Les données des européens sont vendues aux enchères 376 fois par jour, selon le rapport d'une ONG

Qui a tenté de mesurer la portée des enchères en temps réel

Le système des enchères en temps réel (RTB) fonctionne dans les coulisses des sites Web et les applications. Il suit ce que vous regardez, que ce soit privé ou sensible, et il enregistre où vous allez. Chaque jour, il diffuse ces données vous concernant à une foule d'entreprises en continu, leur permettant de vous profiler. Un rapport du Conseil Irlandais des libertés civiles a présenté l'ampleur de cette violation de données. Le Conseil estime que le RTB est la plus grande violation de données jamais enregistrée. Il suit et partage ce que les gens voient en ligne et leur emplacement dans le monde réel 294 milliards de fois aux États-Unis et 197 milliards de fois en Europe chaque jour. En Europe, le RTB expose les données des personnes 376 fois par jour.

L'Américain moyen voit ses informations personnelles partagées dans une guerre d'enchères publicitaires en ligne 747 fois par jour. Pour le citoyen européen moyen, ce nombre est de 376 fois par jour. En un an, 178 000 milliards d'instances de la même guerre d'enchères se produisent en ligne aux États-Unis et dans l'UE. C'est en tout cas ce qui ressort des données partagées par le Conseil irlandais des libertés civiles (ICCL pour Irish Council on Civil Liberties) dans un rapport détaillant l'étendue des enchères en temps réel (RTB pour real-time bidding), la technologie qui pilote presque toutes les publicités en ligne et qui, selon elle, repose sur le partage d'informations personnelles sans le consentement de l'utilisateur.


L'industrie RTB valait plus de 117 milliards de dollars l'année dernière, selon le rapport de l'ICCL. Comme pour toutes les choses dans son étude, ces chiffres ne s'appliquent qu'aux États-Unis et à l'Europe, ce qui signifie que la valeur réelle du marché est probablement beaucoup plus élevée.

Les enchères en temps réel impliquent le partage d'informations sur les internautes, et cela se produit chaque fois qu'un utilisateur atterrit sur un site Web qui diffuse des annonces. Les informations partagées avec les annonceurs peuvent inclure presque tout ce qui les aiderait à mieux cibler les annonces, et ces annonceurs enchérissent sur l'espace publicitaire en fonction des informations fournies par le réseau publicitaire.

Ces données peuvent être pratiquement tout ce qui est basé sur la taxonomie d'audience de l'Interactive Advertising Bureau (IAB). Les bases, bien sûr, comme l'âge, le sexe, le lieu, le revenu, etc. sont incluses, mais cela ne s'arrête pas là. Toutes sortes de sites Web font du fingerprinting de leurs visiteurs - les données évoquent même des organisations caritatives traitant des problèmes de santé mentale - et ce fingerprinting peut ensuite être utilisé pour cibler des publicités sur des sites Web non liés.

Google possède le plus grand réseau publicitaire inclus dans le rapport de l'ICCL, et il offre à lui seul des données RTB à 4 698 entreprises aux États-Unis seulement. Parmi les autres grands réseaux publicitaires, citons Xandr, propriété de Microsoft depuis fin 2021, Verizon, PubMatic et bien d'autres.


Les réseaux RTB d'Amazon ou de Facebook ne sont pas inclus dans le rapport d'ICCL, car les chiffres de l'industrie qu'il a utilisés pour son rapport n'incluent pas leurs réseaux publicitaires. En plus de n'étudier qu'une partie du monde, cela signifie probablement que la portée de l'industrie RTB est, encore une fois, beaucoup plus grande.

De plus, c'est probablement illégal

L'ICCL décrit le RTB comme « la plus grande violation de données jamais enregistrée », mais même cela peut donner trop de crédit aux annonceurs : appeler des données RTB diffusées librement une violation implique que des mesures ont été prises pour contourner les défenses, défenses qui ne sont pas mises en place. Alors, le RTB enfreint-il la moindre loi ? Oui, affirme Nader Henein, vice-président de Gartner Privacy Research. Il a déclaré que l'industrie adtech justifie son utilisation du RTB en vertu de la disposition « d'intérêt légitime » du règlement général sur la protection des données (RGPD) de l'UE.

« Plusieurs régulateurs ont rejeté cette évaluation, donc la réponse serait "oui", c'est une violation du RGPD », a déclaré Henein.

Dès 2019, Google et d'autres géants de la technologie publicitaire ont été accusés par le Royaume-Uni d'avoir sciemment enfreint la loi en utilisant le RTB, l'enquête sur cette affaire continue jusqu'à présent. Plus tôt cette année, l'autorité belge de protection des données a jugé que les pratiques RTB violaient le RGPD et a demandé aux organisations travaillant avec l'IAB de supprimer toutes les données collectées via l'utilisation de chaînes TC, un type de caractère codé utilisé dans le processus RTB.

Johnny Ryan n'est pas étranger aux poursuites : il a quitté Brave, fabricant du navigateur centré sur la confidentialité, pour prendre son poste à l'ICCL, où il a dirigé plusieurs affaires contre l'IAB et la pratique du RTB.

Selon l'ICCL, elle est actuellement impliquée dans trois affaires en cours impliquant RTB : une à Hambourg contre la plateforme de publicité Xandr (l'ancienne division de publicité et d'analyse d'AT&T, vendue à Microsoft en décembre 2021, qui exploite une plateforme en ligne, appelée Community, pour acheter et vendre de la publicité numérique centrée sur le consommateur), une affaire de la Haute Cour irlandaise contre la Commission de protection des données pour ne pas avoir enquêté sur des violations de RTB, et une troisième affaire à Bruxelles contre un recours de l'IAB contre la décision belge antérieure.

L'affaire de Bruxelles, sans doute la plus grande décision contre RTB à ce jour, s'articule autour du cadre de transparence et de consentement (TCF pour Transparency and Consent Framework) de l'IAB, qu'il a développé en réponse à l'adoption du RGPD. Dans la version initiale des commentaires publics du TCF, une section indique que les éditeurs de publicité s'inquiètent de leur responsabilité concernant les données des utilisateurs. Dans ce document, l'IAB déclare explicitement qu'il ne peut pas contrôler les données que les réseaux publicitaires fournissent aux enchérisseurs.

« Les éditeurs reconnaissent qu'il n'existe aucun moyen technique de limiter la manière dont les données sont utilisées après leur réception par un fournisseur pour prendre une décision/enchérir sur/après la livraison d'une annonce », indique le document.

Les versions plus récentes du TCF ont ajouté un libellé similaire à la clause de non-responsabilité du framework, qui indique que les fournisseurs eux-mêmes sont responsables de la conformité au TCF, et l'IAB ne prétend pas que le...