revanche, ne considère pas Mediarithmics comme un sous-traitant, mais bien comme un responsable conjoint de traitement, ainsi que le montre cet extrait de sa politique de confidentialité, consultable sur cette page :





Ainsi donc, la collecte de l'identifiant de et par médiarithmics constitue aux yeux de Valiuz un traitement de données, directement réalisé par cette DMP.



Mise à jour au 3 décembre : La vision de Valiuz semble la bonne. En effet, une délibération de 2018 du conseil d'Etat paraît assez clairement militer en faveur de ses arguments. Nous remercions au passage vivement Morgan Schmiedt, qui a appelé notre attention sur le sujet. L'alinea 11 de cette décision, disponible sur cette page, précise ceci :


11. L'utilisation de " cookies " répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l'article 6 précité. Lorsque des " cookies " sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de " cookies " mis en place pour son compte. Les autres tiers qui déposent des " cookies " à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels " cookies " par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le " cookie ", notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des " cookies " qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements


Ainsi donc, la collecte de l'identifiant de et par médiarithmics constitue un traitement de données, directement réalisé par cette DMP.



Mais cela signifie surtout une chose : les contrats éventuels passés entre Valiuz et Mediarithmics ne sont pas suffisamment explicites, puisque les deux parties n'ont pas la même vision de leur propre statut. Concernant ce point, le moins que l'on puisse dire est que l'article 28(3) du RGPD est peu respecté.





Ce point juridique qui peut sembler rébarbatif est loin d'être anodin, car si un responsable de traitement est tenu de communiquer les données qu'il a collectées auprès d'un individu, ce n'est pas le cas pour un sous-traitant ; cela change donc tout pour l'usager demandeur, qui n'aura pas connaissance des données collectées par Mediarithmics.



Mais un autre point préoccupant nous pose question. Comme vous avez pu le lire dans la réponse reçue, il existe un lien permettant d'obtenir directement son identifiant Mediarithmics. Entrangement, ce lien mène vers la page ci-dessous :




Erreur de programmation ? l'URL fourni par Mediarithmics a été testée sur une petite vingtaine de terminaux : même résultat. Ayant signalé ce dysfonctionnement, nous avons eu une réponse TROIS SEMAINES PLUS TARD nous fournissant un autre lien, que nous avons utilisé. Le résultat figure ci-dessous. (précision : les cookies tiers étaient bien évidemment acceptés sur notre navigateur à l'essai de cette nouvelle URL).




Difficile de déterminer si ce délai de trois semaines est intentionnel non, alors que l'équipe de Mediarithics a fourni une réponse le jour même de notre première demande. En effet, dans la mesure où l'équipe devine bien que cache et historiques de navigation sont régulièrement purgés, quand bien même nous obtiendrions un identifiant, celui-ci sera vide de contenu car il ne correspondra pas à nos visites initiales pour lesquelles nous avons exercé notre droit d'accès. Du reste, ce nouvel identifiant ne mènerait nulle part dans la mesure où aucune visite spécifique n'a été réalisée sous celui-ci depuis. Utiliser ce nouvel identifiant éventuel ne répondra donc pas à notre question. L'artifice, s'il est volontaire (et sans affirmer catégoriquement qu'il l'est), est plutôt malin. Les utilisateurs que nous sommes se sentent floués d'une certaine manière. Bye bye l'accès aux réconciliations opérées par Mediarithmics. On se doit tout de même de souligner que, suite au signalement de ce deuxième "dysfonctionnement", Mediarithmics a immédiatement répondu en précisant souhaiter apporter une solution aux difficultés rencontrées.



Il est à donc prévoir une absence de réponse consistante (en tous cas de réponse attendue) de la part de Mediarithmics au motif que l'identifiant dont elle prétend avoir besoin pour répondre à notre demande ne lui est pas fourni.



Argument non recevable à notre sens, car Valiuz de son côté n'a eu aucune difficulté à répondre à notre demande avec les identifiants fournis, qui sont EXACTEMENT LES MEMES pour Mediarithmics, usant DES MEMES SCRIPTS et de LA MEME TECHNOLOGIE à partir DES MEMES SERVEURS. On rappelle par ailleurs que Valiuz a fatalement utilisé la plateforme Mediarithmics pour répondre à notre demande, puisque techniquement, il s'agit du même support. Par ailleurs, le cookie "mics_vid" correspond bien à un cookie identifiant au regard de la documentation technique de Mediarithmics.




Difficile, donc, de ne pas y voir une manoeuvre de la part de Mediarithmics. En effet, nous restons convaincus que Mediarithmics est capable répondre à notre demande via le seul cookie tiers "mics_vid". En revanche, on peut supposer que cela demande des moyens possiblement coûteux.



Mieux : il est vraisemblable qu'à la lecture de cet article, Mediarithmics réponde à notre demande en spécifiant les seules visites évoquées dans cet article (en l'espèce electrodepot.fr et autoplus.fr). Mais nous savons que sur cette session, nous avons réalisé d'autres visites de sites appartenant aux deux alliances.



Autant le dire : nous ne saurons jamais.



Sur le fond, il est pour le moins regrettable qu'un utilisateur ne soit finalement pas en capacité de connaître les données personnelles détenues ou traitées par une DMP, quels qu'en fussent les arguments juridiques, techniques, la législation en vigueur, et ceci même après un parcours du combattant en termes de demande. Rappelons à ce propos que ces données se comptent par milliards. Fort heureusement, la récente délibération de la CNIL relative à Criteo est de nature à inverser une tendance qui consistait pour les partenaires à minimiser leur responsabilité vis-à-vis des éditeurs.


Il est hautement souhaitable que cette tendance d'accélère pour le bien de tous.


Dignilog.