La publicité programmatique est-elle compatible RGPD ?
Brave Software en doute. L’entreprise américaine – qui édite un navigateur basé sur Chromium – l’a fait savoir dans des plaintes déposées en septembre auprès des Cnil irlandaise et britannique. Elle vise, par ce biais, Google et « d’autres acteurs de la pub en ligne » (non cités).
Son constat sur les technologies d’achat d’espaces publicitaires en temps réel est le suivant : chaque enchère implique la transmission de données personnelles à « des dizaines, voire des centaines » de sociétés. Ce sans que les personnes concernées soient clairement informées non seulement de l’identité de ces sociétés, mais aussi des traitements qu’elles effectuent.
Il existe, en Europe, un cadre censé favoriser le recueil du consentement des individus à la collecte de leurs données personnelles et à leur communication à des tiers. Il est l’œuvre de l’IAB (Internet Advertising Bureau, association de professionnels du marché de la pub en ligne).
Problème, selon Brave Software : ledit cadre admet, d’une part que les responsables de traitement perdent tout contrôle sur l’usage des données une fois qu’elles ont été diffusées. Et de l’autre, que ces mêmes responsables peuvent se dispenser du consentement des individus, en s’appuyant sur une base légale obtenue par les tiers auxquels les données sont transmises.
La question de la conformité du cadre défini par l’IAB se pose aussi à la lecture d’une mise en demeure que la Cnil a rendue publique le 9 novembre 2018.
La start-up visée (Vectaury) a recours à des technologies qui permettent, sur les téléphones mobiles, de collecter des identifiants publicitaires et des données de géolocalisation. Puis de les croiser avec des points d’intérêt dans le de campagnes publicitaires pour le compte d’enseignes de magasins.
Les collectes sont effectuées à l’aide d’un SDK intégré à des applications partenaires.
Pour recueillir le consentement des personnes concernées, Vectaury propose aux éditeurs une plate-forme à intégrer également dans leurs applications.
Cette plate-forme est fondée sur le framework de l’IAB, « utilisé par la majorité des acteurs du marché ». Or, elle ne permet pas, selon la Cnil, de recueillir un consentement de manière valable.
Aux termes du RGPD, le consentement doit être donné « par un acte positif clair ». La personne concernée doit manifester son accord aux traitements de données « de façon libre, spécifique, éclairée et univoque ».
D’après la Cnil, on ne peut pas parler de décision « éclairée ». Le texte de présentation communiqué à la première ouverture de l’application « ne permet pas aux personnes concernées de comprendre précisément à quoi elles consentent ».
L’utilisateur n’a en outre pas la possibilité de consentir spécifiquement au traitement de ses données en vue de l’affichage de publicités ciblées ou de l’élaboration d’un profil commercial. Seuls lui sont proposés des boutons « J’accepte » et « Je refuse », avant que les différentes finalités du traitement soient exposées.
Quant au caractère « positif », il n’est pas rempli, l’ensemble des finalités de collecte étant pré-acceptées par défaut (une action n’est requise que pour s’opposer au traitement).
Et le programmatique, dans tout ça ?
Vectaury reçoit aussi des données collectées dans le cadre d’offres d’enchères en temps réel pour l’achat d’espaces publicitaires. Au cours du processus, ces données ne lui parviennent pas directement : elles sont transmises à divers intermédiaires.
Qu’il remporte ou non l’enchère, Vectaury conserve et traite ultérieurement les données. Aussi bien pour analyser la conversion physique de ses campagnes que pour enrichir les profils dans sa base.
La start-up a, d’après la Cnil, récolté par ce biais plus de 42 millions d’identifiants publicitaires et des données de géolocalisation à partir de quelque 32 000 applications.
L’autorité française affirme que pour garantir le caractère spécifique et informé du consentement, la société dont émane l’offre d’enchère et qui collecte les données doit informer les personnes à propos des destinataires de ces données. Or, ce n’est pas le cas.
Vectaury explique avoir inscrit, dans les contrats avec ses partenaires, l’obligation d’obtenir le consentement pour son compte et de lui fournir la chaîne de consentement pour chaque utilisateur par finalité.
Un argument qui ne passe pas pour la Cnil : la seule présence d’une clause contractuelle entre responsables de traitement qui garantit un consentement initial valablement collecté ne suffit pas.
L’IAB Europe soutient que Vectaury est en tort : soit la start-up a mal implémenté le framework, soit elle n’a pas fait certains choix qui auraient pu favoriser une conformité de son mécanisme vis-à-vis du RGPD.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…