ALTERNATIVE "ABONNEMENT OU COOKIES" : LE SCANDALE DE LA DOUBLE PEINE




Payer un abonnement pour accéder à un site n'empêche pas forcément d'être pisté par des organismes de ciblage publicitaire.



La pratique du Paywal (que nous allons expliquer) se répand de plus en plus sur Internet. Il nous a paru intéressant de s'attarder sur ce phénomène qui a des conséquences directes et parfois non négligeables sur les utilisateur et / ou les lecteurs.



Publié le 1er novembre 2022



Qu'est-ce que le paywall ?


Le paywall est une pratique qui consiste à faire payer l'Internaute pour accéder à certains contenus. Dans la forme, il se présente la plupart du temps de deux manières : soit l'éditeur propose une alternative qui consiste à accepter les cookies ou s'abonner, soit l'utilisateur a un accès partiel au contenu et doit s'abonner ou payer pour accéder au contenu complet. C'est très souvent le cas pour les sites médiatiques. Le Paywall constitue une source non négligeable de revenus pour l'éditeur.



Est-ce légal ?


Pour ce qui concerne le principe en lui-même, réponse de jésuite : à défaut d'être légal, ce n'est pas illégal. La réponse peut surprendre, aussi semble-t-il nécessaire d'en résumer l'historique.


Beaucoup d'internautes ont été pour le moins surpris d'être soumis à l'alternative "accepter les cookies ou payer". Ils l'ont jugée déloyale et non conforme au RGPD, et s'en sont du reste plaint à la CNIL. Aujourd'hui encore, certains usagers s'en plaignent sur les réseaux sociaux. L'APD française a partagé et défendu cette position, légitimement fondée par ailleurs sur les lignes directrices du Comité Européen de la Protection des Données (CEPD). Ainsi, la CNIL a adopté le 4 juillet 2019 des lignes directrices sur les cookies et traceurs, évoquant en particulier le caractère non conforme au RGPD du Paywall. Cette décision a été contestée par des organismes professionnels défendant la publicité programmatique. Le Conseil d'Etat, saisi, s'est prononcé le 19 juin dernier : s'il valide l'ensemble des lignes directrices, il censure en revanche la partie concernant le "cookies wall" et "paywall", qui précisait que "l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies." La CNIL, organisme officiel, n'a eu d'autre choix que de prendre acte et se conformer à la décision du Conseil d'Etat. Le Paywall a donc sa place en France, ou du moins doit être considéré au cas par cas par la CNIL en cas de contestation : il n'existe donc pas de caractère systématique de légalité ou d'illégalité du Paywall. On comprendra, en dehors de tout contexte juridique, que la pratique interroge malgré tout. Il nous paraît donc naturel de se poser la question de l'intérêt, voire de la nécessité des paywalls pour ceux qui la mettent en place.


Paywall = revenus


Le premier constat opéré au sujet du Paywall est que la très grande majorité des sites qui le pratiquent est constituée de sites médiatiques. Ceci pose question d'emblée, car en effet, le paysage médiatique est aujourd'hui détenu par de grandes fortunes. Si l'on cite Bernard Arnaud, Xavier Niel, Patrick Drahi, Vincent Bolloré, les familles Dassault et Bouygues, on a déjà couvert une énorme majorité de médias les plus connus et / ou vendus en France. On peut, en tout état de cause et quels que soient les arguments avancés par tel ou tel propriétaire, exclure l'idée de mécénat médiatique au nom de la liberté de la presse. Posséder un ou plusieurs médias de nos jours équivaut à posséder un instrument d'influence et de pouvoir potentiels.
A contrario, on peut relever que certains médias ont fait le difficile et courageux choix, au nom d'une certaine indépendance éditoriale, d'avoir comme principale et pour ainsi dire unique source de financement les abonnements de leurs lecteurs, sans pour autant déposer de traceurs publicitaires ou faire collecter des données personnelles. On peut citer dans cette catégorie "Nextinpact" (qui en revanche a connu de sérieuses difficultés financières ces derniers mois) et "Mediapart". Par ailleurs, personne n'est choqué de voir des pages consacrées à la publicité dans tel quotidien ou tel hebdomadaire en format papier. Le propos ne consiste donc pas ici à fustiger la publicité en tant que telle ou dénoncer les bénéfices réalisés par les médias, mais plutôt à distinguer d'une part la légitimité d'une source de revenus, et d'autre part les méthodes employées pour en avoir et la loyauté desdites méthodes, et c'est sur ce point que nous allons plus précisément nous attarder.



