L’Irish Council for Civil Liberties (ICCL) affirme, en se basant sur des données obtenues d’une source confidentielle, que les enchères en temps réel de la publicité numérique (RTB) constitueraient la plus grande violation de données à caractère personnel du monde.
Chaque jour, elles pisteraient et partageraient des informations sur ce que font les gens en ligne et leur géolocalisation 294 milliards de fois aux États-Unis et 197 milliards de fois en Europe – respectivement 987 et 462 partages quotidiens pour les personnes les plus exposées, et 486 et 149 pour les moins exposées…
Au total, le comportement et la géolocalisation des Américains et des Européens sont suivis et partagés 107 trillions de fois par an aux États-Unis, et 71 trillions de fois par an en Europe.
Leurs données à caractère personnel sont envoyées d’entreprise en entreprise partout dans le monde, y compris en Russie et en Chine, sans aucun moyen de contrôle.
Google partage ainsi ces données avec 4 700 entreprises. Microsoft, un acteur mineur du secteur RTB depuis son rachat de Xandr en décembre 2021, les partages avec près de 1 650 compagnies.
L’ICCL estime que ces données sont même sans doute bien en deçà de la réalité : sont absentes notamment les données RTB de Facebook (au moins trois des plus grands réseaux sociaux du monde) et Amazon (première entreprise de commerce en ligne dans le monde).
« Il n’y a aucun moyen de restreindre les données RTB une fois envoyées » estime l’ICCL.
Le Règlement Général de la Protection des Données de l’Union européenne (RGPD) devrait pourtant protéger ses citoyens contre la plupart de ces abus. Une remise en question serait nécessaire pour l’ICCL.
Une fois encore, la Belgique est à l’avant-garde de la lutte contre ces violations à répétition, en toute impunité, de la réglementation européenne : en février 2022, son autorité de la protection des données a conclu que le « cadre de transparence et de consentement » de l’Interactive Advertising Bureau Europe (IAB), lié aux enchères en temps réel, enfreignait le RGPD, et que toutes données personnelles collectées avec consentement par fenêtre contextuelle, ayant été obtenues illégalement, devaient être éliminées.
En d’autres termes, si la décision n’est pas contestée, ou si l’appel échoue, toute entreprise participant au système d’enchères devra effacer les données personnelles obtenues illégalement. Pratiquement toutes les grandes entreprises liées à la publicité numérique, de Amazon à Microsoft, de Facebook à Google en passant par Publicis, sont concernées.