Propositions inadéquates de Google et d’IAB pour réformer le RTB
En juin 2019, l’OIC a publié un rapport accablant sur les «enchères en temps réel». Il justifiait complètement les preuves produites par Qwant et soumettait les plaintes de Jim Killock et du Dr Michael Veale, parallèlement aux plaintes du Dr Johnny Ryan à la Commission irlandaise de protection des données.
L’OIC a convenu avec Qwant et les plaignants que le système RTB (Real Time Bidding) diffuse ce que tout le monde au Royaume-Uni lit et regarde en ligne chaque jour à des milliers d’entreprises, sans aucune sécurité quant à ce qui se passe avec les données.
«Une fois que les données sont hors du contrôle d’une seule partie, cette dernière n’a essentiellement aucun moyen de garantir que les données resteront soumises à une protection et à des contrôles appropriés. … Des milliers d’organisations traitent des milliards de demandes de soumissions au Royaume-Uni chaque semaine… »
L’ICO a donné à l’industrie de la RTB, dirigée par Google et l’IAB, six mois pour réparer l’énorme violation de données, même si dix mois s’étaient déjà écoulés depuis que l’ICO avait reçu les preuves de Qwant.
Mais à cette époque, Google et l’IAB n’ont fait aucune proposition substantielle pour résoudre le problème. Nous avons analysé leurs propositions en détail. Ils n’auront aucun impact matériel pour réduire la violation continue des données RTB.
Le délai de grâce de six mois de l’OIC s’est écoulé en décembre 2019.
La semaine dernière, à la mi-janvier, l’ICO a surpris les plaignants en annonçant que les propositions de Google et de l’IAB « entraîneront de réelles améliorations dans le traitement des données personnelles au sein de l’industrie des technologies de l’information ».
Aucune analyse sensée ne peut souscrire à la déclaration de l’ICO.
Les propositions de Google n’arrêtent pas la violation de données RTB
La suppression des catégories de contenu de RTB est sans importance.
Google a annoncé qu’il supprimerait un élément de la violation de données RTB: les catégories contextuelles, qui dénotent le sujet de la page Web ou de l’application qu’une personne charge. Beaucoup de ces catégories sont très sensibles. Leur suppression, cependant, n’aura aucun impact matériel sur la violation des données RTB, car le système RTB de Google continuera de diffuser d’autres données personnelles qui révèlent les mêmes informations.
Cela inclut les URL. Le titre d’une URL peut révéler des données de catégorie spéciale telles que la sexualité, la foi religieuse, l’état de santé, etc. Par exemple, les URL «Gay.co.uk», «Islam.org.uk» ou «NHS.uk/Conditions» / Cancer / « peut révéler des données de catégorie spéciale.
De plus, l’analyse automatique des pages désignées par les URL peut révéler des catégories contextuelles spéciales, même si le système RTB n’inclut pas les noms des catégories dans une diffusion. L’IAB indique que de nombreuses sociétés de RTB s’appuient sur des «services de ciblage contextuel externes» pour ce faire, au lieu d’utiliser les catégories contextuelles intégrées à leur propre système de RTB. Faire cela avec l’exemple d’URL suivant «dailymail.co.uk/health/article-4574230/Postpartum-depression-guide-women-men.html» renvoie des catégories contextuelles: «dépression post-partum», «période post-partum», «trouble d’anxiété» et «trouble dépressif majeur».
Par conséquent, la suppression des catégories de contenu est un geste vide, tant que Google continue de diffuser d’autres données personnelles dans ses émissions RTB qui peuvent révéler des catégories contextuelles.
L’audit semble impossible.
Deuxièmement, la proposition de Google de vérifier ce qui arrive aux données dans son système RTB est inadéquate.
Google n’a actuellement aucun contrôle en place pour protéger les données RTB après leur diffusion à plus de 2000 entreprises. Les sociétés sont simplement invitées à «notifier Google par écrit» si elles ont l’intention d’en abuser.
Google propose désormais de tenter d’auditer certaines de ces sociétés. On ne sait pas comment il pourra enquêter sur ce qu’il advient des centaines de milliers de milliards de documents qu’il met continuellement entre les mains de ces milliers d’entreprises. C’est une tâche impossible.
Ce que l’IAB a annoncé ne résout pas la violation de données RTB
IAB UK a publié diverses propositions en réponse aux questions de l’OIC. Mais à part les promesses d’envoyer des orientations (non contraignantes) aux membres, les propositions de longue haleine du CCI ne contenaient qu’une seule action directement liée à la violation de données au cœur de notre plainte:
IAB UK et IAB Europe ont lancé un flux de travail conjoint (soumis aux processus de gouvernance du TCF) pour développer des engagements supplémentaires en matière de sécurité des données pour une intégration future dans les politiques du TCF.
Non seulement cette déclaration manque de substance et d’urgence, mais elle repose également sur un système incapable de corriger les failles de sécurité de RTB. Le TCF («cadre de transparence et de consentement») envoie simplement des demandes «veuillez ne pas utiliser» aux nombreuses entreprises recevant des émissions RTB dans le système IAB. Il n’est pas en mesure de contrôler ce qui arrive aux données.
Défaillance réglementaire et marché de la publicité en ligne
La seule façon d’assurer la sécurité des données personnelles dans le système RTB est d’arrêter la diffusion des données personnelles à des milliers d’entreprises. L’OIC n’a pas agi pour faire respecter cela, ni aucune autre mesure de fond pour mettre fin à la violation continue des données RTB.
Il se peut que l’ICO craigne que l’application de la loi ne fixe les conditions pour Google (ou quelqu’un d’autre)