GoMail

Comment les entreprises collectent vos données via les e-mails

15 min de lecture

Comment les entreprises collectent vos données via les e-mails

Si vous utilisez les e-mails au quotidien, les entreprises en apprennent probablement plus sur vous que vous ne l’imaginez, souvent sans aucun consentement ou avertissement évident. Ce guide explique comment les entreprises collectent vos données via les e-mails, quelles astuces elles utilisent dans votre boîte de réception, et ce que vous pouvez faire pour y remédier, notamment quand l’utilisation d’une adresse e-mail temporaire s’avère vraiment judicieuse.

Pourquoi votre boîte de réception fuite plus de données que vous ne le pensez

Lorsque vous ouvrez un e-mail marketing, une newsletter ou même un message « transactionnel » comme un reçu, votre application de messagerie télécharge généralement des images et d’autres contenus distants depuis les serveurs de l’expéditeur. Cette simple action peut indiquer discrètement à l’expéditeur que votre adresse est active, à quel moment vous avez ouvert le message, où vous vous trouvez approximativement et quel appareil vous utilisez.

Les entreprises combinent ce flux de données d’e-mails avec des informations provenant du suivi web et de courtiers en données (data brokers) pour créer des profils détaillés qui alimentent la publicité ciblée, les décisions de tarification et même les messages politiques. La bonne nouvelle est que vous pouvez bloquer une grande partie de ce suivi avec quelques réglages et de meilleures habitudes, y compris l’utilisation d’adresses e-mail jetables ou temporaires lorsque vous ne voulez pas qu’un service sache qui vous êtes.

Quelles données les entreprises voient-elles lorsque vous ouvrez un e-mail

D’un point de vue technique, ouvrir un e-mail HTML classique s’apparente à la visite d’une mini-page web hébergée par l’expéditeur ou son fournisseur de services de messagerie. Chaque fois que votre client de messagerie charge ce contenu, il peut renvoyer plusieurs types d’informations.

  • Si l’e-mail a été ouvert et combien de fois.
  • L’heure de chaque ouverture et parfois combien de temps l’e-mail est resté à l’écran.
  • Votre adresse IP, qui peut être associée à un emplacement approximatif et à un fournisseur d’accès Internet.
  • Votre appareil, votre système d’exploitation et votre client de messagerie, qui sont utiles pour le fingerprinting (empreinte numérique).
  • Si vous avez cliqué sur des liens dans le message, et lesquels.

Les spécialistes du marketing stockent ces données en les associant à votre adresse e-mail. Ainsi, chaque ouverture et chaque clic viennent s’ajouter à un historique de votre comportement, de vos centres d’intérêt et de votre réactivité. Cet historique est souvent fusionné avec des données achetées auprès de courtiers, telles que les habitudes d’achat ou des segments démographiques, afin de décider quoi vous envoyer ensuite et avec quelle agressivité vous cibler.

Contenu vs métadonnées : pourquoi les métadonnées comptent plus que vous ne le pensez

Beaucoup de gens craignent que quelqu’un lise le texte de leurs e-mails, mais en matière de suivi, les métadonnées ont souvent plus de valeur que le contenu. Savoir que vous avez ouvert trois fois un message sur les prêts automobiles et cliqué sur le lien d’un simulateur de financement indique à un annonceur que vous êtes peut-être sur le point d’acheter une voiture, même si vous ne répondez jamais à l’e-mail.

Les courtiers en données vendent des micro-segments tels que « personnes actuellement à la recherche d’une voiture » ou « jeunes parents », parfois pour quelques dixièmes de centime par profil, en se basant en grande partie sur des signaux comportementaux comme les interactions par e-mail et l’activité en ligne. Ce type de métadonnées est plus difficile à voir et à contrôler pour vous, mais vous pouvez limiter la quantité de ces données qui quittent votre boîte de réception.

Comment les entreprises vous pistent : méthodes principales

Pixels de suivi : l’espion invisible dans votre e-mail

L’outil le plus largement utilisé est le pixel de suivi (ou tracking pixel), une minuscule image transparente de 1×1 intégrée dans le code HTML d’un e-mail. Chaque destinataire reçoit une URL d’image unique, de sorte que lorsque votre client de messagerie charge cette image, le serveur de l’expéditeur enregistre qu’une adresse spécifique a ouvert le message à une heure précise.

À partir du chargement d’un seul pixel invisible, l’expéditeur peut généralement savoir :

  • Que l’e-mail a bel et bien été ouvert, ce qui vérifie que l’adresse est active.
  • L’emplacement approximatif à partir de votre adresse IP.
  • L’appareil et le client de messagerie que vous avez utilisés, tels que « iPhone Mail » ou « Gmail sur Chrome ».

De nombreuses plateformes d’e-mail marketing rendent cela extrêmement simple ; il vous suffit de cocher une case pour « suivre les ouvertures » et le système gère l’injection du pixel et la journalisation pour chaque contact de votre liste. Ce suivi s’effectue souvent sans aucun avis clair dans l’e-mail lui-même, c’est pourquoi les groupes de défense de la vie privée considèrent les pixels de suivi comme un sérieux problème de transparence.

Empreinte numérique d’e-mail et profilage multi-appareils

Les pixels ne sont qu’une partie de l’histoire du pistage, car les entreprises s’appuient également sur l’empreinte numérique (fingerprinting) pour vous suivre sur tous vos appareils et services. Le fingerprinting combine de nombreux petits détails, tels que votre fuseau horaire, votre langue, vos polices, votre navigateur, la taille de votre écran et le modèle de votre appareil, pour créer un profil qui vous est probablement unique.

Même si vous effacez vos cookies ou utilisez la navigation privée, cette empreinte reste souvent suffisamment distincte pour que les réseaux publicitaires et les outils d’analyse puissent vous reconnaître lorsque vous cliquez depuis un e-mail vers un site web, ou lorsque vous ouvrez différentes applications liées à la même plateforme marketing. Certains fournisseurs relient les identifiants basés sur les e-mails aux empreintes web et aux identifiants publicitaires mobiles, ce qui leur permet de lier plus précisément les ouvertures d’e-mails aux impressions publicitaires et aux achats.

Les régulateurs de la vie privée en Europe et en Californie ont commencé à considérer le fingerprinting comme un traitement de données personnelles, ce qui signifie que les entreprises sont censées être transparentes et demander un consentement valide, mais l’application de ces règles reste inégale. Pour les utilisateurs, la conséquence pratique est que le simple blocage des cookies ne suffit plus pour éviter d’être suivi.

Vente et échange de listes d’e-mails via les courtiers en données

Même si vous lisez attentivement les cases à cocher de consentement, votre adresse peut toujours circuler bien au-delà de l’entreprise initiale à laquelle vous l’avez fournie. Il existe une vaste industrie de courtiers en listes et de courtiers en données qui collectent des adresses e-mail et des caractéristiques associées à partir de nombreuses sources pour les revendre en vrac.

Les sources courantes comprennent :

  • Les formulaires de « co-inscription » où l’inscription à une newsletter vous abonne discrètement à plusieurs autres.
  • Les concours et les cadeaux qui nécessitent une adresse e-mail, souvent avec des conditions générales vagues concernant les « partenaires ».
  • Les données publiques ou semi-publiques telles que les annuaires d’entreprises, les listes de participants à des salons professionnels ou les pages de contact web extraites (scraped).

Les courtiers catégorisent et fixent ensuite le prix de ces enregistrements, vendant parfois des segments très sensibles comme l’état de grossesse ou des intérêts liés à la santé pour beaucoup plus cher que des données démographiques génériques. Des recherches sur le marché américain suggèrent que les courtiers en données génèrent bien plus de deux cents milliards de dollars par an en emballant et en vendant des données personnelles, et les adresses e-mail constituent un identifiant central dans ces ensembles de données.

Ce que constatent les chercheurs et les défenseurs de la vie privée

Les organisations axées sur la vie privée et les rédacteurs spécialisés en sécurité avertissent depuis des années que le fingerprinting et le suivi des e-mails érodent l’anonymat pratique en ligne. Des analyses de pixels de suivi dans des newsletters populaires et des campagnes marketing montrent que de nombreux expéditeurs ne suivent pas seulement les ouvertures, mais aussi les ouvertures répétées et le comportement de défilement (scrolling), puis intègrent ces éléments dans des systèmes d’évaluation des prospects (lead-scoring) qui déterminent à quel point vous êtes « précieux » en tant que client potentiel.

Les guides des groupes de défense des droits numériques considèrent désormais le blocage des images distantes comme une étape de base pour la protection de la vie privée, car cela empêche la plupart des pixels de « téléphoner à la maison » à chaque fois que vous ouvrez un e-mail. Les spécialistes de la sécurité soulignent également que lorsque des adresses e-mail fuitent d’une violation de données ou d’un courtier, elles finissent souvent dans des listes de spam et de phishing, ce qui explique pourquoi une seule fuite peut entraîner une vague soudaine de messages suspects.