Les méthodes prédominantes de Paywall


Comment un Paywall peut-il se présenter ? Premier exemple : un article apparaît dans un fil d'actualité ou sur un réseau social. L'Internaute clique sur l'article et tombe sur une proposition d'abonnement après quelques lignes de lecture. Rien de bien scandaleux, à cette exception près que certains contextes présentent une variante moins loyale.



Des tests d'accès d'articles (que tout un chacun peut aisément faire) ont été réalisés à partir de réseaux sociaux. Sans considérer le profilage élaboré par le réseau social en lui-même, l'Internaute, lorsqu'il clique sur l'article qu'il souhaite lire, peut tomber sur un paywall présentant l'alternative "accepter les cookies" ou "refuser et s'abonner". Cette formulation laisse fortement entendre qu'en acceptant les cookies, le lecteur pourra accéder à l'article complet. Or il n'en est rien : le lecteur n'aura accès qu'à quelques lignes, et devra, malgré l'acceptation des traceurs, s'abonner s'il souhaite lire la suite. On peut clairement considérer que la formulation de la fenêtre de consentement est trompeuse. Cette méthode porte un nom : "le sablier" : l'article est conçu pour tenir en haleine le lecteur qui souhaitera en connaître davantage sur le sujet. La "coupure" de l'article invitant à s'abonner intervient au moment le plus captivant possible, comme une fin d'épisode de série à suspense.



Dans une tel enchaînement des faits, assez fréquent il faut le reconnaître, c'est la double peine : l'Internaute qui souhaite absolument lire l'article va s'abonner APRES avoir consenti aux traceurs. Combien de lecteurs, une fois abonnés, vont-ils songer à modifier leur paramétrage cookies ? Combien d'internautes vont-ils, par prudence, se déconnecter du réseau social ou quitter le fil d'actualité pour se rendre directement la page d'accueil du média concerné et s'abonner ? La proportion est de toute évidence très faible voire quasi nulle, d'autant plus que dans la plupart des cas, les traceurs sont déjà déposés et la collecte de données déjà réalisée par les organismes tiers "partenaires" au moment de l'abonnement. On est en droit douter de la légalité de cette méthode et la considérer raisonnablement comme déloyale, du fait de la formulation initiale. Déception de constater que les deux quotidiens les plus vendus en France, in extenso "Le Monde" et "Le Figaro", l'utilisent. En grossissant le trait, on peut tout aussi légitimement se poser la question de savoir si l'impression d'un article sur un fil de réseau social, qui en définitive devient payant, n'est autre chose que de la publicité, à cette exception près qu'elle n'apparaît pas comme telle.



La question de la légalité de cette méthode sera posée à la CNIL d'ici à la fin de l'année. Il est clair qu'elle mérite une réflexion de fond. Aussi nous ne nous attendons pas à une réponse rapide...



Autre méthode : l'incitation forcée.


Chacun l'aura constaté : lorsque le lecteur est en capacité de refuser les traceurs, la lecture des pages suivantes peut être grandement gênée par l'apparition d'un bandeau persistant. Selon le cas, ce bandeau peut se réduire, voire dans de rares exceptions être fermé. Si le contenu dudit bandeau reste explicite et loyal, il faut néanmoins rappeler que le choix de l'utilisateur doit, au plan juridique, rester libre, comme l'indique l'article 4 du RGPD. Une fois encore, le fait de faire apparaître ce type de bandeau au discours parfois culpabilisant, voire trompeur (*), tend à influencer le lecteur et est de nature à restreindre sa liberté de choix.




