Une entreprise de technologie publicitaire appartenant à Microsoft est la cible d'une plainte soutenue par le groupe européen de défense de la vie privée, noyb – une organisation à but non lucratif qui fait bien plus que son poids lorsqu'il s'agit d' inscrire des grèves contre les géants de la technologie qui portent atteinte à la protection des données.
Pour sa dernière action, noyb soutient une personne anonyme en Italie pour déposer une plainte contre Xandr auprès de l'autorité de protection des données du pays. La plainte a été déposée en vertu du Règlement général sur la protection des données (RGPD) de l'Union européenne – ce qui signifie que si elle l'emporte, elle pourrait entraîner des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial de Microsoft, la société mère de Xandr.
Xandr est accusé de manque de transparence et de violations des droits d'accès aux données des personnes du bloc dont les informations sont traitées pour créer des profils utilisés pour la publicité micro-ciblée vendue via des enchères publicitaires programmatiques. La plainte affirme également que la société de technologie publicitaire utilise des informations inexactes sur les personnes.
Plus précisément, noyb allègue que Xandr enfreint les articles 5(1)(c) et (d) ; 12(2); 15 et 17 du RGPD.
La plainte demande à l'autorité de protection des données d'enquêter et, si des violations sont confirmées, d'ordonner à Xandr de se mettre en conformité. noyb suggère également d'imposer une amende pouvant aller jusqu'à 4 % du chiffre d'affaires annuel à la société mère de Xandr (NB : le chiffre d'affaires de Microsoft pour l'année 2023 était proche de 212 milliards de dollars).
Acquérir un risque réglementaire ?
Microsoft a choisi la « plate-forme technologique basée sur les données », comme elle l'a appelé Xandr, à la fin de l'année 2021 , pour développer son activité de publicité numérique, bien que Xandr ait conservé son autonomie structurelle et fonctionne comme une entité distincte. de Microsoft Le communiqué de presse de l'époque parlait de l'acquisition améliorant ses « solutions de médias de détail », ainsi que de « une monétisation renforcée pour les éditeurs grâce à un accès plus large aux données de première partie et à une offre marketing complète en entonnoir ». Il n’a pas mentionné la perspective d’un risque réglementaire accru découlant de l’acquisition.
Le problème, selon la plainte soutenue par noyb, est que Xandr ne répond pas aux demandes d'accès aux données émanant de personnes souhaitant supprimer ou corriger leurs informations personnelles. La plainte renvoie à une page Web « cachée » où il est indiqué que Xandr publie des mesures d'accès aux données. Selon cette page, entre le 1er janvier 2022 et le 31 décembre 2022, la société a reçu 1 294 demandes d'accès et 600 demandes de suppression, mais a refusé chacune d'entre elles.
Une note explicative sur la page Web indique : « Les demandes d'accès et de suppression sont refusées lorsque nous ne sommes pas en mesure de vérifier l'identité et la juridiction du demandeur. En raison de la nature pseudonyme des données que Xandr collecte sur sa plateforme, nous ne sommes pas en mesure de vérifier l'identité des consommateurs qui ont effectué des demandes d'accès et de suppression lorsque ces demandes ne sont liées à aucun autre identifiant, et nous avons donc refusé ces demandes.
Xandr semble donc prétendre qu'il n'est pas tenu de se conformer aux droits d'accès aux données du RGPD, car les informations qu'il détient sur les individus sont pseudonymes.
Cependant, la plainte soutient qu'il n'est pas crédible qu'une entreprise dont l'ensemble des activités repose sur le profilage d'individus à des fins publicitaires ciblées puisse prétendre qu'elle ne peut pas identifier les personnes dont elle détient les informations.
Dans un communiqué, Massimiliano Gelmi, avocat spécialisé en protection des données chez noyb, a déclaré : « L'activité de Xandr repose évidemment sur la conservation de données sur des millions d'Européens et sur leur ciblage. Pourtant, l’entreprise admet avoir un taux de réponse de 0% aux demandes d’accès et d’effacement. Il est étonnant que Xandr illustre même publiquement comment il enfreint le RGPD. »
Il convient de noter que le RGPD adopte une vision large de ce qui constitue des données personnelles et que les données pseudonymisées restent des données personnelles – ce qui signifie que ceux qui détiennent ces informations doivent respecter les exigences juridiques paneuropéennes, telles que l'octroi de droits d'accès aux données.
Les lignes directrices sur les droits d'accès des personnes concernées adoptées par le Comité européen de la protection des données (EDPB) l'année dernière incluent un exemple illustratif du domaine de la publicité micro-ciblée dans lequel le Conseil souligne qu'une entreprise de technologie publicitaire devrait être en mesure « d'identifier avec précision » une personne qui demande accès à leurs données personnelles à partir du même équipement terminal que celui lié à leur profil publicitaire (c'est-à-dire via des cookies déposés sur celui-ci) car « un lien peut être établi entre les données traitées et la personne concernée ».
