Les publicités en ligne enfreignent la vie privée

2020-10-20 0 By dporgpd

Un rapport préliminaire de l’Autorité de protection des données confirme plusieurs plaintes contre les normes de l’IAB en matière de collecte et de traitement des données personnelles. Séisme en vue pour Google et IAB.

C’est le pilier majeur du modèle économique du Web, en particulier des grandes plateformes comme Google. Et il est en train de se fissurer. Ce cœur du réacteur, c’est la publicité en temps réel, celle qui vous suit partout comme le sparadrap du Capitaine Haddock. Sa mécanique est extrêmement bien rodée: de petits « mouchards informatiques », appelés « cookies », recueillent vos données de navigation (adresse IP, historique, centres d’intérêt, genre, géolocalisation…). Cette matière première est ensuite revendue aux enchères par des intermédiaires à des annonceurs, qui affichent, en temps réel, leur publicité. Exemple, au hasard : une bannière Zalando qui apparaît après avoir introduit le mot-clé «baskets» dans Google.

Ce système, baptisé Real Time Bidding (RTB), est-il conforme au Règlement général sur la protection des données (RGPD) ? Autrement dit, la publicité en temps réel respecte-t-elle les dispositions en matière de protection de la vie privée ou, au contraire, est-elle au cœur d’une des fuites de données les plus massives de l’histoire du Web? Convaincus par les failles du RTB en matière de transparence et de légalité du traitement des données, 22 experts et organisations de défense des droits individuels, issus de 16 pays européens, avaient porté plainte en mai 2019 devant plusieurs autorités nationales de protection des données personnelles. Dans le viseur : Google et l’IAB, l’Internet Advertising Bureau, qui, entre autres, a développé le standard utilisé dans le cadre du fonctionnement de la publicité ciblée (OpenRTB).

Une victoire pour les plaignants

L’APD, l’Autorité belge de protection des données, qui a hérité des plaintes visant IAB Europe (car son siège social est installé à Bruxelles), vient de donner un indice de réponse déterminant. En substance, son Service d’inspection enfonce le clou: non, les normes de collecte de données pour la publicité en temps réel ne respectent pas le RGPD. C’est ce qu’il indique dans un rapport intermédiaire qui, certes, n’a pas le statut de décision judiciaire, mais constitue l’étape clé avant la définition d’une décision administrative. Une première victoire pour les plaignants, dont Pierre Dewitte (chercheur en droit des technologies de l’information au Centre for IT & IP Law de la KU Leuven) et Jef Ausloos (chercheur en droit des technologies de l’information à l’Université d’Amsterdam). Mais, surtout, un premier coup de semonce pour l’IAB, qui soutient depuis le début être en conformité avec le RGPD.

Ce n’est pas ce qu’avance le rapport, que les plaignants ont pu consulter. Il pointe clairement du doigt le système mis en place par l’IAB pour autoriser les entreprises à échanger des informations sensibles concernant les individus, même sans leur permission (ce qu’il a baptisé le « Transparency & Consent Framework, soit le TCF). « Ce système qui a été mis en place pour permettre soi-disant de se conformer au RGPD est problématique», com- mente Pierre Dewitte. Pour ne pas dire illégal…

« Pas de base légale »

Plusieurs principes de base de ce règlement européen ne seraient pas respectés. «Le RGPD précise que, lorsque vous traitez des données à caractère personnel, il faut une base légale, dont le consentement explicité des individus. Sauf que l’IAB se base aussi sur l’intérêt légitime. Ce que le service d’Inspection de l’APD constate, c’est que, dans ce cas, l’intérêt légitime ne peut pas être la base légale appropriée, simplement parce qu’il n’y a pas de démonstration que les intérêts de l’IAB prévalent sur la liberté des droits fondamentaux.

Qui plus est, comme le Real Time Bidding effectue un traitement de don- nées dites «sensibles» (comme votre orientation sexuelle ou vos opinions politiques), il nécessite un consentement explicite des personnes concernées. Pas seulement un « clic » sur une boîte de dialogue. La liste des entreprises qui exploiteront ces données doit, par exemple, être présentée. « Ce qui n’est pas le cas », relaie Pierre Dewitte.

Le rapport souligne aussi que, dans ses conditions générales, l’IAB tente de limiter sa responsabilité civile par rapport aux infractions à l’égard du règlement, ce qui, pour le service inspection de l’APD, constitue une circonstance aggravante.

Le rapport de l’instance belge, qui, en la matière, fait office d’autorité chef de file au niveau européen, a d’ores et déjà fait réagir IAB Europe. Rappelant qu’il ne s’agit ici que d’une « vue préliminaire» et «non contraignante» à l’enquête de l’APD, elle rappelle qu’elle n’est jamais que le fournisseur du standard OpenRTB et TCF et non le responsable de traitement de l’échange des données.

Sauf que cette norme régit toute la mécanique de la publicité en temps réel, un marché estimé à 6,7 milliards d’euros (en 2019). Si la décision de l’APD, à l’image de ce rapport préliminaire, confirmait l’illégalité du système de collecte et traitement des données à caractère personnel, c’est tout l’écosystème du Web qui devrait revoir sa copie. Du moins en Europe.

CategoryPublicité
TagsAPD cookies données IAB Internet Advertising Bureau OpenRTB privée protection publicité Real Time Bidding RGPD RTB vie

Laisser un commentaire