AdTech: Pépite de la publicité ou générateur de violations du RGPD?

Avec l'avènement de la publicité digitale, l’AdTech semble s’imposer comme LA technologie à utiliser. Mais elle représente  un risque non négligeable de non-conformité avec le Règlement Général sur la Protection des Données (RGPD). En vaut-elle le détour?

L’“Advertisement technology” (AdTech) est un ensemble de technologies qui permettent d’automatiser et programmer la vente d’espaces publicitaires en ligne. Mais elle permet aussi d’obtenir des données sur le comportement des utilisateurs car ce système s’appuie sur les  nombreuses informations collectées. De plus en plus en vogue auprès des entreprises pour booster leurs ventes, l'AdTech comporte des risques en matière de protection des données. Comme en témoignent les nombreuses décisions de l’Autorité de la protection des données, qui ont à plusieurs reprises jugé cette technologie contraire au RGPD. L’Adtech est-elle un vecteur de croissance ou une menace pour vos données?

L’Adtech, un écosystème

L’Adtech est un écosystème. Ce terme regroupe toutes les technologies en matière de publicité en ligne. Elle permet d’automatiser et programmer la vente d’espaces publicitaires sur internet. Elle peut aussi analyser et gérer des informations à fin commerciales. Il existe deux méthodes principales:

1. Le RTB (Real Time Bidding), en français “enchères en temps réel”: il s’agit d’un système où les espaces publicitaires (en ligne) sont vendus directement en temps réel en fonction des actions de l’utilisateur du site. En bref, plusieurs compagnies vont enchérir pour un espace de publicité en temps réel lorsque l’utilisateur sera sur une page web. On parle ici de publicité comportementale et marketing en temps réel.

2. En direct: l’éditeur vend directement à l’annonceur les espaces publicitaires. Le processus est automatisé, à l’exception des négociations qui requièrent une intervention humaine.

Le RTB reste le système le plus utilisé. Ainsi, il existe deux pans en matière d’AdTech. D’un côté il y a la vente, représentée par les éditeurs, plus communément appelés ‘publishers’. De l’autre, il y a l’achat. En effet, les annonceurs achètent des espaces publicitaires pour leur(s) marque(s). 

L’AdTech, ses avantages:

 Cet écosystème offre de nombreux avantages. Premièrement il permet un gain de temps considérable grâce à ses automatisations mais également de par son caractère centralisé. Deuxièmement, il permet de tracker l’utilisateur d’un appareil à un autre. En effet, cette technologie permet de reconnaître un utilisateur qui va d'un appareil à l’autre. En plus, cela permet de connaître ses habitudes et ses mouvements. Grâce aux données collectées, les annonceurs peuvent proposer des publicités ultra-ciblées et ainsi maximiser le clic de l’utilisateur.

L'AdTech et le RGPD

Depuis 2018, avec l’introduction du RGPD, les données sont soumises à plus de protection. En effet, tout traitement de données à caractère personnel donne lieu à une application du RGPD. Mais quelles informations sont collectées avec le RTB (real time bidding) ?

Selon le rapport du service d’inspection de l’APD Belge (Autorité des protections des données) les données personnelles suivants sont traitées avec la technologie RTB: URL du site visité ; Catégorie ou sujet du site ; Système d'exploitation de l'appareil ; Logiciel et version du navigateur ; Fabricant et modèle de l'appareil ; Opérateur de téléphonie mobile ; Dimensions de l'écran ; Identification unique de l'utilisateur définie par le fournisseur et/ou l'acheteur ; Identifiant unique de la personne provenant de l'AdExchange ; L'identification de l'utilisateur d'une DSP, souvent dérivée du cookie de l'AdExchange qui est synchronisé avec un cookie du domaine de la DSP ; Année de naissance ; Genre ; Intérêts ; Métadonnées rendant compte du consentement donné ; Localisation.

En conséquence, le RGPD s’applique aux enchères en temps réel. Ainsi, les données des utilisateurs ne peuvent pas être collectées sans base légale.

