L’infrastructure adtech du géant du web et l’Interactive Advertising Bureau font l’objet de plusieurs plaintes depuis quelques mois par des acteurs de la protection de données en Europe. Déjà sanctionné pour manquements au consentement des utilisateurs, Google est cette fois également visé pour la diffusion de données à but publicitaire. En effet, les plaintes sont aujourd’hui relatives aux enchères en temps réel (RTB) et allèguent « des violations systématiques et à grande échelle du régime de protection des données par Google et d’autres » dans le secteur de la publicité comportementale.

La publicité en RTB et les catégories de données des internautes dans le viseur

Apparu en 2009, le Real-Time Bidding, appelé plus communément RTB, est une technologie utilisée dans la publicité en ligne qui consiste à vendre en temps réel et au plus offrant une impression publicitaire donnée.

Son processus se déroule en quelques millièmes de secondes : lorsqu’un internaute se rend sur une page web qui utilise le RTB, un serveur publicitaire ou “ad server” est appelé. Ce dernier est en lien avec un ou des “Supply Side Platform” (SSP) dont celui de Google et sa structure adtech : Google Doubleclick Ad Exchange. Le serveur appelle ces SSP et détermine celui qui offre le meilleur prix. La publicité remportant l’enchère est alors affichée sur la page web.

Les campagnes en RTB étant censées cibler uniquement les internautes jugés “pertinents”, les données sont donc essentielles dans leur mise en place. Elles proviennent généralement de cookies qui incluent des comportements de navigation et des indications de lieu et de temps, mais également des informations beaucoup plus précises.

Les données de demande d’offre des SSP sont classées par catégories, allant des plus anodines comme le sexe et l’âge aux plus inoffensives telles les animaux de compagnie ou le véhicule possédé, en passant par des étiquettes plus sensibles. En effet, parmi ces catégories, nous pouvons trouver l’ethnie, l’inclination politique, la religion, les maladies, ou encore l’orientation sexuelle.

Ce sont contre ce type de catégories personnelles et intimes méconnues du grand public que les plaignants s’insurgent. Et, plus précisément, contre le fait que le fonctionnement du RTB, se déroulant en temps réel, n’offre pas la possibilité aux utilisateurs de consentir ou non à chaque transaction de données. Ce qui, en Europe, est contraire au RGPD.

Une violation des données et du consentement de l’internaute contraires au RGPD

Les plaignants, issus d’Irlande, du Royaume-Uni et de la Pologne mettent également en avant le fait que, lors du processus d’une publicité RTB, les données des visiteurs sont diffusées à des milliers d’entreprises et qu’il n’y a aucun moyen de savoir ce qu’il en est alors fait par ces dernières. Nous pouvons prendre pour exemple une estimation de la New Economics Foundation qui suggère aux sociétés de vente aux enchères d’annoncer des profils intimes sur un internaute britannique en moyenne 164 fois par jour. Mais tout en ajoutant : « Les identifiants de suivi et autres informations personnelles ne sont pas réellement nécessaires pour le ciblage des annonces, mais vous permettent d’être réidentifié et profilé tous les jours. »

Or, l’article 5 du RGPD exige que les données à caractère personnel soient « traitées de manière à garantir une sécurité appropriée des données à caractère personnel, y compris une protection contre le traitement non autorisé ou illégal et contre la perte accidentelle. » Et de préciser que s’il n’est pas possible de protéger les données, il est interdit de les utiliser.

Aussi, les plaignants regrettent la catégorisation de données intimes et sensibles pouvant être attribuées aux internautes, sans qu’ils le sachent ni donnent leur autorisation à leur utilisation, et pointent notamment Google qui utilise sa propre liste de catégories.

« Les systèmes de vente aux enchères sont obscurs par conception », a déclaré Katarzyna Szymielewicz, présidente de la Fondation Panoptykon faisant partie des plaignants. »Le manque de transparence empêche les utilisateurs d’exercer leurs droits en vertu du RGPD. Il n’existe aucun moyen de vérifier, corriger ou supprimer les catégories marketing qui nous ont été attribuées, même si nous parlons de nos données personnelles. IAB et Google doivent redéfinir leurs systèmes pour remédier à cet échec ».

L’Interactive Advertising Bureau (IAB) Europe visé par ces plaintes, se décharge de toute responsabilité, estimant que les plaintes sont « fondamentalement mal adressées à IAB Europe ou au laboratoire technique d’IAB » et affirmant « qu’elles ne démontrent aucune violation de la législation de l’UE en matière de protection des données. »

Ce à quoi les divers plaignants ont rétorqué que l’IAB ne pouvait pas prétendre être un simple spectateur : “En définissant et en promouvant le système, il joue un rôle dans la détermination des objectifs et des moyens de traitement de ces données.”

À cette réponse des plaignants, ont d’ailleurs été ajoutées, comme preuves, les listes de catégories établies par l’IAB lui-même où se trouvent des étiquettes spécifiques aux données intimes.

Google, également, ne fait aucun commentaire sur l’existence de ces étiquettes, et déclare même appliquer les règles strictes qui interdisent aux annonceurs sur leurs plates-formes de cibler des personnes en fonction de catégories sensibles.

Les plaintes relatives à l’utilisation de données intimes et sensibles se limiteront-t-elles au RTB ?

Après avoir reçu les listes de catégories de Google et de l’IAB pour examen, un porte-parole de l’Information Commissioners Office a déclaré: « L’ICO et nos partenaires au sein du Comité européen de la protection des données sont déjà engagés sur diverses questions relatives à Google et nous sommes plus largement impliqués dans le secteur. »

Bien que l’ICO ait fait de la publicité comportementale en ligne une priorité, elle note dans sa stratégie technologique qu’elle approfondit également le suivi Web et inter-périphériques, en citant des exemples tels que les empreintes de périphérique, de navigateur et de canevas.

« Cela devrait continuer à mesure que davantage d’appareils se connectent à Internet (IoT, véhicules, etc.) et que les individus en utilisent de plus en plus pour leurs activités en ligne« , note le document. « Ces nouvelles capacités de suivi en ligne sont de plus en plus courantes et posent des risques beaucoup plus grands en termes de surveillance et de suivi systématiques des personnes. La combinaison des technologies intrusives incite à considérer ce domaine comme une préoccupation essentielle. »

Il y a donc fort à parier que le RGPD devra faire face à de plus en plus d’infractions à sa réglementation…