(*) Exemple de bandeau trompeur : le journal "20 minutes" propose dans son bandeau persistant (si le lecteur refuse les traceurs) de n'accepter les cookies "que pour aujourd'hui". On comprendra, après avoir su que la durée de vie d'un cookie peut être largement supérieure à une journée, que les accepter est, en termes techniques, totalement inepte.



A ce stade , il demeure important de rappeler que l'absence de paywall n'est pas pour autant un signe positif pour l'internaute. Certains sites peu scrupuleux ne proposent aucun paywall. En revanche, leur bannière de consentement reste totalement inefficace dans la mesure où de multiples traceurs sont déposés sur le navigateur dès le chargement de la première page, qu'il y ait ou non consentement. Le fait d'accepter ou refuser les traceurs n'a, dans ce contexte, strictement aucun effet.



Abonnement et tracking


De façon générale, les abonnements ou l'acceptation payante pour avoir accès au contenu laisse supposer que le refus de traceurs reste possible. La CNIL précise du reste les cas de dépôts autorisés de traceurs dans cette configuration.




Parallèlement, beaucoup d'organismes proposent dans les avantages de leur formule d'abonnement une "publicité limitée" (formule la plus largement consacrée au regard des sites examinés). Cette expression plutôt floue peut laisser naïvement supposer que l'utilisateur y verra des publicités non ciblées, et qu'il ne sera donc pas profilé. Dans d'autres cas, les publicités n'apparaissent tout simplement pas, et, en configuration abonné, on peut distinguer sur les pages des cases vides qui étaient initialement conçues pour des impressions publicitaires. L'utilisateur doit-il se sentir rassuré dans un tel contexte ? Pas forcément.



Le tracking à tout prix, quoi qu'il en coûte.


1 - Abonnez vous avec...


Cette solution est fréquemment proposée comme moyen d'identification : on propose de s'abonner via un compte Google Pay ou Facebook. Nul besoin d'entrer dans les détails pour comprendre que s'abonner de cette façon consiste à ouvrir en grand l'accès à ses données, qui seront collectées et exploitées rapidement par les deux géants de la tech sans aucune entrave. Nous ne nous étendrons pas plus sur ce sujet.



2 - Outbrain et Taboola


Il est important ici de distinguer deux formes différentes de "promotion de produits ou services". Pourquoi employer cette expression ? Parce que le terme d'espace publicitaire au sens strict désigne (lorqu'on est abonné et/ou en "publicité limitée") certains espaces spécifiquement dédiés. Il existe en revanche une autre forme de promotion mercantile, outrageusement présente sur bien des sites : les liens sponsorisés, promouvant le dropshipping. Les deux organismes majeurs présents sur le marché sont Outbrain et Taboola. Nous allons nous y attarder. Sur certains sites médias, il existe des espaces proposant des liens qui ressemblent à d'autres articles. Un regard trop rapide laisse penser qu'il s'agit d'articles du même média, mais en s'y attardant, on comprend rapidement que ce n'est pas le cas. Ceci est bien évidemment intentionnel : on parle de publicité dite native, en termes plus explicites, une publicité qui s'insère au mieux dans le design de la page lue. Un exemple ci-dessous




Attention : l'impression de ces liens sponsorisés ne signifie pas forcément que l'internaute est ciblé ou profilé. Mais en y creusant, cela est, sans être strictement prouvé, plus que probable.
Nous devons malheureusement entrer un peu plus dans la technique pour justifier cette affirmation, que nous allons devoir reformuler : l'examen des requêtes http des sites ayant Outbrain ou Taboola pour partenaire fait apparaître le dépôt systématique de pixel de suivi propre à chacun. Dans les requêtes figurent ce que l'on appelle une balise d'entité Http (E-tag), qui, bien que n'étant pas conçue à l'origine pour profiler un utilisateur (tout comme les cookies du reste), peut parfaitement être utilisée comme outil de tracking. Il est plus intéressant par ailleurs de relever que pour le cas de Taboola, des éléments de navigation utilisateur sont collectés via d'autre requêtes http. Si cela pourrait se justifier pour déterminer le contexte favorable dans lequel l'Internaute va cliquer sur une publicité et réaliser une éventuelle conversion, cela permet tout autant de réaliser un véritable suivi analytique du visiteur (clicks, nombre de pages visitées, heatmaps, etc). Ainsi, l'utilisateur est résolu à se fier aux dires de l'éditeur selon lesquels il n'est pas ciblé... Difficile à croire quand on connaît désormais la publication de recherches réalisées par quelques membres du département de génie électronique de l'université de Louvain, qui démontrait entre autres que Taboola captait les contenus de formulaires sur certains sites (non français au demeurant) en mode touche par touche, avant même que l'utilisateur ne les confirme, ce qui est comme on peut s'en douter, aussi illégal que frauduleux. Mais ce n'est pas tout. Sans même afficher quoi que ce soit en termes de publicité, de sérieux doutes peuvent être émis pour ce qui concerne le profilage et la segmentation d'utilisateurs. Sans détenir non plus de preuves formelles, mais plutôt un fort faisceau de présomption, on peut évoquer un autre organisme : l'alliance Gravity.



