Même l’IAB a averti adtech des risques liés aux règles de l’UE en matière de protection de la vie privée

Une plainte relative à la protection de la vie privée visant l’industrie de la publicité comportementale a une nouvelle preuve qui montre que l’Internet Advertising Bureau (IAB) jette le doute sur la possibilité d’obtenir le consentement éclairé des internautes pour le système d’enchères en temps réel (RTB) de l’industrie de la publicité programmatique pour diffuser leurs données personnelles.

L’industrie adtech fonctionne en recueillant les données des internautes, en regroupant les identifiants individuels et les données de navigation dans des appels d’offres qui sont systématiquement partagés avec des tiers afin de solliciter et de mettre à l’échelle les offres des annonceurs à l’attention de l’utilisateur.

Lire également : Google lance l'application éducative Bolo pour améliorer l'alphabétisation des enfants en Inde

Toutefois, une série de plaintes déposées l’automne dernier par Jim Killock, directeur de l’Open Rights Group, le Dr Johnny Ryan du navigateur privé Brave et Michael Veale, chercheur en données et politiques à l’University College de Londres, allèguent que cela entraîne des “violations systémiques et à grande échelle” des règles communautaires de protection des données.

Jusqu’à présent, des plaintes ont été déposées auprès d’agences de protection des données en Irlande, au Royaume-Uni et en Pologne, bien que l’intention soit d’étendre cette action à l’ensemble de l’UE étant donné que la publicité comportementale n’est pas spécifique à une région.

A découvrir également : CBS All Access sort une bande-annonce sinistre et étoilée pour Twilight Zone de Jordan Peele.

Google et l’IAB ont fixé les spécifications RTB utilisées par l’industrie de la publicité en ligne et sont donc les principales cibles ici, les plaignants préconisant des modifications de la spécification pour rendre le système conforme au régime de protection des données de l’Union.

Nous avons déjà couvert la plainte, y compris une soumission antérieure montrant les inférences très délicates qui peuvent être incluses dans les demandes de soumissions. Mais les documents obtenus par les plaignants grâce à la demande d’accès à l’information et récemment publiés cette semaine montrent que l’IAB elle-même a averti en 2017 que le système RTB risque de violer les règles de l’UE en matière de protection de la vie privée, et en particulier les règles relatives au consentement en vertu du règlement général de l’UE sur la protection des données (GDPR) qui est entré en vigueur en mai dernier.

Les plaignants ont publié les derniers éléments de preuve sur un nouveau site Web de campagne.

À tout le moins, l’admission semble gênante pour l’organisme de l’industrie de la publicité en ligne.

“incompatible avec le consentement en vertu de la GDPR”

Dans un courriel envoyé aux cadres supérieurs de la Commission européenne en juin 2017 par Townsend Feehan, PDG d’IAB Europe – et maintenant utilisé comme preuve dans les plaintes – elle écrit qu’elle souhaite développer les préoccupations exprimées lors d’une table ronde sur les propositions de la Commission en matière de vie privée et électronique qui, selon elle, pourraient “signifier la fin du modèle commercial de publicité en ligne”.

M. Feehan a joint un document de 18 pages au courriel dans lequel on peut voir l’IAB faire pression contre la proposition de la Commission relative à la protection de la vie privée dans le secteur des communications électroniques – affirmant qu’elle aura “de graves répercussions négatives sur l’industrie de la publicité numérique, sur les médias européens et, en définitive, sur l’accès des citoyens européens aux informations et autres contenus et services en ligne”.

Le CCI insiste ensuite pour que des amendements spécifiques soient apportés au texte proposé du règlement. (Comme nous l’avons déjà écrit, un important effort de lobbying a explosé depuis que GDPR a accepté d’essayer de bloquer la mise à jour des règles de protection de la vie privée électronique qui fonctionnent parallèlement, couvrant le marketing et les communications électroniques, les cookies et autres technologies de suivi en ligne).

Alors qu’il fait pression pour édulcorer les règles relatives à la protection de la vie privée dans le secteur des communications électroniques, le CCI suggère qu’il est “techniquement impossible” que le consentement éclairé fonctionne dans un scénario d’appel d’offres en temps réel – en écrivant ce qui suit dans un segment intitulé “Prior information requirement will’break’ programmatic trading” :

Étant donné qu’il est techniquement impossible pour l’utilisateur de disposer d’informations préalables sur chaque responsable du traitement des données impliqué dans un scénario d’enchères en temps réel (RTB), le commerce programmatique, domaine dans lequel les dépenses publicitaires numériques augmentent le plus rapidement, semble, du moins à première vue, être incompatible avec le consentement du GDPR – et, comme indiqué ci-dessus, si un futur règlement ePrivacy rend pratiquement toute interaction avec Internet soumise uniquement au consentement juridique et que le consentement ne peut être donné, aucun fondement juridique ne sera alors prévu ni pour ce traitement de données à effectuer ni pour les médias qui veulent en tirer une telle profit.

L’idée qu’il est impossible d’obtenir le consentement éclairé des internautes pour le traitement de leurs données personnelles avant de le faire est importante parce que l’industrie de la publicité comportementale, telle qu’elle fonctionne actuellement, inclut des données personnelles dans les appels d’offres qu’elle diffuse systématiquement à ce qui peut être des milliers de sociétés tiers.

En effet, le point central des plaintes de la RTB est que les données à caractère personnel doivent être supprimées de ces demandes – et uniquement les informations contextuelles diffusées pour cibler les publicités, précisément parce que le système actuel viole systématiquement les droits des internautes européens en n’obtenant pas leur consentement pour que des données personnelles soient extraites et transmises à de nombreuses entités inconnues.

Dans ses efforts de lobbying visant à démoraliser le règlement sur la protection de la vie privée dans le secteur des communications électroniques, l’IAB peut ici faire valoir un point similaire – lorsqu’il écrit que le commerce programmatique “semblerait, au moins à première vue, incompatible avec le consentement en vertu du GDPR” (même si, dans la phrase, il ajoute certains de ses propres critères).

L’IAB cherche certainement à déployer des arguments en faveur de la protection de la vie privée pour tenter de diluer le droit à la vie privée des Européens.

Malgré ses propres réserves quant à l’absence de solution technique pour obtenir l’autorisation d’effectuer des transactions programmatiques dans le cadre du GDPR, l’IAB a néanmoins lancé un mécanisme technique pour gérer – et, selon elle, se conformer aux exigences de consentement du GDPR en avril 2018, quand elle a encouragé l’industrie à utiliser son GDPR “Consent & Transparency Framework”.

Mais dans un autre élément de preuve obtenu par le groupe de personnes à l’origine des plaintes de la RTB – un document de l’IAB, daté de mai 2018, destiné aux éditeurs qui utilisent ce cadre – l’IAB reconnaît également que : ” Les éditeurs reconnaissent qu’il n’existe aucun moyen technique de limiter la façon dont les données sont utilisées après leur réception par un fournisseur pour prendre une décision, soumissionner ou livrer une annonce “.

Dans une section sur la responsabilité, le document de l’IAB fait état d’autres préoccupations des éditeurs, à savoir que chaque appel d’offres suppose ” des droits indiscriminés pour les fournisseurs ” – et que ” le fait de trouver des milliers de fournisseurs ayant des droits généraux d’utiliser des données sans adapter ces droits peut représenter trop de fournisseurs/permissions “.

Donc, encore une fois, euh, gênant.

Un autre élément de preuve maintenant joint aux plaintes RTB montre un ensemble d’exemples de demandes de soumissions provenant de l’IAB et de la documentation de Google pour les utilisateurs de leurs systèmes – avec des annotations par les plaignants montrant exactement combien de données personnelles sont rassemblées et systématiquement partagées.

Cela peut inclure la latitude et la longitude des coordonnées GPS d’une personne, son adresse IP, les identificateurs propres à l’appareil, divers codes d’identification, les intérêts présumés (qui peuvent comprendre des données personnelles très sensibles) et la page Web courante qu’elle consulte.

“Les quatorze échantillons de demandes de soumissions prouvent en outre que les demandes de soumissions contiennent des données très personnelles “, soutiennent les plaignants.

Ils ont également inclus une ventilation estimative des sept principales demandes de soumissions quotidiennes des bourses de publicité – Index Exchange, OpenX, Rubicon Project, Oath/AOL*, AppNexus, Smaato, Google DoubleClick – montrant qu’elles diffusent collectivement “des centaines de milliards de demandes de soumissions par jour”, pour illustrer l’échelle des données diffusées systématiquement par le secteur publicitaire.

“Cela suggère que l’estimation faite par la New Economics Foundation en décembre, selon laquelle les appels d’offres pour la diffusion de données sur l’internaute britannique moyen 164 fois par jour étaient une estimation prudente, ” ajoutent-ils.

L’IAB a réagi aux nouveaux éléments de preuve en qualifiant les affirmations des plaignants de “fausses” et “intentionnellement préjudiciables à l’industrie de la publicité numérique et aux médias numériques européens”.

Concernant son document 2017, dans lequel elle écrit qu’il est “techniquement impossible” pour un internaute de disposer d’informations préalables sur chaque responsable du traitement impliqué dans un “scénario” de RTB, l’IAB répond que “…qui était vrai à l’époque, mais qui a changé depuis ” – en faisant référence à son cadre pour la transparence et le consentement (TCF) comme étant la solution revendiquée pour cela, et en affirmant en outre qu’il ” démontre que les offres en temps réel ne sont certainement pas ” incompatibles avec le consentement en vertu du GDPR “.’ ”

Voici les paragraphes pertinents de la réfutation de l’IAB à ce sujet :

Le TCF fournit un moyen d’assurer la transparence aux utilisateurs quant à la manière dont leurs données personnelles sont traitées et par qui elles le sont. Il permet également aux utilisateurs d’exprimer leurs choix. En outre, le TCF permet aux fournisseurs engagés dans la publicité programmatique de savoir à l’avance si le statut de transparence et de consentement de leurs propres partenaires et/ou de leurs propres partenaires leur permet de traiter légalement des données personnelles à des fins publicitaires en ligne et autres. La soumission de l’IAB Europe à la Commission européenne en avril 2017 a montré que l’industrie devait s’adapter pour répondre à des normes plus élevées de transparence et de consentement dans le cadre du GDPR. Le TCF démontre comment des défis complexes peuvent être surmontés lorsque les acteurs de l’industrie se rassemblent. Mais surtout, le TCF démontre que l’appel d’offres en temps réel n’est certainement pas “incompatible avec l’accord du GDPR”.

Le protocole OpenRTB est un outil qui peut être utilisé pour déterminer quelle publicité doit être diffusée sur une page Web donnée à un moment donné. Les données peuvent éclairer cette détermination. Comme toute technologie, OpenRTB doit être utilisé dans le respect de la loi. Cela est tout à fait possible et grandement facilité par le Cadre européen pour la transparence et le consentement de l’IAB Europe, dont la raison d’être est de contribuer à garantir que la collecte et le traitement des données des utilisateurs s’effectuent dans le plein respect de la vie privée et des règles communautaires de protection des données.

L’IAB poursuit en affirmant que les plaintes découlent d’une “possibilité hypothétique que des données personnelles soient traitées illégalement dans le cadre de processus publicitaires programmatiques”.

“Cette possibilité hypothétique se présente parce que ni l’OpenRTB ni le TCF ne sont en mesure d’empêcher physiquement les entreprises d’utiliser le protocole pour traiter illégalement des données personnelles. Mais la loi ne les y oblige pas “, affirme le CCI.

Toutefois, le point central de la plainte RTB est que le traitement des données à caractère personnel par la publicité programmatique n’est pas suffisamment sécurisé – et ils ont l’article 5, paragraphe 1, point f), du GDPR qui exige que les données personnelles soient “traitées d’une manière qui assure une sécurité appropriée des données personnelles, y compris une protection contre un traitement non autorisé ou illicite et contre une perte accidentelle”.

Il appartiendra donc aux autorités chargées de la protection des données de déterminer ce que l’on entend par “sécurité appropriée des données à caractère personnel” dans ce contexte. Et si la publicité comportementale est intrinsèquement hostile à la loi sur la protection des données (sans oublier que d’autres formes de publicité non basée sur des données personnelles restent disponibles, par exemple la publicité contextuelle).

En discutant de la plainte avec TechCrunch à la fin de l’année dernière, Ryan de Brave a comparé le système de publicité programmatique à un déversement de camions remplis de cartables au milieu d’une gare ferroviaire achalandée en “sachant parfaitement que… Les partenaires commerciaux vont tous se bousculer et essayer de les attraper” – arguant qu’une telle violation dysfonctionnelle et systématique des données des personnes se cache au cœur de l’industrie de la publicité en ligne.

La solution préconisée par Ryan et les autres plaignants n’est pas de débrancher complètement l’industrie de la publicité en ligne, mais plutôt de mettre à jour les spécifications de la RTB afin de supprimer les données personnelles pour qu’elles respectent les droits des utilisateurs d’Internet. Les publicités peuvent encore être ciblées contextuellement et avec succès sans que les internautes n’aient besoin d’être surveillés en ligne 24 heures sur 24, 7 jours sur 7, affirme l’auteur.

Ils affirment également que cela conduirait à une bien meilleure situation pour les éditeurs en ligne de qualité, car cela rendrait plus difficile l’arbitrage et la marchandisation de leurs publics de grande valeur par des technologies de pistage respectueuses de la vie privée qui – en l’état – suivent les internautes partout où ils vont – même s’ils admettent librement que les fournisseurs de leur appâts de mauvaise qualité pourraient avoir moins bien.

*Divulgation : TechCrunch est la propriété de Verizon Media Group, alias Oath/AOL . Nous ne nous considérons pas non plus comme des fournisseurs d’appâts de mauvaise qualité.