Un autre lot de plaintes a été déposé auprès des agences de protection des données de l’Union européenne, appelant à des mesures répressives contre l’abus des informations des utilisateurs d’Internet par l’industrie des technologies de l’information pour cibler les publicités.

Les plaintes soutiennent que les publicités comportementales sont à la fois nuisibles et illégales.

Plus tôt plaintes sur le même problème de publicité programmatique d’enchères en temps réel (RTB) ont été déposés dans toute l’UE en 2018 et 2019, mais n’ont pas encore abouti à une action réglementaire de fond.

L’Irlande a ouvert une enquête sur Google échange d’annonces l’année dernière. Tandis que La DPA belge a mené une enquête sur un outil phare de l’industrie utilisé pour recueillir les consentements au ciblage publicitaire – faisant une constatation préliminaire de non-conformité en octobre. Mais le litige pour parvenir à un verdict final sur le cadre «Transparence et Consentement» (TCF) de l’IAB Europe n’aura lieu que l’année prochaine.

(En relation: l’agence britannique de protection des données fait face à une contestation judiciaire pour son incapacité à donner suite aux plaintes RTB, malgré à plusieurs reprises exprimer sa préoccupation à propos de problème de légalité de l’industrie.)

Publicité

Google et l’IAB continuent de nier tout problème avec leur adtech. L’année dernière, Google a déclaré que les acheteurs autorisés qui utilisent ses systèmes sont soumis à des «politiques et normes strictes». Alors que l’IAB Europe a rejeté les conclusions de la DPA belge – en disant son rapport préliminaire «malentendu fondamental[s]»Le technicien TCF.

Le dernier RGPD les plaintes visent la façon dont RTB La composante de la publicité programmatique diffuse les données personnelles des internautes à des dizaines d’entités impliquées dans ces enchères à haut débit – en faisant valoir qu’elle va à l’encontre des exigences de sécurité fondamentales du règlement général sur la protection des données (RGPD), tout en étant horrible pour la vie privée des personnes.

Un principe clé du RGPD est la sécurité par conception et par défaut – le règlement imposant des exigences légales aux gestionnaires de données personnelles pour s’assurer que les informations des personnes sont correctement sécurisées.

Les plaintes, qui visent Google et l’IAB en leur qualité de normalisateurs RTB, ont été déposées par des groupes de la société civile dans six pays européens – à savoir: Asociatia pentru Tehnologie si Internet (ApTi), Roumanie; J3 – Defesa dos Direitos Digitais, Le Portugal; GONG, Croatie; Fondation mondiale pour la dignité humaine, Malte; Homo Digitalis, Grèce; et le Institut d’information de Chypre.

Ils sont coordonnés par un consortium dirigé par le Union des libertés civiles pour l’Europe (Libertés), le ORG (Open Rights Group) et le Fondation Panoptykon.

«Les enchères en temps réel, qui sont à la base de l’industrie de la publicité en ligne, sont un abus du droit des personnes à la vie privée», a déclaré le Dr Orsolya Reich, responsable du plaidoyer chez Liberties, dans un communiqué. «Le RGPD est en place depuis 2018 et il est là précisément pour donner aux gens une plus grande voix sur ce qu’il advient de leurs données en ligne.

«Aujourd’hui, de plus en plus de groupes de la société civile en disent assez avec ce modèle de publicité invasive et demandent aux autorités de protection des données de se dresser contre les pratiques nuisibles et illégales qu’elles utilisent.»

Le consortium demande une enquête conjointe de leurs DPA nationaux respectifs – et que les régulateurs se joignent aux enquêtes adtech en cours en Irlande (dans l’adtech de Google) et en Belgique (dans le cadre TCF de l’IAB Europe).

On ne sait pas dans quelle mesure l’enquête du DPC irlandais sur Google a progressé – mais il continue de faire l’objet de critiques pour le manque de décisions sur les cas transfrontaliers du RGPD, environ 2,5 ans après le début technique de l’application du règlement.

Un mécanisme dans le RGPD signifie que les cas transfrontaliers (essentiellement tout ce qui concerne la technologie grand public) sont transmis à une agence principale pour enquête. Cependant, d’autres agences restent également impliquées, en tant que parties intéressées, et doivent accepter toute décision finale prise.

Le système a conduit à un goulot d’étranglement dans certains pays de l’UE, comme l’Irlande, où de nombreux géants de la technologie fondent leur siège européen. Le problème est donc que ce mécanisme de guichet unique ajoute un niveau de friction irréalisable aux enquêtes sur le RGPD – retardant tellement les décisions et les mesures d’application qu’il met en danger l’ensemble du cadre.

La Commission a faiblesse reconnue dans l’application du RGPD. De toute évidence, parce qu’il travaille sur un ensemble massif de nouvelles réglementations numériques. Bien que sa stratégie de résolution du problème d’application soit moins claire, car les États membres de l’UE semblent prêts à rester responsables de l’essentiel de cette surveillance supplémentaire, tout comme ils sont désormais responsables du financement de leurs propres APD. (Et encore plus de plaintes ont été déposées cette année, accusant les gouvernements européens d’un échec des ressources du RGPD.)

La DPC irlandaise devrait rendre sa première décision transfrontière GDPR dans un affaire liée à une faille de sécurité Twitter Très bientôt. Mais l’année dernière, sa commissaire, Helen Dixon, a suggéré qu’elle prendrait ses premières décisions de ce type au début de 2020 – de sorte que l’écart entre les attentes du RGPD et la réalité prend presque 12 mois de retard à ce stade.

Le consortium qui a déposé les dernières plaintes RTB écrit dans un communiqué de presse que si certaines des plaintes antérieures en matière de technologie adtech ont été renvoyées aux autorités chefs de file, il n’a pas connaissance «d’une coopération significative ou d’opérations conjointes entre les autorités nationales et les autorités chefs de file».

«Cela suggère que les mécanismes de coopération et de cohérence envisagés dans le RGPD ne sont pas encore pleinement mis en œuvre», ajoute le groupe, appelant à une enquête conjointe sur le problème du RTB car la technologie fonctionne de la même manière au-delà des frontières – et «produit le même effets négatifs dans tous les États membres de l’UE », comme ils le disent.

Cependant, on ne sait pas comment un travail conjoint supplémentaire – si c’est vraiment ce qui est demandé – contribuerait à accélérer l’application du RGPD. Ni comment le renvoi de plaintes supplémentaires à l’Irlande et à la Belgique permettrait d’accélérer leurs enquêtes actuelles.

Très probablement, l’intention est de maintenir la pression sur les régulateurs pour qu’ils agissent.

Interrogé sur l’appel à travailler en commun, un porte-parole des libertés nous a déclaré: «Le problème est que Google et IAB sont de grands acteurs, des normalisateurs sur le marché, et ils touchent tous les internautes. Compte tenu de la portée géographique des problèmes soulevés dans les plaintes, nous pensons qu’il vaut mieux que les autorités de contrôle agissent à l’unisson, ne travaillent pas seules dans leur coin. C’est pourquoi les partenaires nationaux invitent leurs DPA nationaux à transmettre cette plainte aux principales autorités de contrôle qui enquêtent déjà sur la conformité de Google et de l’IAB au RGPD. « 

Commentant dans une autre déclaration à l’appui, Mariano delli Santi, responsable juridique et politique à l’ORG, a ajouté: «Ces nouvelles plaintes montrent que le RGPD fonctionne. Les individus sont de plus en plus conscients de leurs droits et demandent des changements. Maintenant, il appartient aux autorités de soutenir ce processus et de s’assurer que ces lois sont correctement et systématiquement appliquées contre les abus généralisés de l’industrie des technologies de l’information et de la communication.

Au moment de la rédaction de cet article, le seul exemple existant d’application de la loi contre un géant de la technologie en vertu du règlement mis à jour était un Janvier 2019 décision d’infliger une amende de 57 millions de dollars à Google par la CNIL. Cette enquête se limitait toutefois à avoir une portée nationale, plutôt qu’à être traitée comme une affaire transfrontière.

Depuis lors, Google a déplacé sa base juridique en Europe vers l’Irlande – relève donc désormais de la compétence principale de la DPC.

Cet arrangement semble convenir aux grandes technologies, ce qui leur permet d’éviter le risque d’enquêtes plus rapides menées par des agences d’un seul État membre agissant plus rapidement seules. (C’est donc très intéressant de voir TikTok développer son infrastructure commerciale et effectif en Irlande – comme c’est également désormais sur le radar de la CNIL…)

Comme indiqué précédemment, les législateurs de l’UE ont reconnu que l’application du RGPD était jusqu’à présent une faiblesse.

Dans un examen du règlement vieux de deux ans cet été la Commission a souligné l’absence d’une application universellement vigoureuse.

La semaine dernière la commissaire aux valeurs et à la transparence, Vera Jourouv, a également soulevé le problème en exposant le plan du bloc visant à renforcer les valeurs démocratiques contre une gamme de risques en ligne, tels que la désinformation et l’ingérence électorale amplifiées par des algorithmes ou microtectées – la seule reconnaissance du RGPD ne suffit pas pour résoudre une myriade de problèmes liés à la technologie.

« [After the Cambridge Analytica scandal] nous avons dit que nous sommes soulagés qu’après l’entrée en vigueur du RGPD, nous soyons protégés contre ce type de pratique – que les gens doivent donner leur consentement et en être conscients – mais nous voyons que cela pourrait être une mesure faible uniquement de se fier au consentement ou au départ. c’est aux citoyens de donner leur consentement », a-t-elle déclaré.

«L’application des règles de confidentialité n’est pas suffisante – c’est pourquoi nous entrons dans le plan d’action pour la démocratie européenne avec la vision de l’année prochaine avec les règles de la publicité politique, où nous envisageons sérieusement de limiter le microtargeting en tant que méthode qui est utilisé pour la promotion de pouvoirs politiques, de partis politiques ou d’individus politiques. »

La Commission européenne est en train de rédiger un paquet ambitieux et imbriqué de réglementations numériques, qu’il veut alimenter une économie de données régionale Et mettre des règles en ligne fermes pour susciter la confiance nécessaire – et a déclaré qu’il souhaitait que cet effort majeur d’élaboration de politiques numériques serve l’Europe pendant des décennies.

Mais sans application efficace de son livre de règles Internet, il n’est pas clair comment la stratégie numérique du bloc se déroulera comme prévu.

Rate this post
Publicité
Article précédentAdaptation manga, MAPPA et rapports sur la date de sortie expliqués – HITC
Article suivantComment diffuser des jeux Google Stadia directement sur YouTube
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici