La publicité en ligne episode 3 les problèmes lies à la publicite

La publicité en ligne, épisode 3 : les problèmes liés à la publicité

Après avoir vu ensemble comment fonctionne une partie des systèmes de publicité puis abordé le sujet des données récoltées ainsi que les raisons de cette récolte, attaquons-nous maintenant aux problèmes liés à la publicité.

Le chargement des pages

Certaines personnes y pensent, d’autres non : avoir de la publicité ralentit considérablement le temps de chargement des pages visitées, ainsi que le poids de ces pages. Nous allons revenir à notre exemple de BFMTV pour avoir des mesures plus parlantes.

Voici ce qu’il se passe lorsque vous chargez « uniquement » le contenu de BFMTV. Pas de trackers externes, pas de chargement de publicité, pas de scripts tiers qui récupèrent de la donnée, le contenu ici est uniquement celui du site.

Informations : tests réalisés avec Firefox 56, sur une ligne ADSL à 16 mégas. Informations récupérées via la console réseau de Firefox, sans être en mode privé, avec uBlock Origin, uMatrix et HTTPS Everywhere (cliquez pour agrandir)

BFMTV sans la publicité
BFMTV sans la publicité

Le temps de chargement, dans l’ensemble, est relativement correct, avec ou sans mise en cache. On charge quand-même un peu plus de 2Mo pour obtenir la page, mais ça reste correct.

Observons maintenant un second test, dans les mêmes conditions de test, mais avec uBlock Origin, uMatrix et HTTPS Everywhere désactivés. (cliquez pour agrandir)

BFM avec pub
BFM avec la publicité

Clairement, ça pique. Plus de 17 secondes de chargement avec une mise en cache, plus de 20 sans la mise en cache, et plus de la moitié des éléments à charger sont des js, ou javascripts.

Si la page « n’est que » deux fois plus lourde, 4.5Mo, le temps de chargement est, lui, environ 11.6 fois plus élevé.

Pourquoi ?

Si vous avez lu les deux premiers billets, de dont je ne doute pas (ils sont ici et , sinon), vous l’aurez compris : d’un côté, votre navigateur doit aller se connecter çà et là pour récupérer du contenu publicitaire. De l’autre, des enchères sont réalisés, via le RTB, pour vendre certains espaces publicitaires du site. Le temps qu’ils soient mis en vente, vendus, que votre navigateur se connecte au site tiers, récupère le contenu, le charge, ça prend du temps, et de la bande passante.

Dans notre pays, sur nos lignes qui sont majoritairement en haut débit, pas de problème. Mais en mobilité ? Sur une connexion chancelante ? Dans un autre pays si vous êtes en voyage ? De la même façon, charger ces ressources, c’est un coût en bande passante, en stockage, en énergie…

Je chipote peut-être, ou peut-être pas après tout, lorsqu’on voit la différence phénoménale entre ce site avec et sans pub, ces questions arrivent très rapidement. On parle de plus de 50% du chargement consacré à la publicité, excusez-moi du peu.

Une dernière remarque sur ce point : j’ai pris le site de BFMTV, mais le test est valable avec bien d’autres sites : plus de la moitié de la donnée chargée et du temps consacré à charger tout ceci est pris par la publicité…

Un problème de vie privée

La principale problématique de la publicité, c’est le risque qu’elle fait peser sur l’intimité et la vie privée des internautes. Nous l’avons vu dans le second billet, les acteurs de la publicité en ligne cherchent à récupérer le plus de données sur nous. D’un côté pour alimenter leurs bases, de l’autre pour segmenter plus finalement, disposer de plus de variables et donc, de capacités de présentation de la bonne publicité, sur la bonne impression, pour maximiser son retour sur investissement.

Qu’est-ce qui est collecté ? Comment ? Est-ce que cette récupération est sécurisée (a minima, est-ce que la connexion est sécurisée) ? Où sont stockées ces données ? Sont-elles revendues ? A qui ?

Il faut voir ce secteur comme n’importe quelle grande entreprise : elle dispose de données, elle effectue des opérations et obtenir le détail de ces opérations relève parfois de l’impossible.

Si certaines mentions légales, comme celles de BFMTV, sont relativement claires, d’autres sont au moins autant claires qu’un jour de brouillard épais en Angleterre.

Et mêmes dans celles de BFMTV, un problème subsiste et est parfaitement mis en avant :

La liste ci-dessus n’est pas une liste exhaustive car elle ne comprend pas les cookies déposés par des tiers dans le cadre de la publicité issue d’achats programmatiques (enchères en temps réel ou real time bidding « RTB »). En effet, l’identification du dépôt de cookies dans ce cadre ne peut techniquement être constatée qu’à postériori du dépôt et uniquement pendant la durée de vie de la campagne programmatique.

