Le lendemain de l’invasion de l’Ukraine par la Russie en février, président de la commission du renseignement du Sénat Mark Warner envoyé un lettre à Google l’avertissant d’être en alerte pour « l’exploitation de votre plate-forme par la Russie et des entités liées à la Russie », et appelant la société à vérifier la conformité de son activité publicitaire avec les sanctions économiques.
Mais pas plus tard que le 23 juin, Google partageait des données d’utilisateurs potentiellement sensibles avec une société de technologie publicitaire russe sanctionnée appartenant à la plus grande banque d’État de Russie, selon un nouveau rapport fourni à ProPublica.
Google a permis à RuTarget, une société russe qui aide les marques et les agences à acheter des annonces numériques, d’accéder et de stocker des données sur les personnes naviguant sur des sites Web et des applications en Ukraine et dans d’autres parties du monde, selon une étude de la société d’analyse publicitaire numérique Adalytics. Adalytics a identifié près de 700 exemples de RuTarget recevant des données utilisateur de Google après que la société a été ajoutée à une liste du Trésor américain des entités sanctionnées le 24 février. Le partage de données entre Google et RuTarget a cessé quatre mois plus tard, le 23 juin, le jour où ProPublica a contacté Google au sujet de l’activité.
RuTarget, qui opère également sous le nom de Segmento, appartient à Sberbank, une banque d’État russe que le Trésor a décrite comme « particulièrement importante » pour l’économie du pays lorsqu’elle a frappé le prêteur avec des sanctions initiales. RuTarget a ensuite été répertorié dans un Annonce du Trésor du 6 avril qui a imposé des sanctions de blocage totales à Sberbank et à d’autres entités et personnes russes. Les sanctions signifient que les individus et entités américains ne sont pas censés faire affaire avec RuTarget ou Sberbank.
Particulièrement préoccupant, l’analyse a montré que Google partageait des données avec RuTarget sur les utilisateurs naviguant sur des sites Web basés en Ukraine. Cela signifie que Google a peut-être fourni des informations critiques telles que des identifiants de téléphone mobile uniques, des adresses IP, des informations de localisation et des détails sur les intérêts des utilisateurs et l’activité en ligne, des données qui, selon les sénateurs et les experts américains, pourraient être utilisées par les services militaires et de renseignement russes pour suivre les personnes ou se concentrer sur les lieux d’intérêt.
En avril dernier, un groupe bipartite de sénateurs américains a envoyé une lettre à Google et à d’autres grandes entreprises de technologie publicitaire mettant en garde contre les implications pour la sécurité nationale des données partagées dans le cadre du processus d’achat d’annonces numériques. Ils ont déclaré que ces données utilisateur « seraient une mine d’or pour les services de renseignement étrangers qui pourraient les exploiter pour informer et dynamiser le piratage, le chantage et les campagnes d’influence ».
Le porte-parole de Google, Michael Aciman, a déclaré que la société avait empêché RuTarget d’utiliser ses produits publicitaires en mars et que RuTarget n’avait pas acheté d’annonces directement via Google depuis lors. Il a reconnu que la société russe recevait toujours des données d’achat d’utilisateurs et d’annonces de Google avant d’être alertée par ProPublica et Adalytics.
« Google s’engage à se conformer à toutes les sanctions applicables et aux lois de conformité commerciale », a déclaré Aciman. « Nous avons examiné les entités en question et avons pris les mesures d’application appropriées au-delà des mesures que nous avons prises plus tôt cette année pour les empêcher d’utiliser directement les produits publicitaires de Google. »
Aciman a déclaré que cette action consiste non seulement à empêcher RuTarget d’accéder davantage aux données des utilisateurs, mais aussi d’acheter des publicités par l’intermédiaire de tiers en Russie qui ne peuvent pas être sanctionnés. Il a refusé de dire si RuTarget avait acheté des annonces via les systèmes de Google en utilisant de tels tiers, et il n’a pas commenté si des données sur les Ukrainiens avaient été partagées avec RuTarget.
Krzysztof Franaszek, qui dirige Adalytics et est l’auteur du rapport, a déclaré que la capacité de RuTarget à accéder et à stocker les données des utilisateurs de Google pourrait ouvrir la porte à de graves abus potentiels.
