De nouvelles données sur l’utilisation par le système d’enchères en temps réel (RTB) des informations des internautes pour le suivi et le ciblage publicitaire, publiées aujourd’hui par le Conseil irlandais pour les libertés civiles (ICCL), suggèrent que Google et d’autres acteurs clés du système d’enchères publicitaires à grande vitesse et basé sur la surveillance traitent et transmettent les données des personnes des milliards de fois par jour.

« Le RTB est la plus grande violation de données jamais enregistrée », affirme l’ICCL. « Il suit et partage ce que les gens voient en ligne et leur emplacement dans le monde réel 294 milliards de fois aux États-Unis et 197 milliards de fois en Europe chaque jour. »

Les ICCL rapport, qui est basé sur des chiffres de l’industrie que l’organisation de défense des droits dit avoir obtenus d’une source confidentielle, offre une estimation du RTB par personne et par jour dans les États américains et les pays européens, ce qui suggère que les internautes du Colorado et du Royaume-Uni sont parmi les plus exposés par le système – avec 987 et 462 émissions RTB chacune par personne et par jour.

Mais même les personnes en ligne vivant au bas du graphique, dans le district de Columbia ou en Roumanie, ont leurs informations exposées par RTB environ 486 fois par jour ou 149 fois par jour respectivement, selon le rapport.

L’ICCL calcule que les personnes vivant aux États-Unis voient leur activité en ligne et leur emplacement réel exposés 57% plus souvent que les personnes en Europe – probablement en raison des différences dans la réglementation de la vie privée entre les deux régions.

Publicité

Collectivement, l’ICCL estime que le comportement et les emplacements en ligne des internautes américains sont suivis et partagés 107 billions de fois par an, tandis que les données des Européens sont exposées 71 billions de fois par an.

« En moyenne, une personne aux États-Unis voit son activité en ligne et son emplacement exposés 747 fois par jour par l’industrie RTB. En Europe, RTB expose les données des gens 376 fois par jour », écrit-il également, ajoutant : « Les données privées des internautes européens et américains sont envoyées à des entreprises du monde entier, y compris en Russie et en Chine, sans aucun moyen de contrôler ce qui est ensuite fait avec les données. »

Les chiffres du rapport sont probablement une estimation prudente de l’étendue complète du RTB puisque l’ICCL inclut la mise en garde suivante: »[T]Les chiffres présentés pour les émissions de la RTB sont une estimation basse. Les chiffres de l’industrie sur lesquels nous comptons n’incluent pas les émissions Facebook ou Amazon RTB.

Selon le rapport, Google, le plus grand acteur du système RTB, permet 4,698 les entreprises recevront des données RTB sur les personnes aux États-Unis, tandis que Microsoft – qui a intensifié son implication dans RTB en décembre de l’année dernière lorsqu’il a acheté La société d’adtech Xandr d’AT & T – dit qu’elle peut envoyer des données à 1,647 entreprises.

Cela aussi n’est probablement que la pointe de l’iceberg puisque les données RTB sont diffusées sur Internet – ce qui signifie qu’elles sont mûres pour l’interception et l’exploitation par des « partenaires » RTB non officiellement répertoriés, tels que les courtiers en données dont les activités impliquent des personnes cultivant en compilant des dossiers de données pour réidentifier et profiler les utilisateurs Web individuels à des fins lucratives, en utilisant des informations telles que les identifiants d’appareils. l’empreinte digitale de l’appareil, l’emplacement, etc. pour lier l’activité Web à une personne nommée, par exemple.

Les préoccupations en matière de protection de la vie privée et de sécurité ont été élevé au sujet du RTB pendant des années — en particulier en Europe, où il existe des lois censées empêcher un tel abus systématique des informations des personnes. Mais la prise de conscience de la question a également augmenté aux États-Unis, à la suite d’un certain nombre de scandales de suivi de localisation et de partage de données.

L’avis de la Cour suprême divulgué plus tôt ce mois-ci, qui suggérait que la plus haute cour des États-Unis se préparait à annuler Roe v Wade – supprimant la protection constitutionnelle de l’avortement – a encore accru les inquiétudes et envoyé des ondes de choc dans tout le pays, certains commentateurs exhortant immédiatement les femmes à supprimer leurs applications de suivi des règles et porter une attention particulière à leur sécurité numérique et à leur hygiène de confidentialité.

Le problème est que le suivi des publicités pourrait exposer des données personnelles qui peuvent être utilisées pour identifier les femmes et les personnes enceintes et / ou cherchant des services d’avortement.

De nombreux États américains ont déjà fortement restreint l’accès à l’avortement. Mais si la Cour suprême annule Roe v Wade, un certain nombre d’États devraient interdire complètement l’avortement – ce qui signifie que les personnes qui peuvent tomber enceintes seront exposées à un risque accru de surveillance en ligne, car toute recherche en ligne de services d’avortement ou de suivi de localisation ou d’autres types d’exploration de données de leur activité numérique pourrait être utilisée pour monter un dossier contre elles pour avoir obtenu ou cherché à obtenir un avortement illégal.

Les données personnelles hautement sensibles sur les internautes sont, quant à elles, systématiquement aspirées et partagées à des fins de ciblage publicitaire, comme rapports précédents de l’ICCL ont détaillé dans des détails époustouflants. L’industrie des courtiers en données recueille également des informations sur les individus à échanger et à vendre – et aux États-Unis, en particulier, les données de localisation des personnes semblent trop faciles à obtenir.

L’année dernière, par exemple, un prêtre catholique de premier plan aux États-Unis était aurait démissionné après que des allégations ont été faites sur sa sexualité basées sur une affirmation selon laquelle des données sur son téléphone avaient été obtenues, ce qui indiquait l’utilisation de l’application de connexion gay basée sur la localisation, Grindr.

Un manque de confidentialité en ligne pourrait également avoir une incidence négative sur les problèmes de santé des femmes, ce qui faciliterait la collecte d’informations pour criminaliser les femmes enceintes qui cherchent à avorter dans un monde post-Roe.

« Il n’y a aucun moyen de restreindre l’utilisation des données RTB après leur diffusion », souligne l’ICCL dans le rapport. « Les courtiers en données l’ont utilisé pour profiler les manifestants de Black Lives Matter. Le département américain de la Sécurité intérieure et d’autres agences l’ont utilisé pour le suivi téléphonique sans mandat. Il a été impliqué dans la sortie d’un prêtre catholique gay par son utilisation de Grindr. L’ICCL a découvert la vente de données RTB révélant des survivantes probables d’abus sexuels.

Le rapport soulève des questions particulièrement importantes pour les régulateurs européens car, contrairement aux États-Unis, la région dispose d’un cadre complet de protection des données. Le règlement général sur la protection des données (RGPD) est en vigueur dans toute l’UE depuis mai 2018 et les régulateurs auraient dû faire respecter ces droits à la vie privée contre les adtech hors de contrôle depuis des années.

Au lieu de cela, il y a eu une réticence collective à le faire – probablement en raison de l’ampleur et de l’omniprésence de la technologie de suivi et de profilage individuels intégrée dans l’infrastructure Web, associée à des affirmations bruyantes de l’industrie adtech selon lesquelles le Web libre ne peut pas survivre si la vie privée des utilisateurs d’Internet est respectée. (De telles allégations ignorent l’existence d’autres formes de ciblage publicitaire, telles que contextuelles, qui ne nécessitent pas de suivi et de profilage de l’activité des internautes individuels pour fonctionner et qui se sont avérées rentables pendant des années, comme pour le moteur de recherche non suiveur, DuckDuckGo.)

Une enquête ouverte par la Commission irlandaise de protection des données (DPC) sur l’adtech de Google il y a trois ans (Mai 2019), à la suite d’un certain nombre de plaintes du RTB, est – ostensiblement – en cours. Mais aucune décision n’a été rendue.

L’ICO du Royaume-Uni a également répété à plusieurs reprises mesures d’application de la loi tâtonnées contre RTB à la suite de plaintes déposées en 2018, malgré le fait qu’il ait exprimé publiquement son point de vue depuis 2019 que l’industrie de la publicité comportementale est complètement hors de contrôle. Et dans un plan de départ l’automne dernier, la commissaire à l’information sortante, Elizabeth Denham, a exhorté l’industrie à entreprendre des réformes significatives de la protection de la vie privée.

Depuis lors, un mécanisme phare de l’industrie adtech pour recueillir le consentement des internautes au suivi des annonces – le soi-disant transparency and consent Framework (TCF) de l’IAB Europe – a lui-même été constaté en violation du RGPD par l’autorité belge de protection des données.

Son Février 2022 , a également conclu que le CCI lui-même était fautif, donnant à l’organisme de l’industrie deux mois pour soumettre un plan de réforme et six mois pour le mettre en œuvre. (NB: Google et l’IAB sont les deux organismes qui établissent des normes pour rtb.)

Cette question de consentement est une plainte (solide) contre RTB en vertu du RGPD européen. Cependant, la préoccupation de l’ICCL s’est concentrée sur la sécurité – car elle soutient que le commerce à grande vitesse et à grande échelle des données des personnes pour placer des publicités en les diffusant sur Internet à des milliers de « partenaires » (mais aussi avec le risque évident d’interception et d’appropriation par des dizaines d’inconnus) est intrinsèquement peu sûr. Et, indépendamment des problèmes de consentement, le RGPD exige que les informations des personnes soient protégées de manière adéquate – d’où son cadrage de RTB comme la « plus grande violation de données jamais réalisée ».

Dans Mars, l’ICCL a annoncé son intention de poursuivre la DPC – accusant le régulateur d’années d’inaction sur les plaintes RTB (dont certaines ont été déposées la même année que l’entrée en vigueur du RGPD). Ce litige est toujours en instance.

Il a également contacté le médiateur de l’UE pour lui faire part de sa plainte selon laquelle la Commission européenne ne surveillait pas correctement l’application du règlement – ce qui a conduit le premier à ouvrir une enquête pour examiner les allégations contraires de la Commission plus tôt cette année.

Un délai demandé à l’exécutif de l’UE pour soumettre des informations au médiateur est passé hier sans soumission, selon la CICTA, la Commission aurait demandé 10 jours supplémentaires pour fournir les données demandées – ce qui suggère le quatrième anniversaire de l’entrée en vigueur du RGPD (Le 25 mai 2018) passera entre-temps (peut-être un peu plus tranquillement qu’il ne l’aurait fait si l’ombudsman avait été en mesure de rendre un verdict)…

« À l’approche du quatrième anniversaire du RGPD, nous publions des données sur la plus grande violation de données de tous les temps. Et c’est un réquisitoire contre la Commission européenne, et en particulier le commissaire [Didier] Reynders, que cette violation de données se répète tous les jours », a déclaré Johnny Ryan, chercheur principal à l’ICCL, à TechCrunch.

« Il est temps que la Commission fasse son travail et oblige l’Irlande à appliquer correctement le RGPD », a-t-il ajouté.

Nous avons également contacté Google, Microsoft, le DPC et la Commission européenne pour poser des questions sur le rapport de l’ICCL, mais au moment de la rédaction du présent rapport, aucun n’avait répondu.

Mettre à jour: Un porte-parole de Google a maintenant envoyé cette déclaration :

« Google met en place des mesures de protection de pointe sur l’utilisation des données pour les enchères en temps réel avec des restrictions strictes sur la façon dont les données sont partagées avec les annonceurs. Nous ne partageons pas d’informations personnellement identifiables et nous ne diffusons pas non plus de publicités basées sur des informations sensibles, telles que la santé, la race ou la religion. Nous exigeons des éditeurs qu’ils prouvent qu’ils ont le consentement des gens avant de montrer des annonces personnalisées et ce depuis de nombreuses années.

« Nous continuons d’investir dans de nouvelles technologies, comme le Bac à sable de confidentialité, pour créer des solutions publicitaires axées sur la protection de la vie privée qui aident à éliminer le suivi sur le Web.

Mise à jour 2 : Microsoft a refusé de commenter.

Ryan nous a dit que l’ICCL écrit également aux législateurs américains pour souligner l’ampleur de la « crise de la vie privée dans la publicité en ligne » – et en particulier faire pression sur le sous-comité du Sénat sur la politique de la concurrence, l’antitrust et les droits des consommateurs pour s’assurer que des ressources adéquates en matière d’application de la loi sont fournies à la FTC – afin qu’elle puisse prendre des mesures urgentes « contre cette énorme violation ».

Dans la lettre, que nous avons examinée, l’ICCL souligne que les données privées sur les citoyens américains sont envoyées à des entreprises du monde entier, y compris en Russie et en Chine – « sans aucun moyen de contrôler ce qui est ensuite fait avec les données ».

La guerre en Europe ajoute certainement une dimension supplémentaire à cette histoire de surveillance adtech.

L’invasion de l’Ukraine par la Russie plus tôt cette année a alimenté une inquiétude supplémentaire quant à la surveillance de masse des utilisateurs du Web par adtech – c’est-à-dire si les données des citoyens reviennent, via le suivi en ligne, vers des pays tiers hostiles comme la Russie et son allié la Chine.

En mars, le Financial Times a rapporté que des dizaines d’applications contiennent la technologie SDK fabriquée par le géant russe de la recherche Yandex – qui a été accusé d’envoyer les données des utilisateurs à des serveurs en Russie où elles pourraient être accessibles au gouvernement russe.

En Europe, le RGPD exige que les exportations de données personnelles hors du bloc soient protégées selon les mêmes normes que les informations des citoyens devraient être emballées lorsqu’elles sont traitées ou stockées en Europe.

Une décision historique de l’UE en Juillet 2020 A vu la plus haute cour de l’UE annuler un accord phare de transfert de données entre l’UE et les États-Unis en raison de préoccupations de sécurité liées aux programmes de surveillance de masse du gouvernement américain – créant une incertitude juridique persistante autour des flux internationaux de données vers des pays tiers à risque, alors que la Cour soulignait la nécessité pour les régulateurs de l’UE de surveiller de manière proactive les exportations de données et d’intervenir pour suspendre tout flux de données vers des juridictions qui ne disposent pas d’une protection adéquate des données.

De nombreux acteurs clés de l’adtech sont basés aux États-Unis, ce qui soulève des questions sur la légalité de tout traitement des données des Européens par le secteur qui se déroule également au-dessus de l’étang, compte tenu des normes élevées que la législation de l’UE exige pour que les données soient légalement exportées.

Rate this post
Publicité
Article précédentSelon les rumeurs, la prochaine mise à jour d’iOS 16 apporterait de grands changements à l’écran de verrouillage
Article suivantUne erreur s’est produite, téléchargement interrompu dans Microsoft Edge
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici