L'Américain moyen voit ses informations personnelles partagées dans une guerre d'enchères publicitaires en ligne 747 fois par jour. Pour le citoyen européen moyen, ce nombre est de 376 fois par jour. En un an, 178 000 milliards d'instances de la même guerre d'enchères se produisent en ligne aux États-Unis et dans l'UE. C'est en tout cas ce qui ressort des données partagées par le Conseil irlandais des libertés civiles (ICCL pour Irish Council on Civil Liberties) dans un rapport détaillant l'étendue des enchères en temps réel (RTB pour real-time bidding), la technologie qui pilote presque toutes les publicités en ligne et qui, selon elle, repose sur le partage d'informations personnelles sans le consentement de l'utilisateur.
L'industrie RTB valait plus de 117 milliards de dollars l'année dernière, selon le rapport de l'ICCL. Comme pour toutes les choses dans son étude, ces chiffres ne s'appliquent qu'aux États-Unis et à l'Europe, ce qui signifie que la valeur réelle du marché est probablement beaucoup plus élevée.
Les enchères en temps réel impliquent le partage d'informations sur les internautes, et cela se produit chaque fois qu'un utilisateur atterrit sur un site Web qui diffuse des annonces. Les informations partagées avec les annonceurs peuvent inclure presque tout ce qui les aiderait à mieux cibler les annonces, et ces annonceurs enchérissent sur l'espace publicitaire en fonction des informations fournies par le réseau publicitaire.
Ces données peuvent être pratiquement tout ce qui est basé sur la taxonomie d'audience de l'Interactive Advertising Bureau (IAB). Les bases, bien sûr, comme l'âge, le sexe, le lieu, le revenu, etc. sont incluses, mais cela ne s'arrête pas là. Toutes sortes de sites Web font du fingerprinting de leurs visiteurs - les données évoquent même des organisations caritatives traitant des problèmes de santé mentale - et ce fingerprinting peut ensuite être utilisé pour cibler des publicités sur des sites Web non liés.
Google possède le plus grand réseau publicitaire inclus dans le rapport de l'ICCL, et il offre à lui seul des données RTB à 4 698 entreprises aux États-Unis seulement. Parmi les autres grands réseaux publicitaires, citons Xandr, propriété de Microsoft depuis fin 2021, Verizon, PubMatic et bien d'autres.
Les réseaux RTB d'Amazon ou de Facebook ne sont pas inclus dans le rapport d'ICCL, car les chiffres de l'industrie qu'il a utilisés pour son rapport n'incluent pas leurs réseaux publicitaires. En plus de n'étudier qu'une partie du monde, cela signifie probablement que la portée de l'industrie RTB est, encore une fois, beaucoup plus grande.
De plus, c'est probablement illégal
L'ICCL décrit le RTB comme « la plus grande violation de données jamais enregistrée », mais même cela peut donner trop de crédit aux annonceurs : appeler des données RTB diffusées librement une violation implique que des mesures ont été prises pour contourner les défenses, défenses qui ne sont pas mises en place. Alors, le RTB enfreint-il la moindre loi ? Oui, affirme Nader Henein, vice-président de Gartner Privacy Research. Il a déclaré que l'industrie adtech justifie son utilisation du RTB en vertu de la disposition « d'intérêt légitime » du règlement général sur la protection des données (RGPD) de l'UE.
« Plusieurs régulateurs ont rejeté cette évaluation, donc la réponse serait "oui", c'est une violation du RGPD », a déclaré Henein.
Dès 2019, Google et d'autres géants de la technologie publicitaire ont été accusés par le Royaume-Uni d'avoir sciemment enfreint la loi en utilisant le RTB, l'enquête sur cette affaire continue jusqu'à présent. Plus tôt cette année, l'autorité belge de protection des données a jugé que les pratiques RTB violaient le RGPD et a demandé aux organisations travaillant avec l'IAB de supprimer toutes les données collectées via l'utilisation de chaînes TC, un type de caractère codé utilisé dans le processus RTB.
Johnny Ryan n'est pas étranger aux poursuites : il a quitté Brave, fabricant du navigateur centré sur la confidentialité, pour prendre son poste à l'ICCL, où il a dirigé plusieurs affaires contre l'IAB et la pratique du RTB.
Selon l'ICCL, elle est actuellement impliquée dans trois affaires en cours impliquant RTB : une à Hambourg contre la plateforme de publicité Xandr (l'ancienne division de publicité et d'analyse d'AT&T, vendue à Microsoft en décembre 2021, qui exploite une plateforme en ligne, appelée Community, pour acheter et vendre de la publicité numérique centrée sur le consommateur), une affaire de la Haute Cour irlandaise contre la Commission de protection des données pour ne pas avoir enquêté sur des violations de RTB, et une troisième affaire à Bruxelles contre un recours de l'IAB contre la décision belge antérieure.