Dans le cadre du RTB, il n’est pas directement possible d’interdire le dépôt du cookie depuis le site de l’éditeur. D’autant plus qu’en fonction de qui remporte l’enchère, le cookie ne sera pas le même, pas émis par la même source.

On se retrouve, à cet instant de la réflexion, face à un problème de taille : impossible d’interdire entièrement le ciblage et la collecte de nos faits et gestes à des fins publicitaires. Il existe évidemment des solutions, mais nous y viendrons à la fin de ce billet.

La surveillance

C’est un problème connu des activistes de la vie privée, dont votre serviteur estime faire partie : la publicité contribue massivement à la surveillance en ligne. Comprenons-nous bien : avec les deux précédents billets, vous avez compris et les mécanismes de la publicité, et le spectre des données collectées, qui est tout simplement phénoménal.

La base de données de Facebook est capable, à l’utilisateur près, de dire qui a tel ou tel âge, qui est intéressé par tel ou tel chose, qui fait quoi, travaille où … et c’est bien plus massif que ça : grâce aux applications mobiles, il est également possible de connaître vos déplacements et indirectement, les lieux où vous êtes toute la journée. Ainsi, Facebook sait où vous vivez, où vous travaillez, qui vous voyez, etc. Google est capable d’en savoir au moins autant, si ce n’est plus.

Un outil de rêve, avec des données disponibles sur énormément de personnes, que demander de plus ?

Les sites internet, les BFMTV, les Youtube et les autres, existent et se financent majoritairement ou exclusivement sur des systèmes qui gravitent autour de la publicité et, sauf erreur de ma part, ce sont les pionniers de la surveillance en ligne. Certes de la surveillance à des fins publicitaires, mais de la surveillance.

D’ailleurs, les éléments qui démontrent qu’il est possible de surveiller quelqu’un avec la publicité ne manquent pas. Récemment, une étude publiée par trois chercheurs de l’Université de Washington démontrait qu’il était capable de traquer les déplacements d’un individu, pour une somme négligeable pour des services de renseignement. L’étude, disponible ici (en anglais)[PDF] est une belle démonstration des liens qui peuvent exister entre surveillance et publicité. Si la surveillance est capable d’exister sans la publicité, l’inverse n’est pas réciproque et les techniques développées par le monde de la publicité servent, sans aucun doute, les finalités de la surveillance en ligne.

Alors, que faire ?

La publicité en ligne peut se contrer, avec des méthodes plus ou moins efficaces. La plupart des personnes qui me lisent ont déjà entendu parler de uBlock, uMatrix et des autres outils disponibles pour bloquer à peu près tout ce qu’on souhaite, mais est-ce quelqu’un s’est déjà intéressé à ce qui était bloqué ? A ce que c’était ? Si d’autres solutions existaient ?

Le cookie de blocage

De nombreux sites publicitaires proposent de déposer un « opt-out » de leur publicité ciblée, cela permet de ne plus avoir de publicité ciblée basée sur les cookies de tracking du site…mais :

  • Cela ne fonctionne que si vous acceptez les cookies tiers du site
  • Cela ne fonctionne que si vous n’avez pas effacé vos cookies
  • Cela ne fonctionne que pour l’usage du cookie publicitaire
  • Cela ne fonctionne que dans le navigateur où vous avez le cookie déposé
  • Les données sont toujours collectées
  • Les autres données, comme le contenu de la page web, sont toujours pris en compte

En résumé : cela permet juste de ne plus avoir de publicité ciblée, cela n’empêche pas la collecte des données et cela ne fonctionne que dans un type de publicité, dans un cadre bien précis, sur une fraction du problème, dans une fraction de cas. Une bien mince solution pour un si gros problème.

L’acceptation (ou le refus) des cookies

Bien que de nombreuses choses risquent de changer d’ici peu, tant avec le RGPD qu’avec e-privacy, les éditeurs de sites sont actuellement légalement tenus de vous demander votre consentement pour accepter le tracking des sites tiers… mais si, vous savez, le bandeau d’information que vous avez déjà pu voir, çà et là :

Exemple de bandeau d'information sur les cookies... pas conforme à l'esprit de la loi.

Sur le sujet, la CNIL est relativement claire. Les cookies regroupent :

  • les cookies http (ceux que vous connaissez),
  • les cookies flash,
  • le calcul d’un identifiant unique (basé sur des paramètres de votre machine),
  • les pixels invisibles,
  • tout autre identifiant généré par un logiciel, qui vous est rattaché,

et qu’ils collectent ou non des données personnelles, ce sont des cookies.

