Recevez chaque jour toute l'actualité du numérique

x

La Cnil irlandaise épinglée pour son inaction vis-à-vis de Google

La DPC enchaîne les accusations. Cette fois-ci, c'est l'Irish Council for Civil Liberties qui a déposé un recours devant la Haute cour irlandaise contre l'autorité de protection des données pour son absence de protection des données dans le cadre du Real-Time Bidding de Google. Ce système d'enchères en temps réel peut conduire à la transmission de données personnelles puisqu'elle consiste justement à envoyer de façon permanente des informations sur les visiteurs des sites. 
Twitter Facebook Linkedin Flipboard Email
×

La Cnil irlandaise épinglée pour son inaction vis-à-vis de Google
La Cnil irlandaise épinglée pour son inaction vis-à-vis de Google © Alex Dudar/Unsplash

L'Irish Council for Civil Liberties (ICCL), une organisation à but non lucratif irlandaise spécialisée dans la défense des droits fondamentaux, a déposé un recours contre la Data Protection Commission (DPC) devant la Haute cour irlandaise. L'autorité de protection des données irlandaise est accusée de ne pas avoir protégée les personnes dans le cadre du Real-Time Bidding (RTB) de Google.

Au coeur de la plainte : le RTB
Le RTB consiste à mettre en concurrence en temps réel des annonceurs pour afficher une publicité sur une page web selon le profit ou le comportement de l'internaute. Cette technique publicitaire peut conduire à l'envoi de données personnelles puisqu'elle consiste justement à transmettre de façon permanente des informations sur le visiteur. D'après l'ICCL, il s'agirait de "la plus grande violation de données jamais enregistrée". Car Google exploiterait illégalement ce système sur "des millions de sites web diffusant des données personnelles à d'autres sociétés de suivi des milliards de fois par jour".

L'organisation irlandaise reproche à la DPC de ne pas s'être emparée d'un litige déposé en septembre 2018 déposé au nom de Johnny Ryan, senior fellow au sein de l'ICCL. Pourtant, en mai 2019, l'autorité avait annoncé l'ouverture d'une enquête disant qu'elle cherchait à établir "si le traitement des données personnelles effectué à chaque étape d'une transaction publicitaire est conforme aux dispositions pertinentes du RGPD, y compris la légalité base de traitement, les principes de transparence et de minimisation des données, ainsi que les pratiques de conservation de Google".

En revanche, elle n'a pas retenu l'argument selon lequel le RTB soulevait des préoccupations sur la sécurité des données. Dans sa plainte, Johnny Ryan avançait que ce système fonctionnait en diffusant des données sensibles sur les internautes (habitudes de navigation, géolocalisation…) à des intermédiaires "sans aucun moyen pour les utilisateurs suivis de contrôler qui reçoit leurs informations ou ce qui en est fait". Or, il s'agissait du coeur de la plainte de l'ICCL. 

Une plainte contre l'IAB Tech Lab
La question de l'incompatibilité du RTB au RGPD n'est pas nouvelle. L'ICCL a déjà déposé un recours devant le tribunal de district de Hambourg (Landgerichte Hamburg) en Allemagne contre l'IAB Tech Lab qui représente les acteurs de la publicité sur Internet. Elle les accuse de collecter des informations sensibles des internautes sans leur consentement via la RTB. 

L'organisation irlandaise est également à l'origine d'une procédure visant à faire reconnaître que la Commission européenne ne vérifie pas la bonne application du RGPD. Elle porte également sur les liens entre l'exécutif bruxellois et la DPC. La plainte, toujours en cours d'instruction, a été déposée devant le Médiateur européen, une instance ayant pour mission d'enquêter sur les cas de mauvaise administration dans les agissements des institutions européennes.

La DPC face à de nombreuses accusations
L'ICCL n'a pas la seule à accuser la Cnil irlandaise de laisser filer les plaintes. Début février 2020, l'autorité de protection des données allemande a accusé son homologue d'inaction alors qu'elle est le chien de garde des grandes entreprises technologiques américaines en Europe. En effet, ayant pour la plupart leur siège européen à Dublin, elles sont soumises à la DPC en vertu du mécanisme de guichet unique prévu par le RGPD. En mai dernier, le Parlement européen a voté une résolution appelant la Commission européenne à ouvrir une procédure de sanction à son encontre.

L'association autrichienne Noyb, spécialisée dans la protection des données personnelles, a passé un nouveau cap et a déposé en novembre 2021 une plainte en Autriche pour corruption contre la DPC. Cette dernière empêcherait l'association de publier des documents liés aux procédures visant Meta (ex Facebook) pour sa gestion des données personnelles des utilisateurs, en particulier de leurs transferts vers les Etats-Unis

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.