L'affaire de Bruxelles, sans doute la plus grande décision contre RTB à ce jour, s'articule autour du cadre de transparence et de consentement (TCF pour Transparency and Consent Framework) de l'IAB, qu'il a développé en réponse à l'adoption du RGPD. Dans la version initiale des commentaires publics du TCF, une section indique que les éditeurs de publicité s'inquiètent de leur responsabilité concernant les données des utilisateurs. Dans ce document, l'IAB déclare explicitement qu'il ne peut pas contrôler les données que les réseaux publicitaires fournissent aux enchérisseurs.
« Les éditeurs reconnaissent qu'il n'existe aucun moyen technique de limiter la manière dont les données sont utilisées après leur réception par un fournisseur pour prendre une décision/enchérir sur/après la livraison d'une annonce », indique le document.
Les versions plus récentes du TCF ont ajouté un libellé similaire à la clause de non-responsabilité du framework, qui indique que les fournisseurs eux-mêmes sont responsables de la conformité au TCF, et l'IAB ne prétend pas que le respect du framework signifie que les annonceurs sont en conformité avec les lois locales.
Vers la fin du RTB ?
Les recherches de Gartner et Forrester prédisent toutes deux le même avenir à court terme pour le monde de l'adtech : la réglementation. Dans cet esprit, la fin du RTB pourrait bientôt arriver.
Henein a déclaré que l'IAB n'a pas présenté d'alternative au RTB qui préserve l'efficacité et la confidentialité. Il a déclaré que la décision de Google de déprécier tous les cookies tiers dans son navigateur Chrome - alias Privacy Sandbox - était une réponse directe ; Google a depuis reporté le changement jusqu'en 2023.
Firefox, a déclaré Henein, a déjà fait de même, et le contrôle du marché des navigateurs par Chrome pourrait être le dernier clou si et quand Google décide de supprimer les cookies tiers.
Henein a déclaré que l'alternative de Google n'a pas rendu l'industrie de la publicité entièrement confortable, car son utilisation implique de mettre plus de contrôle entre les mains de Google. Il a déclaré que Parakeet de Microsoft est une meilleure alternative à celle de Google, car il protège l'identité de l'utilisateur avec un système à peu près équivalent à un proxy qui représente les goûts de l'utilisateur et diffuse lui-même des annonces en fonction de ce qu'il sait des utilisateurs.
Henein a déclaré qu'il ne croyait pas que l'UE serait en mesure de prendre davantage de mesures puisque la cible était un type de technologie, et il ne croyait pas que les États-Unis disposaient de l'environnement réglementaire nécessaire pour faire quoi que ce soit à ce sujet. Henein se présente comme un ardent défenseur de la vie privée, mais indique ne toujours pas penser que l'industrie adtech devrait être diabolisée.
« C'est une industrie de 500 milliards de dollars par an qui contribue à un Internet gratuit et permet aux personnes d'horizons divers d'accéder de manière impartiale à des millions de services... nous pouvons sûrement trouver un moyen de répondre à la fois aux besoins des industries pour fournir la bonne publicité à la bonne personne ET protéger les droits de cette personne à la vie privée », a-t-il ajouté.
Topics, l'approche de Google
Les cookies mémorisent des informations sur vos connexions ou sur ce que vous avez regardé sur un site d'achat. Les annonceurs utilisent ces informations pour mieux comprendre votre comportement en ligne et même hors ligne, et pour vous proposer des publicités spécifiques et ciblées qui vous suivent sur Internet. Google a déclaré vouloir rendre la navigation sur Internet moins envahissante, mais l'entreprise veut aussi continuer à faire rentrer de l'argent par la publicité en ligne. Cette volonté a conduit à l'abandon des cookies au profit du système FloC.
Quelle que soit la bonne volonté dont Google pourrait avoir montré ces dernières années, par exemple en combattant les abus de publicité et le pistage systémique des utilisateurs, ses efforts ont été remis en cause avec la solution que l’entreprise a proposée. L'apprentissage fédéré des cohortes ou FLoC est présenté comme une meilleure stratégie qui protège la vie privée des gens tout en offrant aux annonceurs quelque chose dont ils peuvent profiter. Les défenseurs de la vie privée, cependant, sonnent l'alarme sur ce qu'ils considèrent comme une technologie encore pire et les éditeurs de navigateurs basés sur Chromium comme Brave et Vivaldi s'engagent à lutter contre FLoC sous toutes ses formes.
En quelques mots, FLoC échange le suivi des utilisateurs individuels et le fingerprinting contre une identification de groupe (cohorte) basée sur des historiques de navigation similaires des membres de ce groupe. FLoC place essentiellement les personnes dans des groupes basés sur des comportements de navigation similaires, ce qui signifie que seuls des « identifiants de cohorte » et non des identifiants d'utilisateurs individuels sont utilisés pour les cibler. L'historique Web et les entrées pour l'algorithme sont conservés sur le navigateur, le navigateur exposant uniquement une « cohorte » contenant des milliers de personnes.
