Imaginez: vous préparez vos vacances au ski et vous vous apprêtez à taper «Autriche» dans votre moteur de recherche quand apparaissent, sur votre page de résultats, des publicités pour un hôtel, un loueur de matériel ou de voiture, alors même que vous n’avez pas encore tapé quatre des huit lettres du nom du pays. Combien de fois avons-nous ressenti cette étrange sensation d’être «fliqué» au moment de consulter une page ou un site en ligne?
La mécanique que l’internaute ne voit pas est liée au «real-time bidding» (RTB). En 100 millisecondes au maximum, le «profil» de l’internaute est proposé à des publicitaires qui décident ou non de payer pour exposer leur publicité aux yeux de celui-ci. Un des acteurs majeurs du RTB, Ad Exchange, gère plusieurs centaines de milliards de ce genre de transactions chaque jour, contre 12 milliards par jour pour le New York Stock Exchange, indique la CNIL. Selon les sources, le RTB représente entre 60 et 75% de la publicité programmatique.
Un niveau plus loin, à chaque fois qu’un internaute visite un site internet, celui-ci peut lui déposer un cookie, ici l’Euroconsent-v2. À chaque fois qu’il va revenir, des informations vont s’ajouter au cookie. Mais comme les autres sites étaient aveugles de ce cookie, les opérateurs ont créé un système de matching de cookies, ici le TC String, qui indique à quoi l’utilisateur s’est opposé ou pas en termes de cookies. Et avec l’Euroconsent-v2 et le TC String, il est tout à fait possible d’accéder à l’adresse IP de l’internaute, et donc de le profiler.
Un système créé par trois sociétés américaines
«Les enchères en temps réel présentent un certain nombre de risques qui découlent de la nature de l’écosystème et de la manière dont les données à caractère personnel sont traitées en son sein», indiquait l’APD . «Ces risques comprennent: profilage et prise de décision automatisée, traitement à grande échelle (notamment des catégories spéciales de données à caractère personnel); utilisation ou application innovante de nouvelles solutions technologiques ou organisationnelles; mise en correspondance ou fusion d’ensembles de données; analyse ou prédiction du comportement, de la localisation ou des mouvements des personnes physiques; traitement invisible de données à caractère personnel.»
C’est pour cela que l’Autorité de protection des données belge (APD) a infligé une amende de 250.000 euros plus l’obligation de modifier le système d’ici deux mois sous peine d’astreinte de 5.000 euros par jour. Ce système est composé d’OpenRTB, créé par deux sociétés américaines, et d’Authorized Buyers, créé par Google.
L’APD a identifié une série de violations du RGPD:
– Licéité: IAB Europe n’a pu déterminer aucune base légale pour le traitement de la TC String et les fondements juridiques offerts par le TCF pour le traitement ultérieur par les fournisseurs adtech sont insuffisants;
– Transparence et information des utilisateurs: les informations fournies aux utilisateurs via l’interface CMP sont trop génériques et trop vagues pour leur permettre de comprendre la nature et la portée du traitement, particulièrement eu égard à la complexité du TCF. Il est dès lors difficile pour les utilisateurs de garder le contrôle de leurs données à caractère personnel;
– Responsabilité, sécurité, protection des données dès la conception et protection des données par défaut: en l’absence de mesures techniques et organisationnelles, conformément aux principes de protection des données dès la conception et de protection des données par défaut, incluant de garantir l’exercice effectif des droits des personnes concernées et de contrôler la validité et l’intégrité des choix des utilisateurs, la conformité du TCF au RGPD n’est pas suffisamment garantie ni démontrée;
– Autres obligations incombant à un responsable du traitement qui traite des données à caractère personnel à grande échelle: IAB Europe n’a pas tenu de registre des activités de traitement, n’a pas désigné de DPO et n’a pas réalisé d’analyse d’impact relative à la protection des données.
Même si le montant peut paraître dérisoire, la décision s’en prend à une organisation qui regroupe de nombreux acteurs, dont les géants Google, Meta-Facebook, Microsoft, Adobe ou encore Axel Springer.
Dans un communiqué, IAB Europe constate que le régulateur belge n’interdit pas le système et considère qu’il n’est pas responsable du traitement des données effectué par ses 1.000 membres… mais indique qu’il va modifier le système pour le rendre plus respectueux des exigences du RGPD.
14 plaintes avaient été déposées en Europe en 2019, à l’initiative des ONG Panoptykon, Bits of Freedom et la Ligue des droits de l’Homme.