La réponse évasive de l’Irlande à une plainte majeure en matière de sécurité déposée contre l’adtech de Google l’année de l’entrée en vigueur du règlement général sur la protection des données (RGPD) de l’Union européenne est la cible d’un nouveau procès – qui accuse la Commission de protection des données (DPC) d’années d’inaction sur ce que les plaignants affirment être « la plus grande violation de données de tous les temps ».

Aujourd’hui presse locale en Irlande a indiqué que la Haute Cour irlandaise avait accepté d’entendre la poursuite.

Le litige a été préparé par le Conseil irlandais pour les libertés civiles (ICCL) dont le chercheur principal, Johnny Ryan, est nommé comme demandeur.

Il s’agit de la réponse du DPC à une plainte de longue date concernant le rôle de Google dans le commerce à grande vitesse des données personnelles des internautes pour déterminer quelles annonces sont diffusées – et, plus précisément, le manque d’attention que les systèmes de commerce de données de l’industrie de la publicité ciblée basée sur le suivi paient à la sécurité. (La sécurité, bien sûr, étant un principe clé du régime phare de protection des données de l’UE.)

La poursuite de l’ICCL accuse donc le DPC de ne pas avoir agi sur ce qu’il qualifie de « violation massive de données de Google ».

Publicité

Ryan sera familier à tous ceux qui suivent les problèmes juridiques croissants de l’adtech en Europe – en tant que force motrice d’une série de plaintes et de poursuites, depuis 2018, qui ont ciblé le commerce à grande vitesse des données des personnes pour des enchères publicitaires en temps réel (aka, enchères en temps réel; ou RTB).

Ancien initié de l’adtech devenu lanceur d’alerte, Ryan a amplifié la pression sur l’industrie pour la réforme par le biais d’une série de plaintes stratégiques liées au RGPD. Mais, plus récemment, ses plaintes ont de plus en plus ciblé le DPC lui-même.

Dans Septembre 2020, par exemple, il a publié un dossier de preuves soulignant comment l’industrie du ciblage publicitaire en ligne profile les caractéristiques intimes des internautes à leur insu ou sans leur consentement – dénonçant le DPC pour son inaction continue sur la plainte de sécurité rtb.

Il a également déposé une plainte auprès de la Commission européenne qui a conduit un médiateur à intervenir pour examiner le contrôle de haut niveau de l’application (décentralisée) du RGPD par l’UE, qui s’appuie sur des agences de chaque État membre pour enquêter et faire respecter les violations de la loi.

Sur la plainte Google adtech de 2018, le DPC a – jusqu’à présent – annoncé certaines étapes procédurales.

Suite à la plainte initiale de Ryan en septembre 2018, qui désignait Google et l’organisme de l’industrie de la publicité en ligne IAB Europe (comme deux acteurs clés du système RTB), l’Irlande a ouvert une enquête formelle sur l’adtech de Google dans Mai 2019 — car le régulateur est le principal chien de garde de Google dans l’UE.

Toutefois, l’Irlande n’a pas ouvert d’enquête fondée sur le fond de la plainte de Ryan; il a plutôt ouvert ce que l’on appelle une enquête de son propre gré – affirmant qu’il chercherait à « établir si le traitement des données personnelles effectué à chaque étape d’une transaction publicitaire est conforme aux dispositions pertinentes du RGPD, y compris la base légale du traitement, les principes de transparence et de minimisation des données, ainsi que les pratiques de conservation de Google ». comme il l’a dit à l’époque.

Notamment, le DPC n’a pas dit que son enquête interrogerait le rôle de Google dans RTB à travers une lentille de sécurité – bien que le cœur de la plainte de Ryan soit qu’un système qui « fonctionne » en diffusant ce qui peut être des données très sensibles sur les personnes (habitudes de navigation, identifiants d’appareil, localisation, etc.), directement sur Internet afin qu’elles puissent être transmises à des dizaines d’intermédiaires. sans aucun moyen pour les utilisateurs qui sont suivis et profilés de contrôler qui reçoit leurs informations ou ce qui en est fait une fois qu’elles ont été lancées, est littéralement le contraire de sécurisé.

C’est donc ce que Ryan, via l’ICCL, réclame maintenant : le procès vise à forcer l’Irlande à enquêter sur la sécurité de RTB ; un problème que le régulateur a jusqu’à présent semblé désireux d’éviter.

