Aujourd’hui, lundi 28 janvier, est la Journée européenne de la protection des données personnelles. Et c’est aussi la date qu’a choisie l’association polonaise Panoptykon Foundation pour déposer une plainte auprès de l’autorité polonaise de protection des données personnelles. Cette plainte vise les systèmes d’enchères en ligne pour le placement publicitaire (« ad auctions »). Elle rejoint ainsi deux autres plaintes similaires qui ont d’ores et déjà été déposées en septembre dernier en Irlande et au Royaume-Uni par Jim Killock (Open Rights Group), Michael Veale (University College London) et Johnny Ryan (Brave).
Tous ces plaignants estiment que ce système d’enchères publicitaires ne respecte pas le règlement RGPD et, en particulier, son article 9. Celui-ci interdit le traitement de données particulièrement sensibles comme l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, la santé ou l’orientation sexuelle. Pourtant, ce type de données est échangé tous les jours entre les différents acteurs de ces systèmes d’enchères – l’éditeur, l’annonceur, le fournisseur de plateforme – afin d’optimiser le ciblage publicitaire. Les « tags » que reçoit l’internaute à cette occasion peuvent être extrêmement personnels, comme le révèlent les listes de catégories validées et diffusées par le consortium Interactive Advertising Bureau (IAB) et par Google.
Ainsi, on voit qu’une personne peut être placée dans des cases qui indiquent qu’elle est atteinte du SIDA ou d’un cancer, qu’elle a des opinions de gauche ou de droite, qu’elle est gay, qu’elle s’intéresse aux drogues ou aux stéroïdes, qu’elle est musulmane ou hindouiste, qu’elle est non fertile, etc. Dans une précédente liste de l’IAB figuraient même les catégories « Incest/Abuse Support », « Hate content » et « Pornography » qui suggèrent respectivement que l’internaute a été victime d’inceste ou de viol, qu’il est fan de contenus extrémistes et qu’il regarde des films pornos. Selon Brave, ces catégories ne devraient plus être utilisées aujourd’hui, mais dans les faits elles le seraient quand même.
Ces « tags » sont générés tout au long des pérégrinations de l’internaute. S’il se rend sur un site qui parle de cancer, le tag correspondant sera ajouté à son profil publicitaire, qui est lui-même associé à des identifiants uniques générés au niveau du PC, du smartphone ou du navigateur. Evidemment, ce profil est théoriquement anonymisé, mais des études ont montré par le passé qu’il était possible de retrouver l’identité de la personne par des recoupements de données.
Le consentement explicite ne serait pas respecté
Pour s’affranchir de l’interdiction de l’article 9, les acteurs de la publicité en ligne devraient récolter un consentement explicite des internautes. Mais les plaignants estiment que cette obligation n’est pas respectée de façon transparente et responsable, voire pas du tout. Les requêtes d’enchères sont souvent partagées avec toute une série d’entreprises tierces dont l’internaute ne sait même pas qu’elles existent. On est donc très loin d’un consentement explicite.
Interrogé par Wired, Google se retranche derrière la responsabilité de l’annonceur. « Nous appliquons des règles strictes qui interdisent aux annonceurs sur nos plates-formes de cibler des personnes en fonction de catégories sensibles telles que la race, l’orientation sexuelle, l’état de santé, l’état de grossesse, etc. Si nous trouvons sur notre plate-forme des publicités qui enfreignent nos règles et tentent d’utiliser des catégories d’intérêt sensibles afin de cibler les annonces sur les utilisateurs, nous prendrions des mesures immédiates », explique le géant informatique. Il n’est pas sûr que cela soit suffisant pour les autorités européennes de protection des données personnelles.
Source: Brave
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
