RGPD : l'industrie du programmatique est-elle sur la mauvaise voie ?

Une mise en demeure de la Cnil contre une société impliquée dans la chaîne de la pub programmatique met en doute la conformité des standards du marché vis-à-vis du RGPD.

La publicité programmatique est-elle compatible RGPD ?

Brave Software en doute. L’entreprise américaine – qui édite un navigateur basé sur Chromium – l’a fait savoir dans des plaintes déposées en septembre auprès des Cnil irlandaise et britannique. Elle vise, par ce biais, Google et « d’autres acteurs de la pub en ligne » (non cités).

Son constat sur les technologies d’achat d’espaces publicitaires en temps réel est le suivant : chaque enchère implique la transmission de données personnelles à « des dizaines, voire des centaines » de sociétés. Ce sans que les personnes concernées soient clairement informées non seulement de l’identité de ces sociétés, mais aussi des traitements qu’elles effectuent.

Il existe, en Europe, un cadre censé favoriser le recueil du consentement des individus à la collecte de leurs données personnelles et à leur communication à des tiers. Il est l’œuvre de l’IAB (Internet Advertising Bureau, association de professionnels du marché de la pub en ligne).

Problème, selon Brave Software : ledit cadre admet, d’une part que les responsables de traitement perdent tout contrôle sur l’usage des données une fois qu’elles ont été diffusées. Et de l’autre, que ces mêmes responsables peuvent se dispenser du consentement des individus, en s’appuyant sur une base légale obtenue par les tiers auxquels les données sont transmises.

Le cas Vectaury

La question de la conformité du cadre défini par l’IAB se pose aussi à la lecture d’une mise en demeure que la Cnil a rendue publique le 9 novembre 2018.

La start-up visée (Vectaury) a recours à des technologies qui permettent, sur les téléphones mobiles, de collecter des identifiants publicitaires et des données de géolocalisation. Puis de les croiser avec des points d’intérêt dans le de campagnes publicitaires pour le compte d’enseignes de magasins.

Les collectes sont effectuées à l’aide d’un SDK intégré à des applications partenaires.

Pour recueillir le consentement des personnes concernées, Vectaury propose aux éditeurs une plate-forme à intégrer également dans leurs applications.

Cette plate-forme est fondée sur le framework de l’IAB, « utilisé par la majorité des acteurs du marché ». Or, elle ne permet pas, selon la Cnil, de recueillir un consentement de manière valable.

Aux termes du RGPD, le consentement doit être donné « par un acte positif clair ». La personne concernée doit manifester son accord aux traitements de données « de façon libre, spécifique, éclairée et univoque ».

D’après la Cnil, on ne peut pas parler de décision « éclairée ». Le texte de présentation communiqué à la première ouverture de l’application « ne permet pas aux personnes concernées de comprendre précisément à quoi elles consentent ».

L’utilisateur n’a en outre pas la possibilité de consentir spécifiquement au traitement de ses données en vue de l’affichage de publicités ciblées ou de l’élaboration d’un profil commercial. Seuls lui sont proposés des boutons « J’accepte » et « Je refuse », avant que les différentes finalités du traitement soient exposées.

Quant au caractère « positif », il n’est pas rempli, l’ensemble des finalités de collecte étant pré-acceptées par défaut (une action n’est requise que pour s’opposer au traitement).

Le contrat ne suffit pas

Et le programmatique, dans tout ça ?

Vectaury reçoit aussi des données collectées dans le cadre d’offres d’enchères en temps réel pour l’achat d’espaces publicitaires. Au cours du processus, ces données ne lui parviennent pas directement : elles sont transmises à divers intermédiaires.

Qu’il remporte ou non l’enchère, Vectaury conserve et traite ultérieurement les données. Aussi bien pour analyser la conversion physique de ses campagnes que pour enrichir les profils dans sa base.

La start-up a, d’après la Cnil, récolté par ce biais plus de 42 millions d’identifiants publicitaires et des données de géolocalisation à partir de quelque 32 000 applications.

L’autorité française affirme que pour garantir le caractère spécifique et informé du consentement, la société dont émane l’offre d’enchère et qui collecte les données doit informer les personnes à propos des destinataires de ces données. Or, ce n’est pas le cas.

Vectaury explique avoir inscrit, dans les contrats avec ses partenaires, l’obligation d’obtenir le consentement pour son compte et de lui fournir la chaîne de consentement pour chaque utilisateur par finalité.

Un argument qui ne passe pas pour la Cnil : la seule présence d’une clause contractuelle entre responsables de traitement qui garantit un consentement initial valablement collecté ne suffit pas.

L’IAB Europe soutient que Vectaury est en tort : soit la start-up a mal implémenté le framework, soit elle n’a pas fait certains choix qui auraient pu favoriser une conformité de son mécanisme vis-à-vis du RGPD.

RGPD : l’industrie du programmatique est-elle sur la mauvaise voie ?

Le cas Vectaury

Le contrat ne suffit pas

RGPD : la Cnil actualise son modèle de registre de traitements pour les PME

FaceApp : le phénomène interpelle la Cnil

RGPD : la Cnil a le consentement du GESTE mais pas de La Quadrature du Net

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu