Google Analytics sous le feu
Google Analytics et d’autres services d’infrastructure Web collectent des données, à savoir des adresses IP, qui sont considérées comme des informations personnelles dans l’UE.
Mais le problème dans ce cas n’est pas le GDPR, car les données ne sont pas utilisées pour cibler les publicités, du moins selon l’allégation. Le problème est plutôt que les données des citoyens européens pourraient être transférées vers des systèmes américains – et ce n’est pas acceptable à la suite de l’arrêt Schrems II.
La poursuite Schrems II était contre Facebook, mais n’avait rien à voir avec Cambridge Analytica ou d’autres problèmes de ciblage publicitaire. Facebook a perdu l’affaire en raison des fuites de la NSA d’Edward Snowden, qui ont révélé que le gouvernement américain collecte des informations au niveau des utilisateurs à partir des services Internet. Les individus n’ont aucune idée si et quand leurs données sont collectées et n’ont aucun recours légal quoi qu’il en soit.
Bien qu’une personne naviguant sur un site d’information autrichien ne tombe probablement pas sous la surveillance du Patriot Act, en théorie, cela pourrait arriver – et cela signifie que les données ne peuvent pas du tout être transférées, même si elles sont inoffensives et collectées légalement en vertu du RGPD.
Aucun de Your Business, le groupe de défense de Schrems, n’a intenté les deux poursuites contre Google Analytics décidées par les DPA autrichien et français. Schrems a des combinaisons parallèles dans pratiquement tous les pays européens – donc plus de dominos sont susceptibles de tomber.
Il y a clairement un « effort coordonné » des régulateurs pour se mettre d’accord sur une interprétation de la loi, plutôt que d’avoir un méli-mélo de différentes normes inter-UE, a déclaré Wayne Matus, co-fondateur et avocat général de SafeGuard Privacy, une startup de conformité à la confidentialité des données.
La solution la plus simple pour Google Analytics est de localiser les données en Europe, a déclaré Matus.
Mais ce n’est pas la seule considération. Si Alphabet se localise en réponse aux décisions de la DPA, cela pourrait créer un nouveau précédent difficile, car Google pourrait être en mesure de tirer de plus grands avantages économiques de la consolidation des données à l’échelle mondiale. Il peut également y avoir des difficultés techniques qui empêchent la mise en place de systèmes de données locaux.
Même si Google Analytics a conservé des données en Europe, il y a toujours un cas Microsoft de 2018 à traiter, lorsque la société a reçu l’ordre via un mandat du FBI de remettre les données de messagerie stockées en Irlande, a déclaré Matus. Les tribunaux inférieurs n’étaient pas d’accord et, au moment où l’affaire a été plaidée devant la Cour suprême, le président Trump avait signé une nouvelle loi accordant aux enquêteurs le pouvoir d’exiger de telles données extraterritoriales. La décision précédente – qui favorisait Microsoft – a été rendue sans objet.
En d’autres termes, même si Google Analytics a mis en place des services de données locaux qui n’ont jamais été transférés aux États-Unis, les données pourraient toujours être contraintes par mandat.
Matus a déclaré que Google aurait encore des options, comme établir une entreprise indépendante en Europe qui ne pourrait pas être contrainte par le FBI – cette astuce ne fonctionne que sur les entreprises américaines.
Une solution plus probable est géopolitique. Le problème pourrait être résolu par un nouvel accord de partage de données entre les États-Unis et l’UE. (Les deux précédents, Safe Harbor et Privacy Shield, ont tous deux été annulés dans des affaires intentées par Schrems.)
Consentement dans les cordes
Le TCF d’IAB Europe travaille maintenant dans un délai de six mois pour préparer une alternative qui respecte les stipulations de la DPA belge.
D’une part, le cadre peut ne pas collecter de données sur la base d’un intérêt légitime (les données peuvent être collectées sans l’approbation explicite d’un utilisateur, par exemple pour la détection de fraude, la cybersécurité et les services d’infrastructure Web comme la journalisation du trafic). En outre, les chaînes d’ID TCF doivent être auditées pour être utilisées dans la programmation.
S’éloigner de l’intérêt légitime est la partie (relativement) facile. Les éditeurs, les plateformes de gestion du consentement (CMP) et les entreprises de technologie publicitaire peuvent simplement être francs sur la manière exacte dont les données seront utilisées, plutôt que d’afficher de larges avis d’acceptation des cookies qui n’expliquent pas grand-chose, a déclaré Matus. L’intérêt légitime ne signifie pas que les données ne peuvent pas être collectées, mais simplement qu’elles ne peuvent pas être utilisées d’une manière à laquelle une personne ne s’attend pas lorsqu’elle a donné son consentement.
Un problème plus insoluble est la vérifiabilité du TCF. Après tout, les chaînes TCF sont visibles pour toute enchère DSP sur n’importe quel inventaire programmatique dans le cadre, et s’il y a consentement à utiliser les données pour le ciblage détermine le montant de l’enchère des DSP.
Un employé malhonnête d’un éditeur ou d’un CMP pourrait falsifier les données de consentement sans moyen facile d’identifier la violation en une fraction de seconde avant qu’une annonce ne soit diffusée, ou même rétrospectivement.
Auditer le TCF semble une impossibilité.
« Laissez-moi vous arrêter là, » dit Matus. « C’est 100% possible. »
Ce n’est tout simplement pas pratique pour auditer les impressions OpenRTB en temps réel, a déclaré Matus.
Mais les DPA belges et autres pourraient encore se mettre en retrait du cadre si les fournisseurs de la chaîne d’approvisionnement – CMP, sociétés de technologie publicitaire et fournisseurs de données – acceptaient des audits par l’IAB Europe et par les annonceurs dans le cadre d’une campagne. Une agence ou un distributeur de marque, par exemple, pourrait insister pour que les fournisseurs acceptent un audit transparent comme condition préalable avant d’acheter par leur intermédiaire.
La DPA n’offrirait pas une fenêtre de six mois et accepterait de travailler sur une version mise à jour avec IAB Europe si elle ne s’attendait pas à résoudre le problème, a déclaré Matus. Si le régulateur avait pensé que ce n’était pas faisable, le TCF aurait été déclaré illégal avec appel comme seul recours.
Que se passe-t-il ensuite ?
Il est difficile de prédire comment le RGPD et la jurisprudence européenne sur la confidentialité des données vont se jouer.
Google fait pression dans l’UE et aux États-Unis pour autoriser les transferts de données mondiaux de base. IAB Europe fait appel de la classification par la DPA belge du groupe commercial en tant que contrôleur de données et travaille avec le même régulateur sur un éventuel correctif TCF. Jusque-là, le cadre est un peu comme un chat dans la boîte de Schrodinger – nous ne savons pas s’il est vivant ou mort, mais nous le saurons dans six mois.
L’ironie de ces diverses poursuites de l’UE réside dans les différentes manières dont elles affectent le marché concurrentiel de la publicité numérique.
Par exemple, en plus d’harmoniser les lois européennes sur la protection des données, le RGPD visait à autonomiser les entreprises technologiques et les éditeurs européens, qui étaient redevables aux géants américains de la technologie. Mais les poursuites GDPR ciblant le TCF sont une aubaine majeure pour Google. Si le TCF se bloque, le protocole AdBuyers de Google est le seul moyen de cibler par programme les publicités à l’aide des informations de consentement.
Et alors que le but de la décision Schrems II est de cibler la surveillance du gouvernement américain, et non de réprimer les pratiques anticoncurrentielles des grandes technologies, c’est Schrems II qui pourrait porter un coup dur à Google. Si Google Analytics est sévèrement entravé en Europe, la seule solution apparente sera de trouver un système de serveur de données local.
Mais les régulateurs européens travaillent dur pour amener Google à modifier ses pratiques commerciales, a déclaré Matus. Et si cela ne fonctionne pas, ils cibleront les clients de Google. Par exemple, la semaine dernière également, un tribunal allemand infligé une amende symbolique de 100 euros contre un éditeur de presse parce que le service d’hébergement Web de Google a transféré des adresses IP en dehors de l’UE.
« Cela commencera petit et ils augmenteront les amendes », a déclaré Matus. « Mais cela ne s’arrête pas tant que le comportement ne s’arrête pas. »