3 - Le cas Gravity



L'alliance Gravity n'est pas là pour réaliser de l'affichage publicitaire : c'est une "Data managment Platform" (DMP), c'est-à-dire une plateforme qui recueille via les médias (majoritairement du moins) un nombre considérable de données afin de les analyser et de profiler et "catégoriser" les visiteurs. On parle de segmentation. La visite de la page d'accueil du site "alliancegravity.com" est très explicite sur le sujet, et permet du reste d'en comprendre le fonctionnement global, et surtout l'ampleur et la portée. Où Gravity puise-t-elle les données ? Principalement dans les sites médias, qui permettent une segmentation fine des visiteurs au regard des pages vues : orientation politique, niveau social, sport et loisirs, etc. Gravity a défini une politique de confidentialité en la matière relativement solide, précisant que chaque site partenaire (dont vous pouvez voir la liste dans l'onglet "Notre alliance" de sa page d'accueil), se doit de mentionner clairement et surtout explicitement dans sa propre politique de confidentialité le fait que Gravity collecte des données. Chaque site partenaire se doit aussi de proposer systématiquement une option de refus (opt-out) à l'utilisateur. Gravity va même plus loin : la page "alliancegravity.com/monprofil" vous propose de vous communiquer l'identifiant utilisateur de votre terminal, et de faire apparaître les segments dans lesquels vous êtes insérés !



Sur le papier, tout cela paraît très transparent. Mais....



Premier point : il est intéressant de noter que tous les sites partenaires de Gravity n'appliquent pas la politique de confidentialité qu'elle prétend imposer. Ainsi, par exemple, si le site "bfmtv.com" la mentionne clairement et propose un opt-out, d'autres sites en revanche n'en font jamais mention : "orange.fr", entre autres. Ces deux sites appartiennent pourtant de la même façon au "territoire de collecte des données" de Gravity. Il faut savoir par ailleurs que pour collecter les données, Gravity utilise techniquement une DMP partenaire : Médiarithmics. Ainsi, lorsque vous acceptez les cookies d'un site partenaire de Gravity, vous y trouverez pratiquement toujours Médiarithmics. Quelques exceptions subsistent cependant, car Gravity possède aussi sa propre balise qui s'insère dans les pages Web visitées, qui semble servir de "relais". Problème : quelques sites laissent la balise Gravity s'insérer avant tout consentement. Il est difficile de déterminer à ce stade si cette balise réalise un tracking effectif ou non : en effet, une visualisation côté client (c'est-à-dire sur le terminal du visiteur) ne laisse apparaître que le chargement d'un script, qui toutefois appelle Médiarithmics. Ceci ne signifie pas pour autant qu'il ne se passe rien côté serveur, ce qui est en revanche extrêmement difficile à démontrer. Au regard de ces faits, on est raisonnablement en droit d'émettre de sérieux doutes car en effet, le comportement de la balise Gravity reste exactement le même sur certains sites, que les cookies soient acceptés ou refusés. Or, on imagine mal une absence de profilage en cas d'acceptation de la part de l'utilisateur...
Enfin, pour ce qui concerne la page "mon profil", celle-ci sera blanche si vous utilisez un bloqueur de publicité (ce qui semble jusqu'ici tout-à-fait logique). En revanche, si vous n'en utilisez pas, on vous propose de faire le test et on prend le pari : miraculeusement, Gravity vous communiquera votre identifiant utilisateur (appelé ici "vec", et qui est votre identifiant réel, nous l'avons vérifié), mais surtout vous informera que vous n'apparaissez dans aucun segment, même si vous n'avez jamais refusé les cookies de votre vie sur aucun site et si vous n'avez jamais vidé le cache de vos navigateurs. Etonnant n'est-ce pas ? En prime, Gravity utilise le Recaptcha de Google, proscrit par la CNIL en raison de fuite de données personnelles vers Google (mais il est loin d'être le seul) :





