C’est un rapport qui pourrait faire date. L’ONG irlandaise ICCL (Irish Council for Civil Liberties) a publié hier un document qui, pour la première fois, montre l’incroyable étendue du partage de données effectué dans le cadre de la publicité programmatique.
Le « RTB » (pour real time bidding) est une technique massivement utilisée pour suivre vos habitudes en ligne : en épiant les sites que vous visitez, votre localisation, des entreprises – Google en tête – sont en mesure d’établir un profil très précis… qui est mis à profit pour ensuite vous servir de la réclame ciblée sur le Web. Un marché gigantesque, estimé par ICCL à 117 milliards d’euros en 2021, rien qu’aux Etats-Unis et en Europe.
Le problème, c’est que pour que ces pubs soient pertinentes et vous donnent envie de cliquer, il faut collecter une masse gigantesque de données. L’ICCL a pu avoir accès, par le biais d’une source confidentielle dans l’industrie publicitaire, à des chiffres effarants. Ils montrent à quel point, et sans que nous nous en rendions compte, nous livrons chaque minute des informations à des entreprises qui ensuite se les échangent.
Ainsi, le comportement en ligne d’un Français est partagé 340 fois par jour en moyenne, soit plus de quatre fois par minute, d’après les chiffres de l’ICCL. C’est déjà beaucoup, mais moins que la moyenne européenne (376 fois) et surtout américaine. Un internaute aux États-Unis voit ses activités partagées pas moins de 747 fois en moyenne ! Pourquoi une telle différence ? On peut sans doute l’expliquer par le RGPD, le règlement européen qui oblige tous ces acteurs à recueillir votre consentement avant de siphonner vos données.
À l’échelle du Web, ces chiffres deviennent vertigineux. Tous les jours, ce sont ainsi 197 milliards de partages liés à la publicité programmatique qui sont effectués en Europe, et 294 milliards aux Etats-Unis. Il faut, en plus, noter qu’il s’agit d’une fourchette basse, l’ICCL n’ayant pas eu accès aux chiffres de Facebook et d’Amazon, eux-mêmes grands spécialistes du RTB.
Pourquoi c’est grave ?
On pourrait penser que ce n’est pas bien méchant. Qu’après tout, ce partage massif ne sert qu’à afficher d’innocentes pub sur un coin de site Web, et qu’en plus, il ne s’agit pas d’informations qui permettent de vous identifier. Ce serait un tort.
D’abord parce que ces informations circulent beaucoup de main en main. En Europe, toujours d’après les chiffres de l’ONG irlandaise, Google – leader du secteur – effectue 42 milliards de partages chaque jour à plus d’un millier d’entreprises tierces. Des entreprises parfois obscures qui, pour certaines, ont leur siège en Chine ou en Russie. Et une fois que vos données ont été partagées, « il n’y a aucun moyen d’en restreindre l’usage » explique l’ICCL dans son rapport.
Or, de nombreuses affaires récentes prouvent qu’il est possible pour des tiers de les exploiter non pour vous afficher de la pub, mais pour des objectifs bien plus douteux.
La position d’un smartphone
L’exemple de Mobilewalla illustre parfaitement les dangers de ce marché opaque. Ce « data broker » (DMP, dans le jargon) est capable de collecter les données de 1,5 milliard de terminaux dans 30 pays, par le biais d’applications gratuites pour smartphone. Un trésor qu’il « revend » ensuite à des partenaires… parfois douteux.
Dans un article, le WSJ expliquait en fin d’année dernière comment les données récupérées par MobileWalla avaient fini entre les mains d’agences fédérales américaines, comme le Département de la Sécurité intérieure ou l’IRS, l’agence en charge de la collecte des impôts… et avaient servi à la localisation de smartphones, aux États-Unis comme à l’étranger.
Un trafic de données rocambolesque : MobileWalla avait simplement – et apparemment sans objectif malveillant – cédé ses données à une autre entreprise, baptisée Gravy Analytics, qui les avait pour finir transférées à sa filiale, Venntel. Venntel, une entreprise très discrète (son site Web en est la preuve) qui a signé de nombreux contrats avec les agences fédérales américaines.
On pourrait citer bien d’autres exemples, comme celui de ce prêtre homosexuel, poussé à la démission après avoir été piégé par les données de géolocalisation récoltées par l’application de rencontre Grindr.
L’ICCL veut faire cesser ce qu’elle appelle « la plus grande des fuites de données » et s’y attèle sur le front juridique. Plusieurs plaintes sont en cours. La plus récente s’en prend à la DPC (la Cnil irlandaise) qui d’après l’organisation n’aurait fait que peu de cas de ses demandes d’enquête à l’encontre des pratiques de Google.
Source : rapport de l’ICCL
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.