Alors que RTB a fait face à un certain nombre d’autres plaintes rgpdées, en ce qui concerne des questions telles que la base juridique du traitement des données des personnes en premier lieu, la plainte de Ryan s’est intentionnellement concentrée sur la sécurité – car elle semblait offrir le moyen le plus clair de démontrer que quelque chose était très pourri dans l’état de l’adtech, comme il l’a expliqué à TechCrunch retour en 2018.

« J’essaie d’être aussi efficace que possible dans chaque litige que nous lançons », nous dit Ryan maintenant. « Depuis 3,5 ans, je demande à la Commission irlandaise de protection des données d’enquêter et d’agir sur la plus grande violation de données jamais enregistrée. Et il n’a pas faitCe n’est pas le cas et, par conséquent, tous les Européens ont été exposés à cela. »

« Le DPC est vraiment doué pour brouiller les choses », ajoute-t-il. « C’est un exemple très beau, clair et clair de la responsabilité du DPC à l’échelle européenne pour un très gros problème qui affecte tout le monde – tout le monde – et ce n’est pas une petite chose. Et ils n’ont rien fait. Il n’y a donc vraiment rien que je puisse faire – nous devons les poursuivre en justice. »

« S’ils n’agissent pas en conséquence, ils pourraient aussi bien ne pas exister », conclut-il.

Commentant la poursuite dans un communiqué, Liam Herrick, directeur exécutif de l’ICCL, a ajouté: « Nous craignons que les droits des individus à travers l’UE ne soient menacés, car le DPC n’a pas enquêté sur le système RTB de Google pendant trois ans et demi depuis sa première notification par Johnny Ryan en 2018. La question en jeu ici concerne les droits de chaque Européen et nous allons devant les tribunaux pour voir que les droits numériques sont protégés. Les tentatives répétées pour amener le DPC à se saisir de cette violation des droits ont échoué. »

Passé, un cadre phare de l’industrie publicitaire qui a également été ciblé dans les plaintes jointes à RTB, alias le cadre de transparence et de consentement (TCF) de l’IAB Europe – qui est régulièrement servi aux internautes sous la forme d’une fenêtre contextuelle « choix de confidentialité », demandant aux gens de consentir à ce que leurs données soient utilisées pour le ciblage publicitaire dans les enchères publicitaires en temps réel – a été jugée par l’autorité belge de protection des données comme étant en violation du RGPD. (Tout comme l’IAB lui-même.)

L’IAB a eu quelques mois pour trouver un correctif à une très longue liste de violations – et certains experts en protection de la vie privée soutiennent qu’il s’agit probablement d’une tâche impossible, compte tenu des violations systémiques auxquelles le TCF se connecte (et pour lesquelles rtb est l’objectif principal).

L’autorité belge donnait suite à d’autres plaintes rtb similaires à celles de Ryan, qui avaient été déposées localement. (L’IAB est supervisé par le régulateur belge, de sorte que l’Irlande ne devrait pas diriger cette branche de sa plainte. Cependant, Ryan accuse également l’Irlande de ne pas avoir transmis sa plainte initiale à la Belgique, comme le mécanisme de guichet unique du RGPD l’aurait sûrement l’intention.)

La longue liste des défaillances identifiées par la DPA belge en ce qui concerne le TCF de l’IAB comporte beaucoup de sécurité – avec des violations de la sécurité du traitement; l’intégrité des données personnelles ; la protection des données dès la conception et le défaut parmi ceux énumérés dans sa décision finale plus tôt cette année.

Pourtant, bien que la sécurité soit clairement identifiée comme un problème avec un cadre industriel phare qui se connecte à RTB (et, plus que cela, est destiné à alimenter le système en tant qu’élément stratégique clé de l’appareil adtech), l’enquête toujours en cours du DPC sur l’adtech de Google – en utilisant ses propres termes de référence – ne mentionne pas le mot « S ».

Dans une chronologie relatant ce que l’ICCL communiqué de presse L’organisation des libertés civiles écrit que le 12 janvier de cette année, le régulateur a finalement déclaré qu’il avait écrit une « déclaration des problèmes » de ce sur quoi il enquêterait, vis-à-vis de la plainte de Google, mais que cette déclaration « exclut la sécurité des données – la question critique de la plainte ».

Il n’est pas clair pourquoi le DPC a choisi de séparer la sécurité de son enquête sur l’adtech de Google.

Ses nombreux détracteurs auraient sûrement des idées à ce sujet. (Bien que Ryan dise qu’il n’a « aucune idée de leurs motivations » lorsqu’on lui demande un point de vue, mais il suggère que sur un spectre de « conspiration pour s’énerver », son « inertie persistante » semble douteuse – d’où « c’est pourquoi nous avons besoin d’un examen indépendant ».)

