Le tracking (traçabilité en français) est une méthode ou aptitude permettant de retrouver l’historique de vie d’un objet, d’un animal ou d’un individu. Largement utilisé en ce qui concerne le transport d’objet comme les colis, le tracking a également été développé dans la filière animale suite à des épidémies comme celle dite de « la vache folle ». Pour les humains, certains pays s’y essaient (Chine notamment). Mais aujourd’hui, l’immense majorité du tracking s’effectue via le Web à des fins markéting.
Tracking Web
Principe de fonctionnement
Avec l’aide des outils technologiques actuels, la mise en place de tracking est mis en place sur le Web à des fins marketing. Lorsque vous naviguez sur un site web, vous allez charger une page Web qui contient de nombreuses informations comme :
- Code HTML
- Images
- Sons
- Vidéos
- Script permettant l’interaction avec le navigateur
- Cookies
Pour s’en rendre compte, ouvrez une fenêtre d’un navigateur comme Google Chrome ou Mozilla Firefox. Appuyer sur F12 et choisissez Réseau.
Choisissez ensuite un site Web à visiter. Ici, nous avons choisie www.bfmtv.com
Regardez ensuite la liste des domaines
Nous constatons que les domaines sont différents de bfmtv.com. Cela peut être d’autres web services, comme l’affichage d’images provenant d’autres sources mais c’est souvent des traceurs d’activités. Il génère des cookies dans votre navigateur, ou une trace chez le site partenaire si vous avez un compte ouvert, qui permettent de savoir que vous avez visité le site en question. Dans le cadre du cookie, un fichier est stocké sur votre équipement. Pour le site partenaire, les deux exemples typiques sont Facebook et Google. En effet, dans presque tous les cas, vous avez plusieurs onglets ouverts dans votre navigateur avec votre réseau social Facebook (cela fonctionne aussi avec Instagram et les autres) ou Google. Quand vous surfez sur d’autres sites, vous ne fermez vraisemblablement jamais votre Facebook, donc votre session est restée ouverte. Les appels que l’ont voir dans la page bfmtv.com à Facebook permet à Facebook d’enregistrer la page que vous avez visualisée. Mieux (ou pire), cela permet de retracer entièrement votre navigation sur ce site.
Ensuite, vous continuez votre navigation sur un autre site. Si celui-ci a un fonctionnement identique, Facebook va aussi enregistrer cette navigation. Google agit de la même manière.
Pour les cookies, le principe général reste le même mais, dans ce cas, la connexion a un compte n’est pas nécessaire. Le cookie généré via le premier site sera relu par un autre. Le site émetteur vérifiera la présence du cookie et permettra de savoir d’où vous venez et ce que vous avez visualisé.
Et mon consentement?
Votre consentement est nécessaire dès lors que les sociétés en question traitent vos données à caractère personnel. C’est le Réglement Général sur la Protection des Données qui l’impose depuis le 25 mai 2018. Ce consentement doit être éclairé, explicite et positif, en d’autres termes, il doit vous êtes demandé avant la collecte des données, via une action de validation de votre part et doit être exprimé en langage clair.
Et bien, ces sociétés respectent bien ces dispositions mais sont assez douées pour que cela passe presque inaperçu.
Premièrement, personne ne vous oblige à avoir un compte Facebook, Instagram ou Google. Lorsque vous créez ces comptes, le site vous explique bien sa finalité principale et ses autres finalités dans les conditions générales d’utilisation. C’est ici le premier travers car ces conditions sont souvent longues à lire mais c’est légal et vous ne pouvez pas dire que cela n’est pas indiqué. Ensuite, la création du compte est bien équivalent au recueil de votre consentement. C’est bien vous qui appuyez sur le bouton « Inscription ».
Pour les cookies, les sites Web vous l’indiquent également mais qui prend le temps de s’informer? Voici l’exemple quand on arrive sur la page du journal Le Parisien.
Comme beaucoup de personnes, vous cliquez sur « J’accepte » sans autres formes de procès. Vous avez donc donné votre consentement à l’utilisation de vos données personnelles. Un clic sur le bouton « paramétrer les cookies » vous aurait permet de voir que le site vous laisse la possibilité de « Tout refuser ». La CNIL travaille sur les bonnes pratiques pour une interface convivial de choix des cookies. En effet, même si cela n’est pas complexe, le refus demande une manipulation supplémentaire. A noter que sur notre site, le choix est directement disponible 😉
Tracking par géolocalisation
Le type de tracking permet de retracer votre parcours géographique. Utile dans le cadre professionnel pour le suivi en temps réel de véhicule, par exemple, il est considérer comme une atteinte à la liberté individuelle dans le cadre personnel. Si ces données peuvent apparaitre comme anodine (qu’est ce que je risque si on sais que je suis au supermarché?), elles peuvent permettent de retracer une portion de vie donc certains parties peuvent être exploitées à de mauvaise fins. Seriez-vous heureux que l’on puisse retracer votre santé? M. X va chez la cardiologue toutes les semaines depuis 6 mois. Est-ce que cette donnée pourrait intéresser des assureurs dans la cadre d’un prêt bancaire? Des conclusions hâtives pourraient être tirées sur votre santé (et engendrer un refus d’assurance de prêt) alors que ces rendez-vous sont juste là pour échanger avec cette cardiologue autour d’une passion commune (la pêche, par exemple).