Si une personne demande ses données d'une autre manière, par exemple par courrier électronique, les lignes directrices de l'EDPB suggèrent que l'entreprise de technologie publicitaire devrait lui demander des informations supplémentaires afin d'identifier le profil publicitaire pertinent et de répondre à sa demande d'accès aux données. Plus précisément, les directives indiquent qu'une personne devra fournir l'identifiant de cookie stocké dans son équipement terminal.
On ne sait pas exactement quelles mesures Xandr a prises pour identifier les profils publicitaires des personnes demandant l'accès à leurs données ou leur suppression.
Revenant à la plainte, les recherches de noyb ont également mis au jour ce qui semble être des niveaux élevés d'inexactitude dans les informations que Xandr détient sur les individus, ce qui peut soulever des questions distinctes pour ses clients sur la qualité de ses services de ciblage publicitaire. Mais cela a également une signification juridique étant donné que le RGPD accorde aux individus le droit de rectifier les données incorrectes détenues à leur sujet.
Les citoyens de l’UE peuvent également s’appuyer sur le RGPD pour d’autres droits, notamment la possibilité de demander une copie de leurs données. Encore une fois, noyb allègue qu'il s'agit d'un autre domaine dans lequel Xandr n'est pas conforme. Il n'a pas été en mesure d'obtenir une copie des données du plaignant auprès de Xandr lui-même, mais a plutôt utilisé une demande d'accès au sujet auprès de l'un de ses fournisseurs de courtiers en données.
"Grâce à une demande d'accès auprès du courtier en données - et fournisseur de Xandr - emetriq, nous savons qu'au moins une partie de la base de données de Xandr est constituée de données personnelles extrêmement inexactes et contradictoires sur des personnes", écrit-il dans un communiqué de presse. «Selon emetriq, le plaignant est à la fois un homme et une femme, son âge est estimé entre 16-19, 20-29, 30-39, 40-49, 50-59 et 60+. Le plaignant dispose également d'un revenu compris entre 500 et 1 500 euros, entre 1 500 et 2 500 euros et entre 2 500 et 4 000 euros. Par ailleurs, la même personne est à la recherche d'un emploi, est salariée, étudiante, élève et travaille dans une entreprise. Cette entreprise, à son tour, emploie simultanément 1 à 10, 1 000+ et 1 100 à 5 000 personnes. "
"Il est difficile d'imaginer comment ces catégories de données peuvent être utilisées pour un ciblage publicitaire précis", ajoute Noyb. "Bien qu'emetriq ne soit pas le seul courtier en données à fournir des données à Xandr, il faut supposer que ces informations sont utilisées à des fins de ciblage publicitaire."
Dans ses commentaires, Gelmi a également écrit : « Il semble que certaines parties de l'industrie de la publicité ne se soucient pas vraiment de fournir des informations précises aux annonceurs. Au lieu de cela, l’ensemble de données contient une variété chaotique d’informations contradictoires. Cela peut potentiellement profiter à des entreprises comme Xandr, car elles peuvent vendre le même utilisateur jeune et vieux à différents partenaires commerciaux.
Microsoft a été contacté pour obtenir une réponse à la plainte.
Un porte-parole de noyb nous a déclaré qu'il ne s'attendait pas à ce que la plainte soit transmise depuis l'Italie aux autorités irlandaises de protection des données, dans le cadre du processus de guichet unique du RGPD, car Xandr est établi aux États-Unis. Cette structure d'entreprise suggère que l'entreprise de technologie publicitaire pourrait faire l'objet d'autres plaintes dans d'autres États membres de l'UE où elle a traité des données locales, ce qui augmenterait encore le risque réglementaire.
La plainte soutenue par Noyb met en lumière des recherches antérieures qui, selon elle, ont montré que Xandr collecte des informations hautement sensibles sur des individus à des fins de profilage publicitaire, telles que des données sur leur vie sexuelle ou leur orientation sexuelle, leurs croyances religieuses et leurs opinions politiques. Le RGPD place la barre particulièrement haute – en matière de consentement explicite – pour le traitement légal des catégories de données sensibles.
On ne sait pas clairement comment de tels consentements auraient été obtenus auprès des personnes dont Xandr détient les données. Mais les visiteurs des sites Web peuvent constituer une source d'informations, car le suivi des publicités peut être déclenché par les personnes accédant au contenu des éditeurs. Dans l'UE, ces sites devraient demander aux visiteurs l'autorisation de suivre, mais les mécanismes standards de l'industrie pour obtenir le consentement des personnes sont eux-mêmes accusés de violer le RGPD .