Ainsi donc, abonné ou pas, et même en refusant les traceurs, vous ne supprimerez jamais votre profilage : au mieux, vous le limiterez.



Voici ci-dessous le tableau résumant pour chaque site média d'ampleur avec Paywall tout ce qui vient d'être évoqué ci dessus. En observation, nous y avons ajouté quelques éléments supplémentaires : utilisation de Google Fonts et Google analytics, imposition de renonciation au droit de rétractation, etc. Le visuel de ce tableau reste moyen ; nous avons tenté d'être le plus complet possible. Vous pouvez le télécharger ici


(données en date du 1er novembre 2022).




Vous pouvez télécharger ce tableau ici



Alors, qui sont les fautifs ?



Les éditeurs : responsables mais pas coupables ?



D'un point de vue réglementaire, les éditeurs sont généralement les responsables de traitement des données. Ceux-ci portent donc le poids juridique d'éventuelles violations du RGPD. Mais si l'on souhaite plus de transparence et de loyauté dans ce domaine, il faut en toute honnêteté aller plus loin.
La configuration actuelle du marché de la publicité programmatique fait que la plupart des solutions proposées aux éditeurs sont des solutions "clé-en-main". Ces formules permettent en définitive une certaine opacité. Pire encore : nous parlons ici de grands éditeurs, mais combien d'éditeurs de moindre taille ont-ils recours à des "Content Managment System" (CMS), qui proposent des solutions en ligne pour concevoir un site sans codage ? Quelle est la réelle maîtrise de nos éditeurs sur la gestion des balises de leur propre site ? Bien faible à notre sens : ceux-ci sont contraints et résolus à faire confiance à des prestataires, qui leur assurent que "tout est conforme au RGPD", tout en gérant des traceurs dits "server-side", c'est-à-dire des cookies ou des balises de tracking gérés et générés au niveau du serveur de site, sur lesquels, pour ainsi dire, aucune mainmise n'est possible.
Ainsi, bien malin l'éditeur qui aura parfaite maîtrise et connaissance (par exemple) de la façon dont Google Tag Manager gère en temps réel les balises présentes sur son site : il devra toujours faire appel à un prestataire spécialiste Google. Récemment encore, on a pu relever sur un réseau social l'observation d'un CEO de Consent Managment Platform, qui déclarait au sujet d'un cas bien spécifique (les CMS avec des "options supplémentaires" (Addons)) :
"Le nombre de trackers server-side configurés en toute impunité est vraiment inquiétant".
Ainsi, les CMP elles-mêmes, que l'on pourrait considérer d'une certaine façon comme garantes de la conformité des sites clients au RGPD, se retouvent elles-mêmes limitées en termes de capacité, et doivent être tout particulièrement vigilantes sur ces phénomènes. La réelle difficulté est là : on peut sanctionner à tout va les éditeurs, mais tant que ceux-ci n'auront pas la profonde maîtrise de la publication de leur site, et délégueront, forcés de faire confiance, à des sociétés prestataires qui n'auront juridiquement aucune réelle responsabilité, ces dérives seront présentes et le tracking du client sera toujours bien là. Un questionnement profond et sérieux est de toute évidence à se poser sur le sujet, tant pour l'éditeur que le législateur.



Dans tous les cas, la personne lésée reste inexorablement la même : l'usager.



Dignilog.