La CNIL irlandaise accusée d’avoir permis « la plus grande violation des données de tous les temps »

Le Conseil Irlandais pour les Libertés Civiles (Irish Council for Civil Liberties ou ICCL) a publié un dossier de preuve[1] démontrant comment le secteur de l’adtech profile en détail les caractéristiques intimes des internautes à leur insu et sans leur consentement, ce qui accroît la pression sur le Commissaire à la protection des données de l’Irlande (DPC) pour qu’il prenne des mesures répressives contre ce qui est considérée par les plaignants comme la plus grande violation des données de tous les temps[2].

Le dossier a été publié après qu’une plainte avait été déposée il y a deux ans auprès du Commissaire à la protection des données de l’Irlande, alléguant l’exploitation illicite de données personnelles par les systèmes d’enchère en temps réel, y compris ceux de Google et de l’IAB (Internet Advertising Bureau).

La plainte avait été déposée par Johnny Ryan, auteur du dossier de preuve, qui à l’époque était chez l’entreprise Bravo et qui maintenant est chercheur à l’ICCL. Le points le plus critiques du dossier de Ryan sont les suivantes :

• Le système d’enchère en temps réel de Google envoie des données personnelles à 968 entreprises ;

• Un profil qui a été créé par un courtier en données avec des données d’enchère en temps réel, permet aux utilisateurs du système de Google de cibler 1200 personnes en Irlande dont le profil est classé dans la catégorie « toxicomanie » ;

• Le système d’enchère en temps réel de l’IAB permet aux utilisateurs de cibler 1300 personnes en Irlande dont le profil est classé dans la catégorie « SIDA & VIH », sur la base d’un profil de courtier en données établi à partir de données d’enchère en temps réel ;

• Un courtier en données qui a recueilli des données d’enchère en temps réel a suivi les mouvements des personnes en Italie pour voir si elles avaient respecté le confinement pour le COVID-19 ;

Dans le cadre du RGPD, le consentement préalable est nécessaire pour traiter les données à caractère personnel (qui révèlent, par exemple, des informations concernant la santé d’une personne) sauf en cas exceptionnels (par exemple pour sauvegarder les intérêts vitaux d’une personne).

Malgré cela, il ressort de ce dossier que « Le système d’enchère en temps réel de Google envoie des données personnelles à plusieurs entreprises, et à partir de plus de sites web par rapport à lorsque le DPC avait été notifié il y a deux ans », écrit Johnny Ryan. « Un seul échange d’annonces utilisant le système de l’IAB envoie maintenant 120 milliards d’enchères en temps réel en un jour, soit une augmentation de 140 % par rapport à il y a deux ans, lorsque le Commissaire irlandais avait été notifié».

En conclusion, le Commissaire à la Protection des données de l’Irlande reste sous pression afin qu’il puisse adopter des mesures pour sanctionner l’abus des enchères en temps réel par les plus grands acteurs de l’adtech.

[1] Johnny Ryan, Two years on from complaint to the Irish Data Protection Commission, the RTB data breach is the largest ever recorded, and appears to have worsened, Irish Council for Civil Liberties, 21/09/20. https://www.iccl.ie/wp-content/uploads/2020/09/1.-Submission-to-Data-Protection-Commissioner.pdf.

[2] I. Lapowsky, Meet Johnny Ryan, the thorn in Google’s side, Protocol, 01/03/20. https://www.protocol.com/johnny-ryan-brave-google.