Audit: suivi utilisateurs Google, Meta et Microsoft post-désinscription Un audit révèle que Google, Meta et Microsoft poursuivent le suivi des utilisateurs après désinscription, malgré les signaux de refus et le Global Privacy Control. Le suivi des utilisateurs après désinscription est au cœur d'un nouvel éclairage sur la confidentialité en ligne.
Le suivi des utilisateurs après désinscription est au cœur d'un nouvel éclairage sur la confidentialité en ligne. Dans une étude menée par webXray, Google, Microsoft et Meta sont examinés sur leur capacité à répondre aux demandes de confidentialité des internautes californiens. Malgré les signaux de refus et le Global Privacy Control (GPC), ces géants du net poursuivent l’installation de cookies publicitaires et la collecte de données, même lorsque l’utilisateur a choisi de se retirer.
Ce que révèle l'audit
Selon l’enquête, les trois géants continuent de traquer les utilisateurs après leur désinscription en Californie. Google ignore les demandes de confidentialité dans 87 % des cas, et Meta dans 69 %. Le rapport précise que l’observation porte sur des signaux de refus émis par les internautes, notamment via le GPC, et sur la manière dont ces signaux sont (ou non) respectés par les grandes plateformes.
WebXray a testé des scénarios typiques où des internautes souhaitent refuser le pistage publicitaire. L’objectif est de mesurer l’écart entre une intention déclarée et la pratique observée sur les interfaces et les mécanismes d’implémentation des sociétés.
- Google : 87 % des demandes de confidentialité ignorées selon l’audit.
- Meta : 69 % des demandes ignorées selon l’audit.
- Portée : l’étude se concentre sur des internautes californiens et sur des signaux de refus utilisés dans le cadre du contrôle de la vie privée.
Comment fonctionnent les signaux de refus et le Global Privacy Control
Le Global Privacy Control est un standard visant à transmettre la préférence de refus de suivi via des en-têtes ou des paramètres du navigateur. Sa promesse est simple: si un internaute active le GPC, les sites devraient limiter ou mettre fin au pistage. Or, l’adoption et l’interprétation varient d’un service à l’autre. Certains navigateurs affichent et transmettent le signal, mais un nombre important de grandes plateformes n’appliquent pas systématiquement cette préférence, comme le montre l’audit.
Autrement dit, même lorsque le GPC est activé, le suivi peut persister par le biais de cookies publicitaires, d’identifiants internes ou de méthodes de suivi alternatives. Le résultat: une réduction limitée de l’efficacité des signaux de refus et, pour l’utilisateur, une confusion croissante sur ce qui est réellement protégé.
Ce que cela change pour les internautes et les pratiques des géants
Ces résultats alimentent le débat sur la fiabilité des protections de la vie privée en ligne. Pour les internautes, cela signifie que désactiver ou limiter le pistage via des outils standard ne suffit pas toujours à couper le suivi, notamment sur les plateformes majeures. Pour Google, Meta et Microsoft, l’enjeu est double: améliorer les mécanismes d’application des préférences et clarifier les pratiques de collecte pour regagner une certaine confiance.
Au-delà des chiffres, l’audit met en lumière la complexité du paysage publicitaire et l’écosystème du pistage. Les entreprises doivent démontrer une conformité plus transparente, tandis que les régulateurs pourraient être amenés à demander des comptes sur les niveaux d’adhérence au GPC et à d’autres signaux de confidentialité.
Limites et ce qu’on ignore encore
Comme toute étude, cet audit présente des limites. Il se concentre sur une population spécifique (des internautes californiens) et sur l’observance des signaux de refus dans le cadre du pistage publicitaire. Il ne couvre pas d’autres vecteurs de collecte potentiels (fingerprinting, identifiants internes, appels API) ni les comportements hors ligne. De plus, les chiffres reflètent une méthodologie précise et ne doivent pas être extrapolés sans précautions à l’ensemble du marché ou à d’autres régions.
Pour terminer
La réalité du suivi post-désinscription demeure une inquiétude majeure pour la vie privée. L’audit souligne que les signaux de refus ne suffisent pas toujours à stopper la collecte et rappelle la nécessité d’un cadre plus clair et plus robuste pour protéger les internautes, tout en responsabilisant les acteurs du numérique.
