Une ONG irlandaise vient de publier les résultats d’une étude de grande ampleur sur la publicité ciblée en temps réel sur Internet (real time bidding).
Les résultats sont interpellants car le phénomène est d’une ampleur et d’une importance économiques considérables. L’étude pourrait contribuer à débloquer le dossier du nouveau règlement ePrivacy.
Petite devinette …
Les Américains le font 747 fois par jour en moyenne ; les Européens en sont à 376 fois par jour.
De quoi s’agit-il … ?
Non, il ne s’agit pas d’une statistique scabreuse quelconque, mais du nombre de confrontations quotidiennes des internautes avec le phénomène du real time bidding (RTB) ou enchères en temps réel.
Le real-time bidding est un type de publicité programmatique (c’est-à-dire, en substance, une publicité ciblée en fonction de la personne à qui la publicité est montrée, des caractéristiques et intérêts de cette personne, de sa localisation, du prix et des caractéristiques du produit ou service, etc.).
La CNIL explique : « Lorsqu’un utilisateur consulte une page web avec un espace publicitaire, celui-ci est mis aux enchères à un ensemble d’acheteurs potentiels. Ces derniers peuvent consulter des informations sur l’utilisateur et les croiser avec l’éventuel profil publicitaire qu’ils détiennent sur lui pour évaluer l’intérêt d’afficher une publicité à son attention et donc déterminer le prix qu’ils sont éventuellement prêts à payer pour cela. Le publicitaire avec l’enchère la plus haute l’emporte et peut donc afficher sa publicité à l’utilisateur. Ce processus prend en général quelques centaines de millisecondes. » La technologie est complexe (notamment en raison de la multiplicité des réseaux publicitaires et du nombre et de la diversité des intermédiaires) pour un principe somme toute assez simple.
Dans le monde réel, cela signifierait que chaque fois qu’une personne passe devant un panneau d’affichage, celui-ci modifierait la publicité proposée en fonction de la personne. Les « caractéristiques » de cette personne (pas nécessairement un nom mais plutôt un profil) seraient adressées à différentes régies publicitaires et chacune pourrait, selon un système d’enchères, proposer une publicité. Ces offres seraient récoltées par l’exploitant du panneau publicitaire qui déciderait d’afficher la publicité de son choix, probablement celle qui offre le plus grand montant. Si deux personnes sont devant le même panneau, elles ne verraient donc pas nécessairement la même publicité.
Sur Internet, le RTB est monnaie courante. C’est même l’un des modèles économiques fondamentaux des sites et services dits gratuits.
L’Irish Council for Civil Liberties (ICCL) est une ONG irlandaise active dans la protection de la vie privée. Elle vient de réaliser et publier les résultats d’une enquête relative à l’ampleur de ce phénomène.
L’étude estime que ce marché pèse plus de 117 milliards de dollars.
Derrière ce marché, il y a un réseau de sociétés (les exploitants de sites, les régies publicitaires, les annonceurs, …) qui organisent des enchères 294 million de millions de fois par jour aux USA, et 197 million de millions de fois par jour en Europe, c’est-à-dire 747 fois par jour en moyenne pour un Américain et 376 fois par jour en moyenne pour un Européen. Cette différence s’explique essentiellement par l’existence du RGPD et de la réglementation européenne en matière de cookies.
Dans la plupart des cas, la géolocalisation du visiteur est recueillie.
Il faut toutefois souligner que la géolocalisation est un terme générique derrière lequel se cache une réalité multiple, et l’étude irlandaise ne permet pas de descendre à un niveau de granularité suffisant pour mesurer ces différences et leur impact sur la vie privée. L’ingérence dans la vie privée dépend en effet en grande partie de la précision de la géolocalisation, qui peut aller de quelques (dizaines de) kilomètres (région, pays, ville) à quelques (dizaines de) centimètres (adresse précise).
Les facteurs qui influencent la précision sont nombreux, notamment : la technologie utilisée (GSM, GPS, bluetooth, etc.), le service consulté (site web, réseau social, cartographie, etc.), l’appareil sur lequel le visiteur navigue (PC, smartphone, tablette), les réglages de l’appareil et son operating system (iOS, Android, etc.), le type de connexion (fixe, wifi partagé, mobile), la source des données et leur éventuel croisement avec d’autres, etc.
Même au sein de l’Internet mobile, de fortes distinctions peuvent apparaître : l’opérateur du réseau téléphonique ne dispose en général que d’une localisation approximative liée à l’utilisation des points d’accès et antennes ; l’opérateur de paiement connait souvent la localisation du point of sale utilisé pour la transaction mais cette information n’a qu’une durée de vie limitée (le temps du paiement) ; l’exploitant de réseau social qui a été autorisé (consciemment ou non) à utiliser la localisation GPS du smartphone est capable de suivre à la trace les utilisateurs, etc. On se gardera donc de verser dans l’amalgame tant la diversité est importante.
Sans surprise, la compagnie la plus active en la matière est Google. L’ICCL affirme que 4.698 entreprises sont autorisées par Google à recevoir des données RTB sur des personnes aux États-Unis (Ce nombre serait de 1.058 sociétés en Europe).
Selon l’étude, les données sont transférées dans le monde entier, y compris la Russie et la Chine.
Le Règlement Général sur la Protection des Données personnelles (RGPD) règlemente, de façon horizontale (tous secteurs), la protection des données à caractère personnel.
Un autre texte tout aussi important est la directive vie privée et communications électroniques (e-privacy) de 2002, modifiée en 2009.
Au contraire du RGPD qui se veut transversal (tous secteurs dès l’instant où une donnée personnelle est traitée), la directive e-privacy est verticale (elle règlemente le secteur des communications électroniques mais vise toutes les données, personnelles ou non). Elle contient notamment des dispositions relatives aux éléments suivants :
L’entrée en vigueur du RGPD impliquait la mise à jour de la directive e-privacy et son remplacement par un règlement, mais ce chantier-là a pris du retard en raison des divergences de vue politiques entre les Etats membres.
Après une proposition de 2017, le dossier a souffert de blocages et lenteurs.
La présidence française de l’Union européenne en avait fait une priorité et elle a récemment rédigé une synthèse des travaux et proposé une position commune, mais on ne sait pas encore si un règlement sera prochainement adopté.
L’étude publiée par l’ICCL remet la question des cookies au centre du jeu politique et pourrait contribuer au déblocage du dossier.
En lisant les résultats de l’étude de l’ICCL.
Source : Droit & Technologies, mai 2022