Pour remplir cette condition, pour l’AdTech il y a 3 possibilités:

(1)   Le consentement de l’utilisateur a été obtenu

(2)   Ces données sont nécessaires pour l’exécution d’un contrat

(3)   Il existe des intérêts légitimes pour le contrôleur des données (annonceurs)

Les deux dernières possibilités doivent être écartées. En ce qui concerne le point (2), il n’est pas applicable puisque lorsqu’un utilisateur surfe sur une page, il n’a pas l’intention de s’engager dans un quelconque contrat.

Ceci étant la condition sine qua non pour la conclusion d’un contrat, cette base légale ne peut pas être invoquée pour le traitement des données via le RTB.

De plus, en matière de RTB il serait presque impossible d’invoquer des intérêts légitimes (3). En effet, ceux-ci devraient être plus importants que les intérêts fondamentaux (protection des données et droit à la vie privée) de l’utilisateur. Hors ce dernier s’attend à un minimum de respect à la vie privée lorsqu’il navigue sur internet. Dès lors, les intérêts légitimes peuvent difficilement être invoqués par les annonceurs.

En conclusion, les annonceurs utilisant le RTB peuvent uniquement récolter ces données sur base du consentement des utilisateurs. Maintenant la question est donc de savoir si en effet, le consentement des utilisateurs a été/peut être obtenu avec cette technologie.

Pour rappel, le RGPD en matière de consentement requiert d’être lié à des données précises et récoltées dans un but précis, mais aussi que le(s) contrôleur(s) de ces informations soit clairement identifié(s). Sauf que petit problème, nous avons vu qu’avec le RTB plusieurs entreprises sont impliquées, doivent-elles toutes être identifiées et récolter individuellement le consentement de l’utilisateur?

Pour remédier à ce problème, les CMP (Consent Management Platform) ont été développées. Ce genre de plateformes ‘de gestion de consentement’ a pour but de récolter le consentement pour diverses utilisations par différentes entreprises, au même moment.

En conclusion, l’AdTech peut facilement donner lieu à de nombreux manquements aux RGPD. Et cela a été observé en Europe. Au moins une dizaine de décisions d’APD de pays de l’union européenne ont sanctionné des entreprises pour leur utilisation de l’AdTech. Au Luxembourg, Amazon Europe a écopé en Juillet 2021 d’une amende de 756 millions d’euros. Ou encore l’APD française qui a condamnée Google LLC à une amende de 150 millions d’euros.

Il s’avérerait que la plupart des violations concernent  surtout les articles 6, 5, 13, et de 15 à 22. En outre, les manquements les plus observés sont pour des raisons de (1) manque de transparence, (2) d’absence de base légale. Par conséquent, les entreprises utilisant cette technologie doivent être vigilantes sur ces deux points.

Mais comment s’en prémunir:

1. S’informer de tous les données récoltées, et tous les parties impliquées

2. Collecter le consentement en vertu du RGPD de façon ultra-rigoureuse

3. Indiquer très clairement l’usage qui est fait des données, par qui, comment, et dans quel but.

4. S’assurer que sa politique de confidentialité soit claire et en conformité avec le RGPD

5. Faire appel à des professionnels en matière de protection des données

L’AdTech oui… mais l’addition pourrait s’avérer salée

En bref, l’AdTech est un outil très efficace pour la publicité digitale et permet d'atteindre les bons consommateurs. Son intérêt commercial pour les entreprises est indéniable. En revanche, le manque de transparence sur le traitement des données et l’absence de base légale pour le traitement pourrait porter préjudice aux entreprises. De par sa nature, l’AdTech semble difficilement en conformité avec le respect de la vie privée et la protection des données . En revanche, les entreprises peuvent limiter les risques au maximum en adoptant une application  rigoureuse du RGPD. En conclusion, utiliser l’AdTech, oui mais en veillant scrupuleusement au respect du RGPD. Sinon quoi, il y a un risque réel d’être dans le viseur de l’autorité de la protection des données, et les amendes peuvent être salées…

Ecrit par Sweder van Zuylen

Sources:

• Veale M and Zuiderveen Borgesius F, ‘Adtech and Real-time Bidding Under European Data Protection Law’ (1 Avril 2021) Accessible ici.

• Décision sur le fond 21/2022 du 2 février 2022, Autorité de la protection des données, Belgique. Accessible ici

• Webinar, 60min Lexology and ICLT, Advertising technology: Legal Compliance requirements in an evolving landscape. Accessible ici.