Data leakage / breach

Écrit par B. Bathelot, modifié le 08/11/2020
Glossaires : Z'autres glossaires Inclassables Marketing des données / data

Le data leakage ou data breach, qui peut être traduit en français par fuite de données, est un phénomène par lequel des données annonceur ou éditeur relatives aux clients, prospects ou visiteurs d'un site web sont transmises à son insu à un tiers. Le danger du data leakage concerne les sites éditeurs, les sites e-commerce et tout type de site à vocation marketing ou commerciale.

La protection et le risque de fuite des données annonceurs ne constituent pas une problématique totalement nouvelle car ils existent depuis longtemps dans le domaine du marketing direct en cas de location ou d'échange de fichiers.

La notion de data leaking prend cependant une nouvelle forme et une nouvelle échelle dans les domaines du commerce électronique et du marketing digital où les données sont omniprésentes.

Les tags tiers implantés sur les sites web et les tags et SDK utilisés sur les applications mobiles sont autant d'occasions d'une potentielle fuite de données. Ces tags tiers servent le plus souvent à analyser l'audience, à mesurer des conversions, à déterminer des attributions, à utiliser des plugins sociaux ou à collecter ou enrichir de la data publicitaire. Ils peuvent se compter par dizaines sur un site web ou une application et placent le plus souvent des cookies gérés par le prestataire qui peuvent potentiellement collecter des informations contextuelles liées au site visité.

L'utilisation des DMP externalisée peut constituer également un point de sortie plus ou moins contrôlé des données et un risque de data leaking. Lorsque ces DMP intègrent des fonctions d'onboarding, ce ne sont plus seulement les données online qui sont potentiellement concernées mais également les données offline en provenance du CRM "traditionnel".

Les ad exchanges, trading desk, et autres places de marché programmatiques sont également des endroits où la donnée peut être en danger car les procédures d'enchères peuvent entraîner des transmissions de données qui ne sont pas toujours contrôlées.

On peut considérer qu'il existe deux types de data leaking.

La première correspond au cas où un prestataire technologique marketing va détourner les données de son client / utilisateur pour son propre usage ou pour celui d'un autre client en ne respectant pas des engagements ou en trompant l'utilisateur annonceur par des conditions ou pratiques opaques ou illisibles. La complexité de l'écosystème de la data et son évolution font qu'il n'est pas toujours aisé pour l'annonceur / éditeur de distinguer le bon grain de l'ivraie parmi la multitude de prestataires. C'est encore plus difficile pour les acteurs de taille moyenne ou modeste qui n'ont pas forcément les compétences ou l'assistance d'une agence ou d'un conseil compétent.

La deuxième forme de data leaking peut être considérée comme une forme de fuite passive et finalement acceptée. Lorsqu'un éditeur utilise AdSense ou un plugin ou tag Facebook, il sait (au moins pour les acteurs avertis) que Google ou Facebook vont employer leurs tags pour affiner les centres d'intérêts des visiteurs en fonction de la thématique du site et utiliser éventuellement cette donnée de ciblage pour d'autres annonceurs sur d'autre sites.

Un exemple d'analyse des tags tiers et du flux de données effectuée par Ghostery sur la page de réservation de Hertz :

Une présentation illustrant et détaillant le phénomène et les risques du data leakage :