Les services d’e-mail temporaire ont fait leur entrée dans ce débat en tant qu’outil pratique, car ils vous permettent de vous inscrire à un service ou de télécharger un livre blanc sans jamais exposer votre adresse principale. Lorsque l’adresse jetable commence à recevoir du spam ou des e-mails bourrés de traqueurs, il vous suffit de cesser de l’utiliser, et les dommages n’atteignent pas votre boîte de réception principale.

Comment se protéger en pratique

Vous ne pouvez pas éviter complètement le suivi des e-mails, mais vous pouvez le réduire considérablement avec quelques habitudes et outils.

1. Bloquer les images distantes et les pixels de suivi

La mesure la plus efficace consiste à empêcher votre client de messagerie de charger automatiquement les images externes, ce qui neutralise la plupart des pixels de suivi. Dans Gmail sur le web, vous pouvez aller dans Paramètres → Général → Images et choisir « Demander avant d’afficher des images externes », de sorte que les pixels ne se chargent que si vous les autorisez explicitement.

De nombreux clients et services de messagerie respectueux de la vie privée bloquent les pixels de suivi par défaut ou font transiter les images par leurs propres serveurs (proxy) afin que l’expéditeur ne voie jamais votre véritable adresse IP. Recherchez dans les paramètres de votre application de messagerie des options liées aux « images distantes », au « contenu externe » ou à la « protection contre le suivi », et réglez-les sur le mode le plus restrictif que vous puissiez tolérer.

2. Utiliser des outils et extensions d’e-mail axés sur la confidentialité

Certains navigateurs et clients de messagerie prennent en charge des extensions qui détectent et bloquent les pixels de suivi connus ainsi que les domaines de suivi. Les modules complémentaires de navigateur qui ciblent le fingerprinting peuvent également rendre plus difficile l’association de vos clics d’e-mails à une empreinte web stable en randomisant ou en falsifiant certains attributs de l’appareil.

Si vous traitez régulièrement des communications sensibles, envisagez des fournisseurs de messagerie qui se concentrent sur le chiffrement et la confidentialité plutôt que sur les revenus publicitaires, car leur modèle économique dépend moins du profilage des utilisateurs. Ces services combinent souvent un stockage chiffré avec de meilleurs paramètres par défaut pour le blocage des images et l’anti-suivi.

3. Séparer les identités avec des alias et des e-mails temporaires

Au lieu de donner votre adresse principale à chaque site et application, créez des niveaux de sécurité. Les alias de votre fournisseur principal peuvent acheminer les e-mails vers votre véritable boîte de réception tout en donnant à chaque service une adresse unique, ce qui permet de repérer plus facilement qui a fait fuiter ou vendu vos informations.

Pour les inscriptions ponctuelles, les téléchargements risqués ou les sites auxquels vous ne faites pas totalement confiance, une adresse e-mail temporaire peut agir comme un bouclier jetable. Les services proposant des boîtes de réception éphémères vous permettent de recevoir des codes de confirmation, des liens et des messages basiques sans relier l’activité à votre véritable identité ou à votre boîte de réception permanente, et une fois que vous avez terminé, vous pouvez laisser l’adresse expirer.

L’e-mail temporaire est particulièrement utile pour :

  • Les téléchargements restreints comme les « e-books gratuits » et les livres blancs.
  • L’accès à des portails Wi-Fi ou des comptes d’essai que vous n’utiliserez peut-être plus jamais.
  • L’inscription à des réseaux sociaux ou des forums où vous vous attendez à du spam ou à un marketing agressif.

Sachez que tous les fournisseurs de messagerie temporaire ne fonctionnent pas de la même manière ; certains conservent les journaux plus longtemps ou recyclent les adresses, ce qui peut avoir son importance si vous manipulez des données sensibles. Choisissez donc des services avec des politiques de confidentialité claires.

4. Soyez sélectif concernant les abonnements et le consentement

Lorsque vous saisissez votre adresse e-mail dans un formulaire, lisez les petits caractères concernant les « partenaires », les « offres » et les cases à cocher de consentement. Décochez tout ce qui mentionne le partage de données avec des tiers, et réfléchissez-y à deux fois avant de fournir votre adresse principale en échange d’une petite réduction ou d’un téléchargement unique.

Si une newsletter ou un flux marketing devient trop envahissant ou suspect, utilisez le lien de désabonnement ou filtrez l’expéditeur directement vers un dossier ou la corbeille afin de ne plus interagir avec. Moins d’engagement signifie moins d’ouvertures et de clics, ce qui finit par priver leurs systèmes de suivi de données.

5. Combiner l’e-mail temporaire avec de bonnes habitudes de confidentialité

L’e-mail n’est qu’un point d’entrée dans l’écosystème de suivi. Il est donc préférable d’associer l’hygiène de votre boîte de réception à des mesures de confidentialité sur votre navigateur et votre appareil. L’utilisation de navigateurs axés sur la confidentialité, la limitation des extensions inutiles, l’activation du blocage des traqueurs et la connexion via un VPN rendent plus difficile l’association de votre activité par e-mail à une identité stable.

Dans cette boîte à outils plus large, l’e-mail temporaire joue un rôle spécifique : il garde votre « vraie » adresse hors de portée des services qui n’en ont pas besoin, et il limite les dégâts lorsqu’une base de données fuite ou qu’une entreprise vend ses listes. Considérez-le comme un téléphone jetable (burner phone) pour votre boîte de réception.

FAQ — questions fréquentes sur le suivi des e-mails et les e-mails temporaires

Puis-je empêcher complètement les entreprises de suivre mon activité par e-mail ?

Vous pouvez réduire le suivi de manière significative, mais vous ne pourrez probablement pas l’éliminer complètement. Bloquer les images distantes, utiliser des clients de messagerie axés sur la confidentialité et faire attention aux e-mails que vous ouvrez arrêteront la plupart des suivis basés sur les pixels. Cependant, certaines formes de fingerprinting et de journalisation côté serveur passent toujours entre les mailles du filet.

L’utilisation d’adresses e-mail temporaires est-elle sûre ?

Pour des tâches à faible risque telles que l’inscription à des newsletters, les essais d’applications ou le téléchargement de rapports, les adresses e-mail temporaires sont généralement sûres et très efficaces pour tenir le spam et le profilage à l’écart de votre boîte de réception principale. Vous ne devez pas les utiliser pour vos opérations bancaires, vos comptes gouvernementaux ou tout ce que vous pourriez avoir besoin de récupérer ultérieurement, car vous pouvez perdre l’accès à la boîte aux lettres lorsqu’elle expire et certains services peuvent bloquer les domaines jetables.

Comment puis-je savoir si un e-mail contient un pixel de suivi ?

La plupart des pixels de suivi sont invisibles, mais certains clients de messagerie et extensions de navigateur les signalent automatiquement ou affichent un avertissement lorsque les images distantes sont bloquées. En règle générale, partez du principe que tout message marketing de masse ou newsletter utilise des pixels pour le suivi des ouvertures, surtout s’il provient d’une grande plateforme d’e-mail marketing.

L’utilisation d’un VPN empêche-t-elle le suivi des e-mails ?

Un VPN masque votre véritable adresse IP à l’expéditeur, de sorte qu’il ne peut pas facilement associer vos ouvertures à votre emplacement physique ou à votre fournisseur d’accès Internet. Il n’arrête pas les pixels de suivi ou le fingerprinting à lui seul, c’est pourquoi vous devez toujours bloquer les images distantes et limiter les éléments sur lesquels vous cliquez.

Est-il légal pour les entreprises de suivre les e-mails de cette manière ?

Dans de nombreuses juridictions, le suivi des e-mails et le fingerprinting sont considérés comme un traitement de données personnelles. Les entreprises sont donc censées être transparentes et, dans certains cas, obtenir votre consentement. Dans la pratique, l’application est inégale, et de nombreux expéditeurs s’appuient sur des politiques de confidentialité vagues plutôt que sur des avertissements clairs dans les e-mails, c’est pourquoi prendre des mesures techniques de votre côté est si important.

Conclusion — reprendre le contrôle sur la façon dont les entreprises collectent vos données via les e-mails

Les entreprises collectent vos données par e-mail grâce à un mélange de pixels de suivi, de fingerprinting et de courtage de données, dont une grande partie est cachée derrière un simple clic pour « charger les images ». En bloquant le contenu distant, en utilisant des outils orientés vers la confidentialité, en étant sélectif quant aux endroits où votre adresse apparaît et en vous appuyant sur des e-mails temporaires pour vos interactions jetables, vous pouvez rendre votre boîte de réception beaucoup moins rentable pour les traqueurs et beaucoup plus sûre pour vous.