Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Données personnelles : ça fuite sérieusement sur le site des clients de la Maif

Plus de 10 sites tiers pour la connexion à l'espace personnel

La tendance est à la commercialisation des données personnelles, au recours aux sociétés de marketing permettant de transformer des "leads". Le perlimpinpin du "digital" a des conséquences réelles pour les clients dont les données marketing sont malmenés.

Données personnelles : un combat permanent - Image par Gerd Altmann de Pixabay

Qu'est-ce qui peut bien se passer dans la tête des gens du marketing d'une mutuelle comme la Maif pour qu'ils décident de placer 12 appels à des sites tiers dans la page de connexion à l'espace personnel de ses clients ? Ces appels, ces « tags », ces « trackers » sont du code informatique qui va à la fois demander du contenu à des sites extérieurs à celui de la Maif et leur fournir des données personnelles sur les visiteurs du site Maif. Et pour la très grande majorité des utilisateurs des sites, celui de la Maif ou des sites de presse (les pires), il n'y a aucun moyen de s'opposer à cette fuite de leurs données. Les utilisateurs ne s'en rendent même pas compte. Sur les pop-ups qui nous demandent de régler le niveau de "privacy" souhaité, on accepte en fait, ou non, des cookies. Pas le fait que des prestataires extérieurs vont récolter des tonnes de données nous concernant et les traiter avec plus ou moins de délicatesse...

Sur le site de la Maif, la charger la page de connexion à l'espace personnel, c'est adresser l'information suivante : « mon adresse IP qui est la suivante a l'intention de se connecter à l'espace personnel de la Maif » à 12 entreprises qui n'ont rien à voir avec la Maif.

Page de connexion à l'espace personnel de la Maif - Copie d'écran
Page de connexion à l'espace personnel de la Maif - Copie d'écran

Ainsi, le client Maif envoie de l'information à Realytics, une société qui, sur le papier, permet de lier les passages TV de la marque à la fréquentation des sites Web. Promesse de marketeux : on va vous dire si vos spots TV ont généré du trafic sur vos sites Web.

On connaît des mages qui ramènent l'amour perdu avec autant de précision.

La performance en publicité a longtemps été l’apanage des marketeurs digitaux. Mais saviez-vous que la télévision est aussi excellent vecteur drive to web, drive to app et drive to call ? Les solutions Realytics vous permettent de révéler et d’amplifier la valeur apportée par les canaux offline. Justifiez et optimisez vos investissements TV !

"On the Internet, nobody knows you're a dog" - Dessin de presse de Peter Steiner en 1993 - Peter Steiner
"On the Internet, nobody knows you're a dog" - Dessin de presse de Peter Steiner en 1993 - Peter Steiner

Quand on a intégré que sur Internet, personne ne sait si vous êtes un chien, il y a de quoi s'interroger sur la fiabilité de tels outils.

La liste des sites qui reçoivent des informations sur les clients de la Maif est longue. Bing, de Microsoft ou Contentsquare, par exemple.

Chez ce dernier, on manie le pipotron « digital » avec brio :

Notre plateforme d'analyse de l'expérience numérique enregistre chaque interaction sur les pages et chaque micro-geste des utilisateurs pour comprendre ce qui se cache derrière chacun de leurs comportements. Ces analyses sont ensuite transformées en KPIs, dataviz ou encore insights afin de faciliter le travail de chaque collaborateur. En prenant en compte chaque amélioration apportée à l'expérience digitale, la plateforme Contentsquare vous permet de prendre des décisions plus intelligentes en matière d'engagement, de fidélisation et de revenu.

Le site promet même à ses clients de pouvoir faire du « session replay », c'est à dire de pouvoir rejouer a posteriori toute la visite d'un client. Ce qui implique de recevoir des informations extrêmement précises sur ce que le visiteur a fait sur le site...

La liste des sites tiers ne s'arrête pas là, on trouve aussi Tagcommander, Xiti, Trustcommander, Doubleclick, Mtcapcha, Leadplace, Google...

Merci de confirmer que vous êtes bien client...

Les statistiques sur Internet étant ce qu'elles sont, c'est à dire tout sauf scientifiques, on rétorquera que le fait de charger une page de connexion à un espace personnel n'implique pas que l'on soit véritablement client de cette société.

Dialogue avec la Maif - Copie d'écran Twitter
Dialogue avec la Maif - Copie d'écran Twitter
Sauf que dans le cas de la Maif, une fois connecté à l'espace personnel, le client envoie le message suivant à 5 sociétés : « je vous confirme que mon adresse IP qui est la suivante, s'est bien connectée à l'espace client de la Maif et que de ce fait, vous pouvez considérer que cette adresse IP appartient bien à un client de la Maif ».

Alertée via Twitter sur ce problème, le CM de la Maif avait promis de remonter l'information aux équipes SI (Systèmes d'information). Treize jours plus tard, rien n'a changé sur les pages de la Maif.

En outre, c'est mal connaître le fonctionnement des entreprises. Les personnes travaillant dans les services informatiques sont généralement les dernières à avoir envie de coller ce genre de tags dans leurs pages. La demande provient généralement des services marketing. Les KPIs (indicateurs clés de performance), c'est leur truc. Ça permet de mesurer du vent et de produire des nuages. En d'autres termes, on mesure au doigt mouillé des trucs qui ne veulent rien dire mais cela permet de faire de beaux camemberts dans des présentations powerpoint et de justifier l'existence du service marketing...

Contactée, la Maif nous a finalement adressé cette réponse :

Nous avons joint nos équipes techniques qui nous indiquent qu’effectivement des cookies sont bien positionnés sur Maif.fr afin de suivre la navigation des internautes. Lesdits cookies sont répartis entre plusieurs catégories distinctes qui concernent une finalité publicitaire, une finalité d’analyse d’audience (analytics) et une catégorie d’optimisation du site au travers de l’AB testing.

Tous les cookies à l’exception des cookies strictement essentiels au fonctionnement du site disposent d’un mécanisme de consentement opposition au travers de notre CMP qui bloque l’écriture des cookies (sauf exemptés de consentement) à l’ouverture des pages du site MAIF.fr et ceci en cohérence avec les exigences de la réglementation.

Les cookies publicitaires sont soumis à consentement de la personne. Dans tous les cas, la personne concernée peut rappeler l’interface et gérer ses consentements et oppositions à sa guise.

Par ailleurs, nous menons actuellement une veille active concernant la sortie des nouvelles lignes directrices de la CNIL ainsi que les décisions du Conseil d'Etat sur les cookies et adapterons notre service en fonction.

Nous avons procédé à une connexion sur le site générique de la Maif avec eux configurations différentes. Dans l'un des deux cas, un bandeau nous demandant d'accepter les cookies est apparu. Pas dans l'autre. Dans tous les cas, les cookies servant à la publicité dans un espace personnel d'une mutuelle nous semble pour le moins peu utiles d'autant qu'il faut faire confiance à un tiers pour que nos données ne soient pas exploitées n'importe comment.

2 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée