Bouygues Telecom collecte des données sur ses abonnés en insérant des pixels espions dans les e-mails

La société Bouygues Telecom, un des principaux fournisseurs d’accès à Internet de France, envoie régulièrement des e-mails à ses 4 millions d’abonnés à Internet et ses 18 millions d’abonnés^[1] mobiles pour les informer qu’une nouvelle facture est disponible dans leur espace personnel, pour les avertir que leur forfait évolue ou pour réaliser des opérations promotionnelles.

Ces e-mails envoyés par Bouygues Telecom contiennent, pour la plupart, des images invisibles, appelées « pixels espions », qui se chargent, souvent automatiquement^[2], lorsque le destinataire ouvre l’e-mail, et qui permettent à l’opérateur d’étudier le comportement de ses abonnés, comme cela a déjà été expliqué dans un article dédié^[3].

Si certains de ces pixels espions, utilisés uniquement en interne par Bouygues Telecom, peuvent être considérés comme grandement immoraux et irrespectueux de la vie privée de ses abonnés, d’autres, sous-traités à des sociétés spécialisées dans la publicité ciblée, collectent des données personnelles et devraient être bannis.

Les pixels espions utilisés par Bouygues Telecom

Bouygues Telecom intègre plusieurs pixels espions dans les e-mails qu’il envoie à ses abonnés, notamment :

• un pixel appartenant à Google Analytics, la solution de mesure d’audience de Google ;
• un pixel appartenant à Weborama, une société spécialisée dans la collecte de données marketing et la diffusion de campagnes publicitaires en ligne.

L’opacité des pratiques de ces entreprises et le peu d’informations communiquées par Bouygues Telecom rendent difficile le décryptage des pratiques de l’opérateur. Les deux solutions, Google Analytics et Weborama, sont cependant connues pour collecter des données à caractère personnel sur les internautes, les recouper avec des données de sources différentes, et les utiliser à des fins de publicité ciblée.

L’analyse des e-mails de Bouygues Telecom a également révélé que l’opérateur a, volontairement ou involontairement, omis d’activer l’option permettant d’anonymiser les adresses IP collectées par Google Analytics et omis de désactiver l’option permettant de ne pas utiliser les données collectées à des fins de publicité ciblée.

Pour ce qui est de Weborama, l’analyse des e-mails de Bouygues Telecom a révélé que l’opérateur transmet à Weborama l’adresse e-mail de l’abonné, même si celle-ci est préalablement chiffrée.

L’encadrement de la collecte des données personnelles

La collecte de données à caractère personnel, comme l’adresse IP d’un internaute, son adresse e-mail ou « toute information se rapportant à une personne physique identifiée ou identifiable »^[4], est encadrée dans les pays de l’Union européenne depuis l’entrée en vigueur du RGPD. Ce texte oblige notamment les entreprises traitant des données personnelles à informer les personnes et éventuellement demander leur accord ou donner la possibilité de s’y opposer, à l’instar de ce qui se fait avec les bannières de consentement sur les sites Internet.

Bouygues Telecom ne communique cependant aucune information à ses abonnés sur la présence de ces pixels espions et il ne leur permet pas non plus de s’y opposer. Seule une option est proposée à l’abonné lui permettant de s’opposer à la réception d’e-mails promotionnels, mais le refus de l’internaute n’est même pas pris en compte en réalité.

Ce qui est demandé à Bouygues Telecom

Il n’est pas moralement acceptable d’espionner les faits et gestes d’un internaute, que ce soit un client ou non, mais sur ce point, rien ne peut les obliger à cesser, à part leur éthique. Leurs pratiques récentes, notamment en termes d’augmentation imposée des prix sous prétexte de l’ajout d’une quelconque option, nous ont montré cependant que la morale n’est pas leur point fort.

La règlementation européenne applicable en France nous permet toutefois de demander que les éléments collectant des données à caractère personnel soient retirés des e-mails si les exigences du RGPD ne sont pas respectés, ce qui est manifestement le cas. Une plainte a donc été déposée auprès de la CNIL pour demander que :

• Bouygues Telecom retire les pixels espions des e-mails envoyés à ses abonnés, notamment ceux permettant de collecter des données à caractère personnel sans leur consentement ;
• Bouygues Telecom informe ses abonnés que leurs données à caractère personnel ont été régulièrement collectées sans leur consentement, et ont pu être, ou ont été, utilisées à des fins de publicité personnalisée ;
• Bouygues Telecom supprime les données à caractère personnel obtenues sans le consentement de ses abonnés ;
• Bouygues Telecom fasse le nécessaire pour que les sociétés tierces ayant obtenu ces données les suppriment également.

Il a également été demandé à Bouygues Telecom de dédommager ses abonnés, car l’opérateur a permis à des sociétés tierces de les profiler et d’en tirer profit en leur proposant des publicités ciblées.

Des pixels espions partout

Bouygues Télécom n’est pas le seul à recourir à des pixels espions pour en savoir un peu plus sur les internautes. La grande majorité des acteurs recourt aux mêmes pratiques. Dans l’article dédié au fonctionnement des pixels espions publié sur ce site^[5], de nombreux e-mails ont, par exemple, été analysés, ce qui a montré que les e-mails envoyés par VeePee, ShowroomPrive, HelloBank (BNParibas), LinkedIn, E.Leclerc et Chronopost intégraient des pixels espions.

Cette pratique des pixels espions est certes très répandue, mais cela ne veut pas dire que l’on doit continuer à l’accepter. Cet espionnage globale et généralisé n’est pas acceptable, surtout si cela est fait en toute opacité ou si les pixels espions appartiennent à des sociétés spécialisées dans le marketing ou la publicité ciblée, à l’instar de Google Analytics.

Pourquoi Bouygues Telecom ?

Certains peuvent se demander, ou ont demandé, pourquoi avoir réalisé des démarches à l’encontre de Bouygues Telecom si tous les autres acteurs recourent aux mêmes pratiques. La réponse est simple. Google Analytics a été détecté uniquement dans les e-mails envoyés par Bouygues Telecom.

L’utilisation de la solution Google Analytics a toujours été très controversée, car les données collectées ne sont pas destinées uniquement à l’organisme qui utilise (gratuitement) la solution de Google. Les données collectées sont également utilisées par Google pour profiler les utilisateurs et leur proposer des publicités ciblées. Six mois après la publication de cet article, la CNIL a d’ailleurs estimé^[6] que les données collectées par Google Analytics étaient illégalement transférées vers les États-Unis, car les conditions du transfert ne permettent pas d’apporter un niveau de protection adéquat.

« Google Analytics permet de disposer de statistiques de fréquentation d’un site web. Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux. »

Cette décision de la CNIL ne fait pas les affaires de Bouygues Telecom. En plus d’intégrer un pixel espion de Google Analytics sans information, sans le consentement des internautes et sans la possibilité de s’y opposer, les données collectées sont également transférées illégalement vers les États-Unis. La solution évolue cependant très peu. Six mois après le dépôt du signalement à la CNIL, Bouygues Telecom intègre toujours le pixel espion Google Analytics.

MAJ du 19/03/2022 : ajout de la décision de la CNIL sur Google Analytics. Ajout des explications sur le choix de Bouygues Telecom. Ajout de l’évolution de la situation.