Cependant, de nombreux défenseurs de la protection de la vie privée n'en sont pas convaincus et considèrent FLoC comme une solution encore pire que le problème qu'il tente de résoudre. En plus de violer potentiellement des lois comme le RGPD, les critiques soulignent également que FLoC collecte davantage de données privées sous la forme d'historique de navigation, ce que même les cookies de suivi ne font pas. Bien que des identités individuelles uniques puissent être cachées derrière des cohortes, les données détenues par l'historique de navigation peuvent toujours être considérées comme quelque chose de privé, en particulier lorsqu'il sera facile de développer des profils pour les membres de ce groupe.
Face au tollé, Google a fait une autre proposition pour pister les utilisateurs et permettre aux annonceurs de faire des publicités ciblées : Topics API.
Le nouveau système éliminerait toujours les cookies, mais il informerait les annonceurs des domaines d'intérêt d'un utilisateur sur la base des trois dernières semaines de l'historique de navigation Web de l'utilisateur. Les Topics seront conservés pendant trois semaines avant d'être supprimés.
Lorsque vous accédez à un site prenant en charge l'API Topics à des fins publicitaires, le navigateur partage trois sujets qui vous intéressent (un pour chacune des trois dernières semaines) sélectionnés au hasard parmi vos cinq principaux sujets de chaque semaine. Le site peut ensuite partager cela avec ses partenaires publicitaires pour décider des publicités à vous montrer. Idéalement, cela constituerait une méthode plus privée pour décider quelle publicité vous montrer et Google note que cela offre également aux utilisateurs un contrôle et une transparence bien plus importants que ce qui est actuellement la norme. Les utilisateurs pourront consulter et supprimer des sujets de leurs listes, et désactiver également l'intégralité de l'API Topics.
Parakeet, l'approche de Microsoft
Microsoft a annoncé le projet Parakeet, un acronyme de Private Anonymized Requests for Ads that Keep Efficacy and Enhaanced Transparency (en français : demandes privées et anonymisées de publicités qui préservent l'efficacité et améliorent la transparence). Parakeet améliorerait le respect de la vie privée des internautes puisqu’ils en garderaient entièrement le contrôle.
La proposition de Microsoft utilise un serveur proxy qui se place entre l’utilisateur et l’annonceur. Les internautes se verraient donc attribuer un code unique d’identification qui serait exclusivement connu de la part du serveur proxy. Le navigateur ne serait plus basé sur un système de vente aux enchères classique puisqu’il rendrait les informations anonymes, mais il continuerait de les faire transiter par le système que nous connaissons actuellement. La différence résiderait dans l’anonymisation des signaux. Par cette proposition, Microsoft essayerait de trouver un équilibre entre l’autonomisation des consommateurs et le maintien économique du secteur de la publicité numérique.
Code JavaScript : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | // directBidFloor = $1.23 based on custom seller logic in-page. let directBidFloor = SellersCustomDirectBidAuction(); // Make PARAKEET ad request to ad-network and determine which ad to use. navigator.createAdRequest({ ... "adProperties": [{ "orientation": "landscape", "size": "medium", "slot": "div-xyz-abc", "lang": "en-us", "adtype": "image/native" "bidFloor": directBidFloor }], ... }).then(payload_uri => { // PARAKEET ad out-bid bidFloor, use payload_uri to display ad. }).catch(e => { // Request failed to win auction, use directBid ad. }); |
Avec Parakeet, Microsoft fait une promesse, celle d’être transparent avec ses internautes qui seraient entièrement informés sur l’utilisation de leurs données personnelles. Mais il va falloir s’armer de patience, car Microsoft et ses concurrents ne sont qu’aux prémices de leur proposition.
Sources : Rapport de l'ICCL, Transparency and Consent Framework de l'IAB (1, 2), Parakeet
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du système d'enchères en temps réel des données personnelles des internautes ?
Que pensez-vous du faible taux de divulgation des données personnelles des internautes français et européens par rapport aux internautes américains ?
Que pensez-vous des alternatives aux cookies tiers proposées par Microsoft et Google ? Quelle approche a votre préférence ?
Voir aussi :
L'UE s'apprête à lancer un marché de données à caractère personnel au sein duquel les citoyens seront payés pour partager, dans le cadre d'un changement radical de stratégie de gouvernance
Il existe un marché de plusieurs milliards de dollars pour les données de localisation de votre téléphone, c'est une industrie énorme, mais très peu connue du grand public et non réglementée
Australie : Google a trompé les consommateurs sur la collecte et l'utilisation des données de localisation, un paramètre non divulgué permettait également à la société de collecter ces données