« Pour autant que nous sachions, ils prennent ces données et les combinent avec 20 autres sources de données qu’ils ont obtenues de Dieu sait où », a-t-il déclaré. « Si les autres partenaires de données de RuTarget comprenaient le gouvernement russe, les services de renseignement ou les cybercriminels, il y a un énorme danger. »
Dans une déclaration à ProPublica, Warner, un démocrate de Virginie, a qualifié d’alarmant l’échec de Google à rompre sa relation avec RuTarget.
« Toutes les entreprises ont la responsabilité de s’assurer qu’elles n’aident pas à financer ou même à soutenir par inadvertance l’invasion de l’Ukraine par Vladimir Poutine. Entendre qu’une entreprise américaine peut partager des données d’utilisateurs avec une société russe – détenue par une banque d’État sanctionnée pas moins – est incroyablement alarmant et franchement désapprouve.inting »,a-t-il déclaré. « J’exhorte toutes les entreprises à examiner leurs opérations commerciales de fond en comble pour s’assurer qu’elles ne soutiennent en aucune façon la guerre de Poutine. »
L’échec initial de Google à appliquer pleinement les sanctions contre RuTarget met en évidence la façon dont l’argent et les données peuvent circuler à travers ses systèmes de publicité numérique leaders sur le marché avec peu de surveillance ou de responsabilité. Un rapport d’avril d’Adalytics a montré que Google avait continué à diffuser des annonces sur des sites Web russes qui figuraient sur la liste des sanctions du Trésor depuis des années. En juin, ProPublica a rapporté que Google a aidé à placer et à gagner de l’argent avec plus de 100 millions d’annonces d’armes à feu, malgré la forte position publique de l’entreprise contre l’acceptation de telles annonces.
Les conclusions sur RuTarget interviennent également alors que Google et d’autres entreprises technologiques font l’objet d’un examen minutieux de la part des législateurs quant à leur traitement des données personnelles.
Le sénateur Ron Wyden, D-Ore., qui siège à la commission du renseignement du Sénat, a critiqué Google pour son échec l’année dernière à lui fournir, ainsi qu’à ses collègues, une liste des entreprises étrangères avec lesquelles il partage des données publicitaires.
« Google a refusé de divulguer [to senators] si son réseau publicitaire met les données des Américains à la disposition des entreprises étrangères en Russie, en Chine et dans d’autres pays à haut risque », a-t-il déclaré dans une déclaration à ProPublica. « Il est temps que le Congrès agisse et adopte mon projet de loi bipartite, le Protecting Americans’ Data From Foreign Surveillance Act, qui forcerait Google et d’autres réseaux à changer radicalement leur façon de faire des affaires et à s’assurer que les gouvernements étrangers hostiles n’ont pas un accès sans entrave aux informations sensibles des Américains. »
Wyden et ses collègues ont présenté le projet de loi bipartite la semaine dernière pour empêcher que des données sensibles sur les Américains ne soient vendues ou transférées vers des « pays étrangers à haut risque ». Wyden et un autre groupe de collègues du Sénat ont également envoyé une lettre à la présidente de la Federal Trade Commission, Linda Khan, la semaine dernière, lui demandant d’enquêter sur Google et Apple pour avoir activé les identifiants publicitaires mobiles dans les téléphones portables. Ces identifiants uniques peuvent être combinés avec d’autres données pour identifier personnellement les utilisateurs.
La lettre de Wyden citait les identifiants mobiles comme l’un des moyens par lesquels Google et Apple ont transformé « la publicité en ligne en un système de surveillance intense qui encourage et facilite la collecte effrénée et la vente constante des données personnelles des Américains ».
Aciman de Google a déclaré que l’identifiant publicitaire mobile a été créé pour donner aux utilisateurs le contrôle et la confidentialité, et que Google n’autorise pas la vente des données des utilisateurs.
« L’identifiant publicitaire a été créé pour donner aux utilisateurs plus de contrôle et fournir aux développeurs un moyen plus privé de monétiser efficacement leur application », a-t-il déclaré. « De plus, Google Play a manifeste en place qui interdisent l’utilisation de ces données à des fins autres que la publicité et l’analyse des utilisateurs. Toute affirmation selon laquelle un identifiant publicitaire a été créé pour faciliter la vente de données est tout simplement fausse.