Pour fonctionner, le tracking par géolocalisation peut utiliser plusieurs techniques :
- La géolocalisation par GPS (Global Positioning System) que l’on retrouve sur les smartphones avec une marge d’erreur de 3 à 50 mètres (dépendant de l’accès aux satellites et au nombre capté)
- La triangulation, quand on est connecté à 3 équipements dont on connait la position exacte, on peut, via la puissance des signaux, trouver sa position avec toujours une marge d’erreur
- Une version plus simple de la triangulation avec une seule antenne : puissance du signal pour la distance et angle par rapport à la direction d’émission de l’antenne
Tracking par présence à proximité
Ce type de tracking n’a pas pour but de trouver la position exacte de l’équipement mais de savoir si celui-ci a été proche d’un autre. Il existe plusieurs techniques avec les équipements actuels :
- Géolocalisation et rapprochement des positions
- Détection des autres équipements et remontée d’information si l’équipement recherché a été détecté
Dans ce second cas, l’utilisation de la norme « Bluetooth » est souvent citée. Ceci est aussi possible avec le Wifi.
Fonctionnement
Pour le bon fonctionnement, les équipements doivent être équipés de puce Bluetooth. Sur un smartphone classique, c’est le cas. Sur les versions récentes des systèmes d’exploitation (iOS, Android), le Bluetooth est activé et permet la connexion avec les autres équipements appairés mais l’équipement est rendu invisible afin d’éviter :
- Le scan permanent des autres équipements
- D’éviter la pénétration et donc le piratage potentiel du terminal. En effet, en ne laissant actif le protocole que quelques minutes, la personne qui effectue la manipulation est sûre de la légitimité de la connexion
Il convient donc de faire très attention lors de l’installation d’applications que celle-ci n’ai pas d’autorisations pour modifier le comportement du Bluetooth. Il est en effet possible, via quelques lignes de code, de créer dans une application la possibilité d’activer le Bluetooth. Si ceci n’est pas maitrisé, votre équipement sera toujours visible.
L’application de tracking devra donc avoir les autorisations nécessaires pour forcer le mode visible du Bluetooth. Quand vous passerez à proximité d’une autre équipement, celui-ci sera enregistré dans votre système à travers un identifiant unique, l’adresse BD_ADDR (Bluetooth Device Address). Ces informations seront remontées à un serveur central pour comparer les rencontres et indiquées si votre équipement à rencontrer celui recherché.
Dans l’exemple suivant, voyons ce qui va se passer avec 4 personnes équipées de smartphones. L’application va conserver la liste des smartphones rencontrés. Elle peut laisser cette liste en local sur le smartphone ou bien l’envoyer au serveur central.
Ensuite, si, par exemple, la personne du smartphone 3 se déclare infectée, l’information sera remontée au serveur central qui indiquera aux 2 autres smartphones rencontrés la rencontre avec un malade.
L’usage de ce type de solution est souvent envisagé ou mis en place dans le cadre d’épidémie pour le suivi des rencontres avec des personnes potentiellement infectées. Cette solution a toujours montré ces limites :
- approximation de l’évaluation des distances
- trop de remontées de faux positif quand on se retrouve dans une foule (ex : transports en commun) et un phénomène de peur et de rejet
- faible adoption par la population en raison du principe de liberté individuelle dans les démocraties
Le Wifi est aussi utilisé dans le cadre marketing lors de vos visites dans des centres commerciaux. Si le Wifi est activé sur votre équipement, il va forcément chercher à se connecter aux bornes Wifi. Dès la connexion, des informations de bases sont envoyées (même si on n’utilise pas l’accès proposé) dont un identifiant unique du terminal, l’adresse MAC permettant de se connecter au réseau. Cette adresse sera stockée et, en fonction de votre parcours dans le centre, on pourra retracer vos visites dans les différents magasins. Ensuite, il est possible pour les gestionnaires de connaitre les points fréquentés et les autres dans leurs centre.
Limites
Les principes énoncés montrent cependant des limites. Il faut remettre à jour ces données le plus souvent possible. C’est ce que l’on appelle la « fraicheur des données ». Les data-scientistes considèrent que 20% des données deviennent obsolètes tous les ans dans un système d’information. Sans données à jour, les conclusions risquent d’être faussées.
Je reviens ensuite sur les rendez-vous avec la cardiologue. Cela démontre bien les limitations de ces tracking car la modélisation des analyses prend en compte les éléments principaux mais oublie la majorité des cas possibles.
Par ailleurs, il y a d’autres limites sur le tracking Web. Un smartphone ou ordinateur peuvent être partagé entre plusieurs utilisateurs. Quelles conclusions tirées d’un mélange de surf dans une famille entre les parents et les enfants? Les conclusions tirées peuvent se révéler fausse, c’est ce que l’on nomme le biais de confirmation.
Face également au tracking, les utilisateurs commencent à prendre le temps de configurer les applications. Aussi bien chez Google, Facebook et autres, il est possible de retirer, par exemple, la géolocalisation via une option.
Enfin, des systèmes d’anonymisation de surf se mettre en place : vulgarisation du VPN, évolution des navigateurs (comme Mozilla Firefox) dont les développeurs veulent un usage transparent du Web. Les entreprises également s’intéressent à la protection des données. Certaines se lancent dans un démarche forte du respect des données afin d’être vue comme tiers de confiance.