Contacté pour commenter la poursuite de l’ICCL, le sous-commissaire Graham Doyle a refusé des remarques plus larges – disant seulement qu’il n’y a « pas grand-chose à dire à ce stade au-delà du fait que notre enquête progresse ».

Le régulateur irlandais de la protection des données continue de s’attirer des critiques acerbes sur son approche détournée (certains pourraient dire labyrinthique) de l’application du RGPD – en particulier en ce qui concerne les plaintes transfrontalières contre les grands géants de la technologie comme Google et Facebook.

La société civile, la protection des consommateurs et les groupes de défense des droits numériques et de la vie privée et les experts individuels ont tous critiqué l’organisme de réglementation pendant des années pour avoir traîné les pieds – ou simplement évité – d’enquêter correctement sur une série de plaintes et de préoccupations majeures, allant des abus systémiques de confidentialité et de consentement aux violations du suivi de localisation ou même à la question de sécurité massive de RTB; Donc, fondamentalement, le genre de problèmes systémiques qui, s’ils sont confirmés par une enquête, impliquent des préjudices tout aussi massifs pour les consommateurs qui s’étendent à l’ensemble du bloc.

Cela signifie également que ce sont les types de plaintes qui, si elles devaient effectivement être appliquées, pourraient forcer une réforme en profondeur de certains types d’entreprises d’exploration de données hostiles à la vie privée. modèle.

Il est à noter que la poignée de décisions finales que le DPC a rendues contre les géants de la technologie à ce jour, depuis que le RGPD a commencé à être appliqué en mai 2018, ont dû passer par un processus de résolution des objections intégré dans le règlement – après que d’autres agences de protection des données de l’UE ont rejeté la préférence de l’Irlande pour des sanctions moins sévères (voir sa décision de 2020 contre les violations de sécurité contre Gazouiller; et sa décision de 2021 en matière de transparence contre WhatsApp).

Un projet de décision du DPC contre Facebook qui a été rendu public par le plaignant (contre la volonté du DPC) l’automne dernier a également l’air ridiculement indulgent. (Ce plaignant a également déposé une plainte pénale contre l’organisme de réglementation en Novembre — accusant le DPC d’utiliser le « chantage procédural » pour tenter de le bâillonner.)

Il n’est pas clair à quelle vitesse le procès de l’ICCL contre le DPC pourrait progresser et potentiellement accélérer l’application du RGPD par l’Irlande de l’adtech. Cela peut dépendre du juge irlandais qui choisit de l’entendre.

Le régulateur a été confronté à un certain nombre d’autres contestations juridiques de ses processus au cours des dernières années, notamment en raison d’une plainte de très longue date contre les transferts de données entre l’UE et les États-Unis de Facebook, dont l’un des éléments s’est installé. Janvier 2021 en acceptant de résoudre rapidement la plainte. (Cependant, une décision finale sur cette question est encore en attente.)

Le bureau du commissaire à l’information du Royaume-Uni, quant à lui, a également fait face à critiques sur l’inaction de l’adtech et les litiges sur les plaintes du RTB (à partir de à la fin de 2020) — après avoir clôturé une plainte similaire sans prendre de mesures coercitives contre l’industrie des technologies publicitaires (bien qu’elle ait reconnu publiquement l’anarchie systémique).

Cependant, dans ce cas, l’action en justice n’a été portée que devant un tribunal qui, en fin de compte, a décidé qu’il n’avait pas compétence pour évaluer la validité du résultat que l’ICO avait réclamé (mais que les demandeurs avaient cherché à contester).

Une poursuite contre le DPC qui est entendue devant un tribunal ne devrait pas faire face à de telles incertitudes fondées sur les pouvoirs – donc si l’ICCL et Ryan l’emportent dans leurs arguments, le régulateur irlandais pourrait faire face à une ordonnance d’enquête sur la sécurité de l’adtech de Google qu’il ne peut pas simplement ignorer; et, essentiellement, être forcé d’appliquer un nettoyage de l’adtech axé sur la sécurité. Ce qui est toute une pensée.

Google a été contacté pour commenter le procès de la CICL.


Rate this post
Publicité
Article précédentPantami, Danbatta et Emefiele dirigeront un forum sur le plan de déploiement de la 5G
Article suivantBob Iger entre dans le Metaverse Business avec Genies Investment – Billboard
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici