En effet, la commission de protection des données (Data Protection Commission : DPC) irlandaise a récemment annoncé qu’elle avait lancé une enquête afin de déterminer si le traitement des données personnelles par Google dans le cadre de l’initiative Ad Exchange contrevenait aux règles définies dans le Règlement Général sur la Protection des Données (RGPD).
La DPC a déclaré que l’enquête avait été déclenchée, entre autres, par Dr Johnny Ryan. Dr. Ryan est le CPO (Chief Policy Officer) de Brave, un navigateur focalisé sur la protection de la vie privée, qui a été fondé par Brendan Eich, inventeur de JavaScript et co-fondateur de Mozilla.
Selon Dr. Ryan,
Le système de publicité DoubleClick/Authorized Buyers de Google est actif sur 8,4 millions de sites web [et] rapporte à Google près de 19,9 milliards USD grâce aux annonces diffusées sur les sites web des éditeurs et s’appuie sur la diffusion des données personnelles des utilisateurs, et ce à leur insu.
L’annonce faite par la DPC précise que :
Suite aux investigations en cours menées par la DPC concernant la conformité en matière de protection des données dans le domaine de la publicité personnalisée en ligne, et à plusieurs signalements faits auprès de la Commission de protection des données, y compris ceux émanant du Dr. Johnny Ryan de Brave, une enquête statutaire conformément à l’article 110 du Data Protection Act 2018 a été initiée en ce qui concerne le traitement des données à caractère personnel par Google Ireland Limited dans le cadre de son programme en ligne Ad Exchange.
Des Plaintes officielles déposées par Brave
En septembre, Ryan a déposé une plainte officielle, à la fois auprès de l’ICO (Information Commissioner’s Office) situé au Royaume-Uni et auprès de la DPC en Irlande, contre Google et un certain nombre d’autres entreprises spécialisées dans les publicités en ligne. Le directeur exécutif d’Open Rights Group, Jim Killock, et Michael Veale, de l’University College de Londres, se sont également joints à la plainte.
La plainte indique que le système de publicité de Google DoubleClick/Authorized Buyers divulgue les données personnelles des visiteurs de sites web à des milliers d’entreprises, sans que les internautes n’en aient conscience, n’aient pu donner leur consentement et n’aient autorisé quiconque à le faire en amont.
La plainte fait référence à ce qui est appelé le ‘rapport Ryan’ : un rapport du Dr. Ryan qui décrit en détail la manière dont l’écosystème marketing de la publicité comportementale interagit avec les données personnelles des internautes.
Dernièrement, le Dr. Ryan a témoigné devant le Comité judiciaire du Sénat américain au sujet des questions au cœur de la plainte et du fameux rapport Ryan : à savoir les données personnelles sensibles qui sont diffusées à notre sujet presque chaque fois que nous visitons un site web qui utilise un système d’”offres en temps réel” via les enchères publicitaires.
Dans ces enchères publicitaires, les données nous concernant sont diffusées à des dizaines, voire des centaines de sociétés de suivi, a déclaré le Dr. Ryan. Ces entreprises de suivi permettent aux annonceurs de se faire concurrence pour pouvoir nous montrer une publicité en particulier.
I testified for @Brave at the US Senate Judiciary Committee this morning on the privacy and antitrust in the digital advertising ecosystem. Here is my testimony. https://t.co/uIot7RF86d
— Johnny Ryan (@johnnyryan) 21 mai 2019
La publicité est nécessaire pour financer la publication de contenu, donc tout est normal ici, non ? Vous pourriez le penser jusqu’à ce que vous découvriez le contenu de cette “vaste diffusion de données personnelles“, a déclaré Ryan :
Ces informations peuvent inclure votre orientation sexuelle supposée, vos opinions politiques, que vous soyez chrétien, juif ou musulman, etc., si vous avez le SIDA, des problèmes d’impuissance ou un comportement bipolaire. Cela inclut ce que vous lisez, regardez et écoutez. Elles comprennent aussi votre localisation, parfois même jusqu’à vos coordonnées GPS exactes. Et enfin, elles comportent également des codes d’identification uniques qui vous sont aussi spécifiques que votre numéro de sécurité sociale, de sorte que toutes ces données puissent vous être associées, de manière continue, et ce au fil du temps. Cela permet aux entreprises dont vous n’avez jamais entendu parler de conserver des profils très personnels sur vous et sur ce qui vous motive, ainsi que sur toutes les personnes que vous avez connues.
Ce processus a lieu “des centaines de milliards de fois par jour”, a déclaré le Dr. Ryan, et rien de tout cela n’est nécessaire pour une simple “publicité intelligente”. Cela ne rapporte pas non plus beaucoup de bénéfices, a-t-il déclaré, faisant référence à une recherche de l’Université Carnegie Mellon, qui devrait être publié le mois prochain, et qui montre que le profilage des éditeurs ne représente qu’un revenu net supplémentaire d’environ 4% : à savoir 0,00008 USD (à peu près 0.00007 euro) supplémentaire par annonce.
L’action de la DPC pourrait bien faire très mal !
La DPC irlandaise peut imposer de lourdes amendes : les entreprises jugées non conformes au RGPD sont passibles d’une amende pouvant aller jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires global annuel d’une entreprise.
La BBC a reçu la réponse suivante lorsqu’elle a interrogé Google au sujet de cette enquête :
Nous participerons pleinement aux investigations de la DPC et nous serons heureux de saisir cette possibilité de clarifier les règles européennes de protection des données pour les offres en temps réel. Les acheteurs autorisés (Authorised Buyers) utilisant nos systèmes sont soumis à des politiques et à des normes strictes.
La DPC examinera également les pratiques de conservation des données de Google.
Le CPO de Brave prédit pour sa part que “le capitalisme de la surveillance est sur le point de devenir obsolète”.
L’action de la DPC irlandaise montre qu’à présent, presque un an après l’introduction du RGPD, un changement est en cours et dépasse largement le cas Google. Nous devons réformer la publicité en ligne pour protéger la vie privée, les annonceurs et les éditeurs contre les risques juridiques liés au RGPD.
Billet inspiré de Google Ad Exchange in data privacy probe, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.