Le ciblage publicitaire implique parfois des enchères entre annonceurs, qui ont besoin pour décider de l’achat d’un espace de données relatives à l’internaute. Une pratique qui pose un certain nombre de problèmes selon Brave dans une plainte visant nommément Google.
Brave, l’entreprise derrière le navigateur éponyme, a déposé plusieurs plaintes visant Google auprès des autorités britanniques et irlandaises. Elle reproche à Google et à d’autres sociétés du secteur des adtech, non nommées dans ses plaintes, d’enfreindre les règles du RGPD en violant la vie privée des internautes. « La plainte informe les régulateurs européens d'une violation de données massive et continue qui affecte pratiquement tous les utilisateurs du Web » écrit Johnny Ryan, le fondateur de Brave.
En cause, les « bid requests » pratiquées par les vendeurs d’espace publicitaire. La plainte décrit le processus par lequel Google et d’autres collectent de nombreuses données d’un internaute lorsque celui-ci visite une page web comportant un « behavioral », une « annonce comportementale ». Parmi les données recueillies par ces scripts, les informations de navigation, la géolocalisation, les identifiants publicitaires uniques (permettant le suivi d’un internaute), l’adresse IP… « Cela pourrait indiquer des éléments comme votre tranche de revenus, l'âge et le sexe, les habitudes, l'influence des médias sociaux, l'appartenance ethnique, l'orientation sexuelle, la religion, les tendances politiques, etc. (selon la version du système de « bidding ») ».
Le RTB en cause
Ces informations sont ensuite transmises à différents annonceurs potentiels qui se livrent, si intéressés par le profil de l’internaute, à des enchères (RTB ou real-time bidding) déterminant lequel placera sa publicité. Problème : « il n'y a aucun contrôle sur les données personnelles dans les demandes d'offre RTB une fois qu'elles ont été diffusées » signale Brave.
Ce qui va à l’encontre de l’Article 5, paragraphe 1, point f du RGPD, qui stipule que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ».
Ce qui n’est pas le cas ici, selon le plaignant. Brave documente par ailleurs sa plainte d’un rapport de 32 pages sur les « bid requests » et les annonces comportementales. Elle requiert d’ailleurs une enquête commune des régulateurs européens en vertu de l’article 62 du RGPD. « Il existe une violation de données massive et systématique au cœur de l’industrie de la publicité comportementale. Malgré la période de deux ans précédant le RGPD, les sociétés adtech ne se sont pas conformées » explique Johnny Ryan.