Plainte en matière de réglementation concernant une violation des données massive et sur l'ensemble d'Internet par Google et d'autres sociétés de « technologie publicitaire » déposée en vertu du RGPD européen ; ces plaintes ont été déposées par Dr Johnny Ryan de Brave, le navigateur Web privé, Jim Killock, directeur exécutif de l'Open Rights Group, et Michael Veale du University College London

DUBLIN et LONDRES, 13 septembre 2018 /PRNewswire/ -- Des plaintes visant Google et d'autres sociétés de technologie publicitaire ont été déposées simultanément auprès des autorités européennes en matière de protection des données.

Ces plaintes informent les organes européens de réglementation d'une violation de données massive et constante qui touche pratiquement chaque utilisateur d'Internet.

À chaque fois qu'une personne se rend sur un site Internet et reçoit une publicité « comportementale » sur ce site, des données à caractère personnel intimes qui décrivent chaque visiteur, et ce qu'ils regardent en ligne, sont diffusées à des dizaines voire des centaines d'entreprises. Des sociétés de technologie publicitaire diffusent ces données largement afin d'obtenir des offres d'annonceurs potentiels à l'attention de la personne qui visite le site Internet.

Une violation des données survient parce que cette diffusion, connue sous le nom de « demande d'offres » dans le secteur en ligne, ne protège pas ces données intimes contre les accès non autorisés. Cela est illégal au regard du RGPD.

En son article 5, paragraphe 1, alinéa f, le RGPD exige que les données à caractère personnel soient « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte [...] d'origine accidentelle ». Donc, si vous ne pouvez pas protéger les données de cette manière, vous ne pouvez pas les traiter, selon le RGPD.

Les données utilisées pour les demandes d'offres incluent les données à caractère personnel suivantes :

• Ce que vous lisez ou regardez
• Votre emplacement
• Description de votre appareil
• Des identifiants de suivi unique ou un « cookie match ». Cela permet aux sociétés de technologie publicitaire d'essayer de vous identifier la prochaine fois que vous serez vu, afin que votre profil à long terme puisse être dressé ou consolidé avec des données hors ligne
• Votre adresse IP (selon la version du système d'« offre en temps réel »)
• Identifiant du segment de courtier en données, si disponible. Cela peut divulguer des renseignements comme la tranche de rémunération, l'âge et le sexe, les habitudes, l'influence des réseaux sociaux, l'appartenance ethnique, l'orientation sexuelle, la religion, les sensibilités politiques, etc. (selon la version du système d'offres)

Pour le Dr Ryan : « Il s'agit d'une violation des données massive et systématique au coeur du secteur de la publicité comportementale. Malgré la période d'adaptation de deux ans prévue pour l'entrée en vigueur du RGPD, les sociétés de technologie publicitaire ont manqué à leurs obligations. La plainte que nous avons déposée devrait donner lieu à une enquête dans l'ensemble de l'Union européenne sur les pratiques du secteur de la technologie publicitaire, en application de l'article 62 du RGPD. Le secteur peut trouver une solution. Les annonces publicitaires peuvent être utiles et pertinentes sans qu'il faille pour autant diffuser des données à caractère personnel intimes. »

La plainte renvoie à des tableaux particuliers dans la spécification technique du système de demande d'offres RTB utilisé par les sociétés de technologie publicitaire, et le système RTB exclusif de Google, pour montrer précisément de quelles données il s'agit (voir le détail dans les plaintes ci-dessous).

L'article 5 1) f) du RGPD exige que les données à caractère personnel soient « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte [...] d'origine accidentelle ». Or, il n'existe aucun contrôle des données à caractère personnel intimes dans les demandes d'offres RTB une fois qu'elles ont été diffusées.

Ravi Naik, partenaire chez ITN Solicitors, qui a travaillé avec David Carroll sur la plainte visant Cambridge Analytica adressée au commissaire chargé de la protection de l'information au Royaume-Uni, s'est saisi de l'affaire.

Pour M. Naik : « Nous avons été chargé par des clients dans plusieurs juridictions de déposer des plaintes visant le secteur de la publicité comportementale. Ces plaintes ont été déposées devant un certain nombre d'autorités chargées de la protection des données, et incluent une demande d'enquête dans l'ensemble de l'Union européenne sur ce secteur, en se fondant sur les nouveaux pouvoirs conférés par le RGPD. Ces plaintes sont importantes, et les conséquences pourraient être majeures. Nous sommes certains que tout examen adéquat des préoccupations par les autorités entraînera un changement fondamental de notre relation à Internet, et c'est un mieux. »

La plainte ? déposée simultanément auprès du commissaire chargé de la protection des données en Irlande et du commissaire chargé de la protection de l'information au Royaume-Uni ? vise une enquête de contrôle conjointe par les autorités de contrôle européennes en application de l'article 62 du RGPD. Cela semble être la première action de ce type depuis l'application du RGPD.

Pour M. Killock : « Le secteur de la publicité en ligne est opaque et doit faire l'objet d'une enquête. Les gens ne comprennent, et ne peuvent pas comprendre, pleinement ou savoir comment et où leurs données sont utilisées. Cela me paraît peu éthique et en contradiction avec les lois européennes sur la protection des données. »

Dossiers déposés dans le cadre de la plainte :

• Dossier déposé auprès du commissaire chargé de la protection de l'information au Royaume-Uni (PDF) : https://brave.com/adtech-data-breach-complaint/Behavioural-advertising-and-personal-data.pdf
• Dossier déposé auprès du commissaire chargé de la protection des données en Irlande (PDF) : https://brave.com/DPC-Complaint-Grounds-12-Sept-2018-RAN2018091217315865.pdf
• Rapport sur la publicité comportementale et les données à caractère personnel (PDF) : https://brave.com/adtech-data-breach-complaint/Behavioural-advertising-and-personal-data.pdf