Les données Bidstream sous surveillance
Au cœur des préoccupations des sénateurs et du rapport Adalytics se trouvent les données collectées sur les internautes mondiaux qui sont transmises entre les entreprises dans le cadre du processus d’achat de publicités numériques. Ce trésor d’informations peut inclure l’identifiant mobile unique d’une personne, son adresse IP, ses informations de localisation et ses habitudes de navigation. Lorsqu’elles sont transmises entre les entreprises pour faciliter l’achat d’annonces, le trésor est appelé données bidstream. Et c’est essentiel pour le un demi-billion de dollars l’industrie de la publicité numérique dominée par Google.
De nombreuses annonces numériques sont placées à la suite d’une enchère en temps réel dans laquelle le vendeur d’espace publicitaire, tel qu’un site Web, est connecté à des acheteurs potentiels, tels que des marques et des agences. Une enchère commence lorsqu’un utilisateur visite un site Web ou une application. En quelques millisecondes, les données collectées sur cet utilisateur sont partagées avec les acheteurs potentiels d’annonces pour les aider à décider s’ils souhaitent enchérir pour diffuser une annonce à l’utilisateur. Qu’elles enchérissent ou non, les plateformes d’achat d’annonces comme RuTarget reçoivent et stockent ces données bidstream, ce qui les aide à automatiser l’accumulation de riches référentiels de données au fil du temps.
Le processus d’enchères est géré par des échanges d’annonces. Ils connectent les acheteurs et les vendeurs et facilitent le partage des données bidstream entre eux en conjonction avec un processus appelé synchronisation des cookies. Google exploite le plus grand échange d’annonces au monde, et RuTarget est l’une des nombreuses entreprises avec lesquelles il partage des données bidstream. Plus RuTarget se connecte à des échanges d’annonces comme Google, plus il peut collecter d’informations et combiner avec des données collectées à partir d’autres sources en ligne et hors ligne.
Justin Sherman, membre de la Duke’s Sanford School of Public Policy qui dirige un projet axé sur les courtiers en données, a déclaré que les données bidstream sont en grande partie non réglementées et peuvent être très sensibles, même si il n’inclut pas les informations personnelles telles que les noms ou les e-mails.
« Il y a une attention croissante sur la façon dont notre écosystème de données et notre écosystème de courtiers en données et d’annonceurs donnent ou envoient ou vendent des informations très sensibles sur les Américains à des entités étrangères », a-t-il déclaré. « On s’inquiète également du fait que des entités étrangères accèdent illégalement à ces informations. »
Google n’a pas divulgué les partenaires de données Bidstream
Les craintes suscitées par la mauvaise utilisation de l’information ont conduit Warner, Wyden et quatre collègues à demander à Google et à six autres échanges publicitaires en avril 2021 d’énumérer les partenaires nationaux et étrangers avec lesquels ils ont partagé des données bidstream au cours des trois dernières années. Ils ont averti que ces données pourraient avoir de graves implications pour la sécurité nationale des États-Unis.
« Peu d’Américains se rendent compte que certains participants aux enchères siphonnent et stockent des données de « bidstream » pour compiler des dossiers exhaustifs à leur sujet. À leur tour, ces dossiers sont ouvertement vendus à toute personne disposant d’une carte de crédit, y compris à des fonds spéculatifs, à des campagnes politiques et même à des gouvernements », ont-ils écrit dans des lettres à AT & T, Index Exchange, Google, Magnite, OpenX, PubMatic, Twitter et Verizon.
Google (en anglais seulement Répondu quelques semaines plus tard, mais a refusé de lister les sociétés avec lesquelles il partage des données sur les flux d’offres, invoquant des « obligations de non-divulgation ».
Les recherches de Franaszek révèle des préoccupations quant à l’exactitude de la réponse de Google. Il a identifié huit pages sur le site Web d’assistance de Google qui répertorient des centaines d’entreprises étrangères et nationales éligibles pour recevoir des données bidstream de celui-ci. Une liste contient plus de 300 entreprises, dont 19 appartiennent à des Chinois ou ont leur siège social et 16 sont basées en Russie, y compris RuTarget.
Franaszek a également constaté que certaines de ces entreprises ont divulgué publiquement leur relation avec Google. Et tel que rapporté par Vice, certains concurrents de Google ont révélé aux sénateurs les partenaires étrangers avec lesquels ils partagent des données.
Cela soulève des questions quant à ce à quoi Google faisait référence lorsqu’il a déclaré que les obligations de non-divulgation l’empêchaient de nommer ses partenaires, selon Franaszek.
« Google publiait, sur son propre site Web, des listes d’étrangers [partners] des mois avant qu’ils ne le disent aux sénateurs », a-t-il déclaré.
Aciman de Google a déclaré que les listes sur le site Web de Google ne divulguaient pas la nature de sa relation avec les entreprises, et il a réitéré qu’il avait des obligations de non-divulgation avec les entreprises qui agissent en tant que soumissionnaires.
L’un des Listes sur le site de Google (« Fournisseurs externes certifiés Ad Manager ») comprend une colonne qui décrit ce que fait chaque fournisseur Google. Au moins 13 des entreprises sont publiquement identifiées comme des « enchérisseurs RTB », ce qui signifie qu’elles agissent en tant qu’enchérisseurs dans le processus d’enchères publicitaires en temps réel de Google.
Éditeurs partageant des données avec RuTarget
Les données utilisateur partagées par Google avec RuTarget et d’autres enchérisseurs potentiels proviennent de millions de sites Web et d’applications qui comptent sur le géant de la Silicon Valley pour les aider à gagner de l’argent grâce aux publicités. Et beaucoup seraient probablement surpris d’apprendre qu’une société de publicité russe sanctionnée était jusqu’à il y a deux semaines en mesure de recueillir des informations sur leurs visiteurs.
En raison de sa relation avec Google, RuTarget est publiquement répertorié comme destinataire de données utilisateur par les principaux éditeurs, y compris Reuters et ESPN. Cela signifie que RuTarget peut recevoir des données de ces entreprises sur les millions de personnes qui visitent leurs propriétés en ligne chaque mois. Comme d’autres éditeurs, ESPN et Reuters répertorient RuTarget comme destinataire des données des utilisateurs dans les fenêtres contextuelles de consentement aux cookies montrées aux utilisateurs naviguant sur leurs sites depuis l’UE et d’autres juridictions avec des lois sur la confidentialité des données exigeant de telles divulgations.
Un porte-parole de Reuters a déclaré que les entreprises montrées dans sa fenêtre contextuelle de consentement, y compris RuTarget, proviennent d’une liste de fournisseurs fournie par Google.
« Cette liste de fournisseurs est gérée par Google, et Reuters utilise la liste des fournisseurs de Google sur notre site Web. Nous comprenons que Google a suspendu les acheteurs et les enchérisseurs basés en Russie, et nous n’avons aucune trace de transactions avec RuTarget depuis le 6 avril », a déclaré Heather Carpenter de Reuters.
ESPN n’a pas répondu à une demande de commentaire. En tant que partenaire de Google, il est possible que les données sur les utilisateurs naviguant sur le site Web de ProPublica aient été partagées à un moment donné avec RuTarget. La nature opaque et technique de la publicité numérique rend difficile de savoir avec certitude.
Jason Kint, responsable du groupe professionnel d’éditeurs numériques Digital Content Next, a déclaré que le pouvoir de marché de Google ne laissait guère d’autre choix aux éditeurs que de travailler avec l’entreprise.
« Les éditeurs premium doivent faire confiance à Google pour un nombre important de services dont ils dépendent », a-t-il déclaré. « C’est un autre exemple d’égaré confiance. Je suis juste incroyablement déçu par Google. »
Le site Web de RuTarget répertorie également un groupe impressionnant de marques mondiales parmi ses clients, notamment Procter & Gamble, Levi’s, Mazda, MasterCard, Hyundai, PayPal et Pfizer. Cela suggère que les entreprises ont travaillé avec RuTarget pour acheter des publicités, probablement dans le but de cibler des publics russophones.
Un porte-parole de Pfizer a déclaré que la société ne travaillait pas actuellement avec RuTarget. « Suite à une enquête avec des collègues que nous avons établi, nous n’avons aucune relation de travail actuelle avec l’organisation que vous mentionnez, et n’avons aucun dossier récent de relation », a déclaré Andrew Widger, le porte-parole de Pfizer, dans un courrier électronique.
Les autres entreprises n’ont pas répondu à une demande de commentaires.
Sherman de Duke a déclaré que les connexions de RuTarget avec Google et tant d’autres entités montrent comment « l’écosystème de la publicité numérique et de la collecte de données et des courtiers en données est un gâchis et un Web vraiment épineux à démêler ».