Données personnelles : enquête en Irlande sur les pratiques publicitaires de Google
Données personnelles : enquête en Irlande sur les pratiques publicitaires de Google
Par Martin Untersinger
L’autorité irlandaise de protection des données personnelles se lance dans une enquête qui pourrait avoir d’importantes conséquences pour la publicité sur Internet.
Google fait l’objet d’une nouvelle enquête. / ALAIN JOCARD / AFP
Nouvelle épreuve pour Google sur le front des données personnelles : l’autorité irlandaise de protection des données personnelles a annoncé, mercredi 22 mai, l’ouverture d’une enquête sur les pratiques de l’entreprise dans le cadre de ses activités publicitaires.
L’autorité fait suite à plusieurs plaintes, dont celle qui a été déposée par Johnny Ryan, le fondateur du navigateur Internet Brave, et à ce titre concurrent de Google et de son navigateur Chrome. M. Ryan, expert de l’industrie publicitaire sur Internet, reproche à Google de diffuser indûment les données personnelles des internautes dans le cadre de certaines de ses activités publicitaires.
Les enchères publicitaires en question
Pour comprendre, il faut se pencher sur le fonctionnement d’une des offres publicitaires de Google. L’entreprise, dont la publicité constitue l’écrasante majorité des revenus, met en relation des annonceurs, qui veulent donc afficher des publicités auprès de certains internautes qu’ils désirent cibler, et des sites Internet. Ces derniers permettent à Google d’afficher automatiquement et en temps réel les publicités des annonceurs, qui changent pour chaque nouvel internaute.
Pour réaliser cette opération, Google avertit les annonceurs à chaque fois qu’un internaute se connecte sur un site qui dispose d’un espace publicitaire dynamique. Pour que les annonceurs puissent décider si oui ou non ils désirent payer pour afficher leur publicité auprès de cet internaute en particulier, autrement dit si cet internaute les intéresse, Google leur fournit une liste d’informations à son sujet.
Des données parfois sensibles
Parmi ces informations, des données personnelles parfois sensibles, argue M. Ryan. Google peut effectivement transmettre la localisation précise de l’internaute, son identifiant Google ou la thématique du site qu’il visite. Ce dernier type d’information peut, selon la plainte, révéler des informations que la législation européenne considère comme sensibles, comme l’orientation sexuelle, les opinions politiques ou les données relatives à la santé. Google dispose ainsi de catégories très fines, comme les sites consacrés au virus du sida, aux questions LGBT, à la maladie d’Alzheimer, au cancer, aux problèmes liés au cholestérol, aux principales religions monothéistes ou au syndicalisme.
Pour le plaignant, le RGPD (Règlement général sur la protection des données) – le texte européen concernant les données personnelles – est bafoué par cet outil publicitaire. En effet, affirme-t-il, les internautes ne sont pas informés de la quantité ou de la nature de leurs données brassées par l’outil, pas plus qu’ils ne savent quelles entreprises les reçoivent à chaque étape de l’enchère publicitaire. M. Ryan qualifie même ce processus de « fuite de données » pure et simple.
La crédibilité du RGPD en jeu
Google, outre ses multiples services gratuits à destination des internautes, est surtout un mastodonte de la publicité en ligne. Ce système d’enchères publicitaires est une des composantes de cette activité, et à ce titre il est utilisé par plusieurs millions de sites Web et des milliers d’annonceurs ; la quantité de données qu’il manipule est faramineuse. La décision de la CNIL irlandaise a donc de quoi inquiéter Google, car elle pourrait chambouler la manière dont l’entreprise utilise les données personnelles à des fins publicitaires.
Cette enquête va amener l’autorité irlandaise à se pencher, au-delà de Google, sur le fondement même de la publicité ciblée en ligne, où de nombreux acteurs s’échangent des données plus ou moins personnelles, plus ou moins anonymisées, avec une grande opacité.
Cette enquête est aussi un double test. D’abord, celui de savoir si l’autorité irlandaise de protection des données aura le courage de s’attaquer frontalement aux pratiques des mastodontes américains, elle qui est fréquemment décriée pour son laxisme vis-à-vis de ces entreprises. L’attitude de l’autorité de Dublin va être suivie de très près par la plupart des entreprises du secteur des nouvelles technologies.
Ensuite, cette enquête éprouvera la crédibilité même du RGPD. Certains l’ont accusé de favoriser les grandes entreprises de la Silicon Valley, en particulier Google et Facebook qui ont assis leur domination du Web sur la publicité en ligne, au détriment des plus petites.
« Nous devons réformer la publicité en ligne »
« Nous participerons pleinement à l’enquête […] et accueillons favorablement la perspective de clarification des règles européennes en matière de protection des données pour les enchères en temps réel sur la publicité en ligne. Les acheteurs autorisés utilisant nos systèmes sont soumis à des politiques et des normes strictes », a déclaré un porte-parole de Google. En cas de manquement grave à la législation européenne, Google encourt une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires mondial (soit environ 4 milliards d’euros).
« Le capitalisme de la surveillance est sur le point de devenir obsolète » a jubilé M. Ryan. « Un changement est sur le point de se produire, bien au-delà de Google. Nous devons réformer la publicité en ligne pour protéger la vie privée », a déclaré le patron de Brave, engagé dans une campagne contre les technologies publicitaires. De nombreuses plaintes visant ce secteur ont déjà été déposées devant plusieurs autorités de protection des données personnelles en Europe, faisant de ce dossier l’un des plus sensibles à venir sur le front des données personnelles.