Les régulateurs en Europe ont été confrontés à un flot de plaintes concernant les entreprises opérant dans le domaine de la technologie publicitaire. Nous discutons de la situation - les causes et les conséquences potentielles.
Photos - ev - UnsplashQuelles sont les plaintes liées à
Les appels sont liés à la technologie RTB (Real-Time Bidding). Il est nécessaire pour les enchères publicitaires et est basé sur le protocole
OpenRTB . Des organisations telles que
IAB , Google, MediaMath et DataXu
participent à son développement. Pour afficher des publicités ciblées, le système RTB
identifie les visiteurs du site Web par les navigateurs, les comptes de réseaux sociaux et les cookies. Les représentants de grandes organisations et universités européennes
notent que les mécanismes RTB violent les exigences du règlement général sur la protection des données (RGPD) et peuvent entraîner des fuites massives de DP.
Fin mai, des plaintes ont été reçues par des régulateurs en Espagne, aux Pays-Bas, en Belgique et au Luxembourg. Ils ont été
envoyés par des représentants de l'organisation à but non lucratif Eticas Foundation, de la Bits of Freedom Foundation, ainsi que des universités d'Amsterdam et de Louvain.
Au début de l'année, des plaintes similaires ont été
déposées par des régulateurs au Royaume-Uni, en Pologne et en Irlande. Ils étaient dirigés par les développeurs du navigateur Brave, des employés de l'Université de Londres et des représentants de l'organisation Open Rights Group, qui s'occupe du respect des droits et libertés de la personne dans le monde numérique.
Ce qui ne convient pas à RTB
Lorsqu'un utilisateur ouvre une page de site Web, le système RTB (et les sites similaires) analyse ses données personnelles (cookies, etc.) et les envoie à des centaines d'annonceurs. De plus, des algorithmes spéciaux du côté des entreprises décident d'afficher ou non des publicités à cette personne et fixent un prix pour l'affichage d'une bannière. Un visiteur du site verra une bannière de l'entreprise qui a offert le plus gros montant.
Ces «enchères» traitent quotidiennement un grand nombre de transactions. Le système des acheteurs autorisés de Google
fonctionne avec 8 millions de sites Web et 2 000 organisations. Le deuxième service AppNexus d'AT & T réalise quotidiennement 130 milliards de transactions de données personnelles. Dans le même temps, selon les estimations de la New Economics Foundation, une page peut transmettre des informations sur l'utilisateur à 164 autres sites (
page 4 ).
Les experts notent que toute cette situation est contraire au cinquième article du RGPD. Il ne
permet le traitement de PD que si une protection fiable est fournie contre leur perte ou leur compromission. L'utilisateur doit savoir qui utilise ses données et pourquoi. Dans les conditions actuelles, il est impossible de garantir le respect de ces exigences.
Il existe déjà des précédents - en mai, Twitter a
découvert un bogue dans le système AdTech. La société a accidentellement divulgué les informations de localisation de certains utilisateurs iOS via des mécanismes RTB (bien qu'ils n'aient appliqué aucune sanction pour cette violation).
Photos - Franki Chamaki - UnsplashUn autre problème est l'incapacité à contrôler le contenu des profils comportementaux qui composent la plateforme publicitaire. Certaines balises que le système «attache» aux utilisateurs
peuvent divulguer des informations qui n'étaient pas destinées à
être rendues publiques par l'utilisateur lui-même - par exemple, des données sur des problèmes de santé potentiels. Aujourd'hui, l'industrie AdTech ne dispose pas de mécanismes spéciaux permettant de restreindre la collecte de données ou d'interdire leur traitement du côté des individus, comme l'exige l'
article 18 du RGPD .
Ce que disent les experts
L'IAB
affirme que les plaintes concernant le travail des entreprises qui fournissent des outils AdTech ne nuisent qu'au développement de l'industrie numérique et n'ont aucun fondement. Selon eux, les principes du travail RTB sont pleinement conformes au RGPD - afin de répondre aux exigences de la loi, l'association IAB a
développé l' an dernier
un cadre spécial. Avec lui, les visiteurs du site peuvent savoir quels sites traitent leurs données personnelles. Google
utilise une liste de
règles et de règlements pour protéger la PD, qui sont obligatoires pour l'organisation elle-même et les partenaires travaillant dans le domaine du marketing programmatique.
Mais au début de l’année, une source anonyme de l’IAB a
signalé que la direction de l’entreprise était au courant des violations de la publicité programmatique des exigences du Règlement général. Selon eux, il est «techniquement impossible» de rectifier la situation. Les avocats et les personnalités publiques ont qualifié ces informations de preuves de nombreuses violations du droit européen par les sociétés AdTech.
Les experts s'attendent à ce que les régulateurs d'Espagne, de Belgique et du Luxembourg, qui ont reçu des plaintes au sujet de la RTB cette année, commencent bientôt à rédiger des amendes.
Plusieurs procédures sont déjà en cours. En mai, le régulateur irlandais a
lancé une enquête sur Quantcast. L'entreprise est accusée de collecter illégalement des données personnelles et de compiler des profils de comportement. Bien que les représentants de Quantcast
disent qu'il n'y a pas de violations de leur part et que tous les processus commerciaux sont exécutés conformément à la loi. Google
fait également l'objet d'une enquête en raison de fuites de PD dans le service des acheteurs autorisés - la société
court le risque de recevoir
une autre amende d'un montant de 4% du chiffre d'affaires annuel.
Et ensuite
La Commission irlandaise de protection des données et d'autres régulateurs reconnaissent très probablement les violations du RGPD. En outre, des mesures peuvent être prises au niveau de la Commission européenne, ce qui compliquera le travail des sociétés AdTech dans toute l'Union européenne.
Lecture supplémentaire de nos blogs et réseaux sociaux:
Contrôle des appareils électroniques à la frontière - un besoin ou une violation des droits de l'homme?
Comment vérifier la conformité des cookies au RGPD - un nouvel outil ouvert vous aidera
Comment protéger un serveur virtuel sur Internet
Minimisation des risques: comment ne pas perdre vos données
Instantanés: pourquoi avons-nous besoin de «instantanés»
Sauvegardes: brièvement sur la sauvegarde