La loi, sur le sujet, est également très claire via la directive 2002/58/CE [PDF] et la directive 2009/139/CE, extrait :

Les  États  membres  garantissent  que  l’utilisation  des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans  le  respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

On résume : normalement, un éditeur de site doit vous demander votre accord pour déposer des cookies, et doit avoir fait le nécessaire pour qu’il ne soit pas possible de déposer des cookies tiers sans votre consentement.

Or, comme vous l’avez déjà remarqué, la plupart des bandeaux d’information ne vous permettent pas d’interdire le dépôt des cookies tiers et, malheureusement, la majorité des privacy policies des éditeurs ne permettent pas d’interdire l’ensemble des outils de surveillance en ligne. Rajoutez à cela ce que nous avons vu tout à l’heure : le RTB ne permet pas d’anticiper le blocage d’un cookie tiers.

On résumera donc de la façon suivante : la politique d’acceptation des cookies, au mieux elle est partiellement appliquée et applicable, au pire les éditeurs de sites s’en fichent complètement et vous laissent vous débrouiller si vous voulez vous protéger… ce qui est pourtant considéré comme déconseillé, voire interdit, par les lois relatives à ces sujets.

Il existe bien des sites, comme http://www.youronlinechoices.com/fr/controler-ses-cookies/, pour gérer de façon globale l’acceptation ou le refus des cookies… mais c’est, au mieux, une grosse plaisanterie : on dépose un cookie de blocage… oui, le cookie de blocage dont je parlais quelques lignes plus haut, c’est cela même.

Donc les mêmes problèmes, les mêmes limitations, la même inefficacité.

Ainsi… il ne reste plus qu’une seule solution durable et efficace pour bloquer l’ensemble de la surveillance en ligne : les bloqueurs comme uBlock ou uMatrix par exemple. Ici, on bloque la connexion au site tiers, l’exécution des scripts en provenance des connexions tierces, le dépôt d’un ou plusieurs cookies, bref, il est possible d’absolument tout bloquer, y compris ce qui ne devrait pas l’être, comme les vidéos internes ou encore le CSS.

Vous l’aurez compris, via ces trois billets, la publicité en ligne est partout et n’est pas sans impacts, tant sur Internet que dans le monde de la surveillance. Nous sommes en face de deux mondes qui s’affrontent. Le premier ayant besoin de nos données pour exister, le second ayant décidé de reprendre le contrôle sur ces dernières. Il n’existe pas de solution douce ou de compromis face à cela, soit vous acceptez d’être pistés, soit vous vous opposez à ce monde dans son ensemble.

Reste à voir comment les choses évolueront, tant sur le plan législatif que sur le plan technique…

6 thoughts on “La publicité en ligne, épisode 3 : les problèmes liés à la publicité”

  1. Bonjour,

    Sur la question de l’acceptation des cookies, je trouve qu’un module de Firefox détruisant les cookies 10s après la fermeture d’un onglet est une bonne solution. On accepte tout, on ne se complique pas la vie, mais on est pas suivi non plus, puisque tout est rapidement nettoyé.

    Cookie AutoDelete est un module offrant ce comportement.

    À l’usage, je garde l’icône visible, pour sélectionner les sites pour lesquels je souhaite garder les cookies. En effet, quand je suis sur un site de confiance (Framasoft, les miens), il est pratique de pouvoir profiter de l’authentification au mois via cookie (l’option « rester connecté »).

    En attendant, bravo pour cette série d’articles.

    1. Bonsoir et merci pour ton commentaire,

      L’idée est partiellement bonne : en effet, le cookie étant effacé, on supprime une partie du tracking permanent.

      Cependant, les gains ne sont que partiels puisque l’espace d’un instant, on a laissé passer ces fichiers, ainsi que ceux potentiellement liés au publicités en RTB, on vient donc alimenter une ou plusieurs bases de données, sur un ou plusieurs centres d’intérêts & co., bref, sur les problèmes soulignés ici 🙁

      Je rejoins ton avis sur la seconde partie de ton commentaire, mais ces derniers ne sont pas directement concernés par l’article : ce sont généralement des cookies de session / techniques. Ici, je ne vise que les cookies tiers et ceux publicitaires 🙂

  2. Ces cookies tiers, ne sont-ils pas refusés par défaut par Firefox ?

    Dans : about:preferences#privacy

    (si c’est le cas, au moins j’aurais appris à quoi ils servent… sinon dans le doute, je les ai toujours refusés 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *