Le systme des enchres en temps rel (RTB) fonctionne dans les coulisses des sites Web et les applications. Il suit ce que vous regardez, que ce soit priv ou sensible, et il enregistre o vous allez. Chaque jour, il diffuse ces donnes vous concernant une foule d’entreprises en continu, leur permettant de vous profiler. Un rapport du Conseil Irlandais des liberts civiles a prsent l’ampleur de cette violation de donnes. Le Conseil estime que le RTB est la plus grande violation de donnes jamais enregistre. Il suit et partage ce que les gens voient en ligne et leur emplacement dans le monde rel 294 milliards de fois aux tats-Unis et 197 milliards de fois en Europe chaque jour. En Europe, le RTB expose les donnes des personnes 376 fois par jour.
L’Amricain moyen voit ses informations personnelles partages dans une guerre d’enchres publicitaires en ligne 747 fois par jour. Pour le citoyen europen moyen, ce nombre est de 376 fois par jour. En un an, 178 000 milliards d’instances de la mme guerre d’enchres se produisent en ligne aux tats-Unis et dans l’UE. C’est en tout cas ce qui ressort des donnes partages par le Conseil irlandais des liberts civiles (ICCL pour Irish Council on Civil Liberties) dans un rapport dtaillant l’tendue des enchres en temps rel (RTB pour real-time bidding), la technologie qui pilote presque toutes les publicits en ligne et qui, selon elle, repose sur le partage d’informations personnelles sans le consentement de l’utilisateur.
L’industrie RTB valait plus de 117 milliards de dollars l’anne dernire, selon le rapport de l’ICCL. Comme pour toutes les choses dans son tude, ces chiffres ne s’appliquent qu’aux tats-Unis et l’Europe, ce qui signifie que la valeur relle du march est probablement beaucoup plus leve.
Les enchres en temps rel impliquent le partage d’informations sur les internautes, et cela se produit chaque fois qu’un utilisateur atterrit sur un site Web qui diffuse des annonces. Les informations partages avec les annonceurs peuvent inclure presque tout ce qui les aiderait mieux cibler les annonces, et ces annonceurs enchrissent sur l’espace publicitaire en fonction des informations fournies par le rseau publicitaire.
Ces donnes peuvent tre pratiquement tout ce qui est bas sur la taxonomie d’audience de l’Interactive Advertising Bureau (IAB). Les bases, bien sr, comme l’ge, le sexe, le lieu, le revenu, etc. sont incluses, mais cela ne s’arrte pas l. Toutes sortes de sites Web font du fingerprinting de leurs visiteurs – les donnes voquent mme des organisations caritatives traitant des problmes de sant mentale – et ce fingerprinting peut ensuite tre utilis pour cibler des publicits sur des sites Web non lis.
Google possde le plus grand rseau publicitaire inclus dans le rapport de l’ICCL, et il offre lui seul des donnes RTB 4 698 entreprises aux tats-Unis seulement. Parmi les autres grands rseaux publicitaires, citons Xandr, proprit de Microsoft depuis fin 2021, Verizon, PubMatic et bien d’autres.
Les rseaux RTB d’Amazon ou de Facebook ne sont pas inclus dans le rapport d’ICCL, car les chiffres de l’industrie qu’il a utiliss pour son rapport n’incluent pas leurs rseaux publicitaires. En plus de n’tudier qu’une partie du monde, cela signifie probablement que la porte de l’industrie RTB est, encore une fois, beaucoup plus grande.
De plus, c’est probablement illgal
L’ICCL dcrit le RTB comme la plus grande violation de donnes jamais enregistre , mais mme cela peut donner trop de crdit aux annonceurs : appeler des donnes RTB diffuses librement une violation implique que des mesures ont t prises pour contourner les dfenses, dfenses qui ne sont pas mises en place. Alors, le RTB enfreint-il la moindre loi ? Oui, affirme Nader Henein, vice-prsident de Gartner Privacy Research. Il a dclar que l’industrie adtech justifie son utilisation du RTB en vertu de la disposition d’intrt lgitime du rglement gnral sur la protection des donnes (RGPD) de l’UE.
Plusieurs rgulateurs ont rejet cette valuation, donc la rponse serait « oui », c’est une violation du RGPD , a dclar Henein.
Ds 2019, Google et d’autres gants de la technologie publicitaire ont t accuss par le Royaume-Uni d’avoir sciemment enfreint la loi en utilisant le RTB, l’enqute sur cette affaire continue jusqu’ prsent. Plus tt cette anne, l’autorit belge de protection des donnes a jug que les pratiques RTB violaient le RGPD et a demand aux organisations travaillant avec l’IAB de supprimer toutes les donnes collectes via l’utilisation de chanes TC, un type de caractre cod utilis dans le processus RTB.
Johnny Ryan n’est pas tranger aux poursuites : il a quitt Brave, fabricant du navigateur centr sur la confidentialit, pour prendre son poste l’ICCL, o il a dirig plusieurs affaires contre l’IAB et la pratique du RTB.
Selon l’ICCL, elle est actuellement implique dans trois affaires en cours impliquant RTB*: une Hambourg contre la plateforme de publicit Xandr (l’ancienne division de publicit et d’analyse d’AT&T, vendue Microsoft en dcembre 2021, qui exploite une plateforme en ligne, appele Community, pour acheter et vendre de la publicit numrique centre sur le consommateur), une affaire de la Haute Cour irlandaise contre la Commission de protection des donnes pour ne pas avoir enqut sur des violations de RTB, et une troisime affaire Bruxelles contre un recours de l’IAB contre la dcision belge antrieure.
L’affaire de Bruxelles, sans doute la plus grande dcision contre RTB ce jour, s’articule autour du cadre de transparence et de consentement (TCF pour Transparency and Consent Framework) de l’IAB, qu’il a dvelopp en rponse l’adoption du RGPD. Dans la version initiale des commentaires publics du TCF, une section indique que les diteurs de publicit s’inquitent de leur responsabilit concernant les donnes des utilisateurs. Dans ce document, l’IAB dclare explicitement qu’il ne peut pas contrler les donnes que les rseaux publicitaires fournissent aux enchrisseurs.
Les diteurs reconnaissent qu’il n’existe aucun moyen technique de limiter la manire dont les donnes sont utilises aprs leur rception par un fournisseur pour prendre une dcision/enchrir sur/aprs la livraison d’une annonce , indique le document.
Les versions plus rcentes du TCF ont ajout un libell similaire la clause de non-responsabilit du framework, qui indique que les fournisseurs eux-mmes sont responsables de la conformit au TCF, et l’IAB ne prtend pas que le respect du framework signifie que les annonceurs sont en conformit avec les lois locales.
Vers la fin du RTB ?
Les recherches de Gartner et Forrester prdisent toutes deux le mme avenir court terme pour le monde de l’adtech*: la rglementation. Dans cet esprit, la fin du RTB pourrait bientt arriver.
Henein a dclar que l’IAB n’a pas prsent d’alternative au RTB qui prserve l’efficacit et la confidentialit. Il a dclar que la dcision de Google de dprcier tous les cookies tiers dans son navigateur Chrome – alias Privacy Sandbox – tait une rponse directe; Google a depuis report le changement jusqu’en 2023.
Firefox, a dclar Henein, a dj fait de mme, et le contrle du march des navigateurs par Chrome pourrait tre le dernier clou si et quand Google dcide de supprimer les cookies tiers.
Henein a dclar que l’alternative de Google n’a pas rendu l’industrie de la publicit entirement confortable, car son utilisation implique de mettre plus de contrle entre les mains de Google. Il a dclar que Parakeet de Microsoft est une meilleure alternative celle de Google, car il protge l’identit de l’utilisateur avec un systme peu prs quivalent un proxy qui reprsente les gots de l’utilisateur et diffuse lui-mme des annonces en fonction de ce qu’il sait des utilisateurs.
Henein a dclar qu’il ne croyait pas que l’UE serait en mesure de prendre davantage de mesures puisque la cible tait un type de technologie, et il ne croyait pas que les tats-Unis disposaient de l’environnement rglementaire ncessaire pour faire quoi que ce soit ce sujet. Henein se prsente comme un ardent dfenseur de la vie prive, mais indique ne toujours pas penser que l’industrie adtech devrait tre diabolise.
C’est une industrie de 500 milliards de dollars par an qui contribue un Internet gratuit et permet aux personnes d’horizons divers d’accder de manire impartiale des millions de services… nous pouvons srement trouver un moyen de rpondre la fois aux besoins des industries pour fournir la bonne publicit la bonne personne ET protger les droits de cette personne la vie prive , a-t-il ajout.
Topics, l’approche de Google
Les cookies mmorisent des informations sur vos connexions ou sur ce que vous avez regard sur un site d’achat. Les annonceurs utilisent ces informations pour mieux comprendre votre comportement en ligne et mme hors ligne, et pour vous proposer des publicits spcifiques et cibles qui vous suivent sur Internet. Google a dclar vouloir rendre la navigation sur Internet moins envahissante, mais l’entreprise veut aussi continuer faire rentrer de l’argent par la publicit en ligne. Cette volont a conduit l’abandon des cookies au profit du systme FloC.
Quelle que soit la bonne volont dont Google pourrait avoir montr ces dernires annes, par exemple en combattant les abus de publicit et le pistage systmique des utilisateurs, ses efforts ont t remis en cause avec la solution que lentreprise a propose. L’apprentissage fdr des cohortes ou FLoC est prsent comme une meilleure stratgie qui protge la vie prive des gens tout en offrant aux annonceurs quelque chose dont ils peuvent profiter. Les dfenseurs de la vie prive, cependant, sonnent l’alarme sur ce qu’ils considrent comme une technologie encore pire et les diteurs de navigateurs bass sur Chromium comme Brave et Vivaldi s’engagent lutter contre FLoC sous toutes ses formes.
En quelques mots, FLoC change le suivi des utilisateurs individuels et le fingerprinting contre une identification de groupe (cohorte) base sur des historiques de navigation similaires des membres de ce groupe. FLoC place essentiellement les personnes dans des groupes bass sur des comportements de navigation similaires, ce qui signifie que seuls des identifiants de cohorte et non des identifiants d’utilisateurs individuels sont utiliss pour les cibler. L’historique Web et les entres pour l’algorithme sont conservs sur le navigateur, le navigateur exposant uniquement une cohorte contenant des milliers de personnes.
Cependant, de nombreux dfenseurs de la protection de la vie prive n’en sont pas convaincus et considrent FLoC comme une solution encore pire que le problme qu’il tente de rsoudre. En plus de violer potentiellement des lois comme le RGPD, les critiques soulignent galement que FLoC collecte davantage de donnes prives sous la forme d’historique de navigation, ce que mme les cookies de suivi ne font pas. Bien que des identits individuelles uniques puissent tre caches derrire des cohortes, les donnes dtenues par l’historique de navigation peuvent toujours tre considres comme quelque chose de priv, en particulier lorsqu’il sera facile de dvelopper des profils pour les membres de ce groupe.
Face au toll, Google a fait une autre proposition pour pister les utilisateurs et permettre aux annonceurs de faire des publicits cibles : Topics API.
Le nouveau systme liminerait toujours les cookies, mais il informerait les annonceurs des domaines d’intrt d’un utilisateur sur la base des trois dernires semaines de l’historique de navigation Web de l’utilisateur. Les Topics seront conservs pendant trois semaines avant d’tre supprims.
Lorsque vous accdez un site prenant en charge l’API Topics des fins publicitaires, le navigateur partage trois sujets qui vous intressent (un pour chacune des trois dernires semaines) slectionns au hasard parmi vos cinq principaux sujets de chaque semaine. Le site peut ensuite partager cela avec ses partenaires publicitaires pour dcider des publicits vous montrer. Idalement, cela constituerait une mthode plus prive pour dcider quelle publicit vous montrer et Google note que cela offre galement aux utilisateurs un contrle et une transparence bien plus importants que ce qui est actuellement la norme. Les utilisateurs pourront consulter et supprimer des sujets de leurs listes, et dsactiver galement l’intgralit de l’API Topics.
Parakeet, l’approche de Microsoft
Microsoft a annonc le projet Parakeet, un acronyme de Private Anonymized Requests for Ads that Keep Efficacy and Enhaanced Transparency (en franais : demandes prives et anonymises de publicits qui prservent l’efficacit et amliorent la transparence). Parakeet amliorerait le respect de la vie prive des internautes puisquils en garderaient entirement le contrle.
La proposition de Microsoft utilise un serveur proxy qui se place entre lutilisateur et lannonceur. Les internautes se verraient donc attitr un code unique didentification qui serait exclusivement connu de la part du serveur proxy. Le navigateur ne serait plus bas sur un systme de vente aux enchres classique puisquil rendrait les informations anonymes, mais il continuerait de les faire transiter par le systme que nous connaissons actuellement. La diffrence rsiderait dans lanonymisation des signaux. Par cette proposition, Microsoft essayerait de trouver un quilibre entre lautonomisation des consommateurs et le maintien conomique du secteur de la publicit numrique.
1 | // directBidFloor = $1.23 based on custom seller logic in-page. let directBidFloor = SellersCustomDirectBidAuction(); // Make PARAKEET ad request to ad-network and determine which ad to use. navigator.createAdRequest({ ... "adProperties": [{ "orientation": "landscape", "size": "medium", "slot": "div-xyz-abc", "lang": "en-us", "adtype": "image/native" "bidFloor": directBidFloor }], ... }).then(payload_uri => { // PARAKEET ad out-bid bidFloor, use payload_uri to display ad. }).catch(e => { // Request failed to win auction, use directBid ad. }); |
Avec Parakeet, Microsoft fait une promesse, celle dtre transparent avec ses internautes qui seraient entirement informs sur lutilisation de leurs donnes personnelles. Mais il va falloir sarmer de patience, car Microsoft et ses concurrents ne sont quaux prmices de leur proposition.
Sources : Rapport de l'ICCL, Transparency and Consent Framework de l'IAB (1, 2), Parakeet
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du systme d'enchres en temps rel des donnes personnelles des internautes ?
Que pensez-vous du faible taux de divulgation des donnes personnelles des internautes franais et europens par rapport aux internautes amricains ?
Que pensez-vous des alternatives aux cookies tiers proposes par Microsoft et Google ? Quelle approche a votre prfrence ?
Voir aussi :
L'UE s'apprte lancer un march de donnes caractre personnel au sein duquel les citoyens seront pays pour partager, dans le cadre d'un changement radical de stratgie de gouvernance
Il existe un march de plusieurs milliards de dollars pour les donnes de localisation de votre tlphone, c'est une industrie norme, mais trs peu connue du grand public et non rglemente
Australie : Google a tromp les consommateurs sur la collecte et l'utilisation des donnes de localisation, un paramtre non divulgu permettait galement la socit de collecter ces donnes