Débloquez gratuitement Editor’s Digest
Roula Khalaf, rédactrice en chef du FT, sélectionne ses histoires préférées dans cette newsletter hebdomadaire.
Les données de navigation sur Internet sont collectées et vendues de manière plus détaillée qu’on ne le pensait auparavant, ce qui augmente la probabilité que l’identité des individus puisse être vérifiée à partir d’informations anonymisées, selon un nouveau rapport.
Les internautes sont depuis des années regroupés par les courtiers en données selon des caractéristiques telles que leur vaste secteur professionnel ou leurs intérêts, déduits de leur historique de navigation. Ces informations anonymisées sont ensuite vendues aux annonceurs afin qu’ils puissent cibler des catégories ou des segments spécifiques avec un marketing personnalisé.
Une enquête du Conseil irlandais pour les libertés civiles, à but non lucratif, publiée mardi, montre que le nombre de segments est plus important qu’on ne le pensait auparavant, y compris des données sur de nombreuses professions influentes et sensibles qui n’étaient pas connues pour être vendues aux annonceurs.
Les données ont été regroupées en segments utilisés pour cibler les juges, les élus, le personnel militaire et les « décideurs » travaillant dans le domaine de la sécurité nationale, révèle-t-on.
Les défenseurs de la vie privée affirment que ces catégories professionnelles plus spécifiques signifient que les informations provenant de différents points de données peuvent être facilement combinées avec des données de localisation et des horodatages pour identifier les personnes.
Ces données pourraient être utilisées à des fins de surveillance ou exploitées par des acteurs hostiles, ont-ils ajouté, soulignant que les données sont disponibles à l’achat pour un large éventail d’entreprises.
« Ces données sur les dirigeants politiques, les juges et le personnel militaire montrent que [real-time bidding] le problème de sécurité de l’industrie est en fait aussi un problème de sécurité nationale », a déclaré Johnny Ryan, chercheur principal à l’ICCL.
Les enchères en temps réel sont le processus par lequel la publicité est achetée et vendue en fonction de segments de données.
Un document consulté par le Financial Times montre que les segments commercialisés par la société américaine de courtage de données Eyeota incluent les décideurs du gouvernement, de la sécurité nationale et de la lutte contre le terrorisme.
Ils comprenaient également des catégories telles que le personnel militaire, les familles des militaires, les juges et les élus.
Dun & Bradstreet, propriétaire d’Eyeota, a déclaré « qu’il propose des segments de données d’audience d’une manière respectueuse de la vie privée et cohérente à l’échelle mondiale » et que les segments sont « pseudonymisés, ce qui signifie qu’ils ne contiennent aucun élément de données identifiable ».
D’autres données disponibles via le courtier incluent des informations personnelles, par exemple si une personne est susceptible d’être intéressée par la « dysfonction érectile ». [sic]», leur orientation sexuelle, leur satisfaction au travail et leur situation financière.
Carissa Veliz, professeure agrégée à l’université d’Oxford, spécialisée en éthique numérique, a déclaré que « même si les plateformes prétendent que les données sont anonymisées, c’est en réalité très difficile à mettre en pratique ; vous n’avez besoin que de deux ou trois points de données pour identifier quelqu’un ».
« Les plateformes savent que l’anonymisation qu’elles effectuent est si fragile, et elles savent que ce qu’elles font, c’est identifier des informations sensibles qui pourraient mettre en danger les personnes et la société », a-t-elle ajouté. « L’identification d’emplois sensibles expose ces personnes à des préjudices tels que l’extorsion ou le chantage, qui peuvent également avoir un impact sur la démocratie. »
Google et Microsoft envoient des données sur les utilisateurs aux États-Unis et en Europe à des centaines d’entreprises qui les utilisent ensuite pour acheter des emplacements publicitaires personnalisés.
Cela inclut l’envoi des données aux entreprises chinoises et russes, soit directement, soit par l’intermédiaire de courtiers. Ces entreprises sont liées par les lois locales qui autorisent les agences de sécurité de l’État à accéder à ces informations.
« Pour protéger la vie privée des gens, nous appliquons les restrictions les plus strictes du secteur sur les types de données que nous partageons dans le cadre des enchères en temps réel », a déclaré Google.
« Nos politiques d’enchères en temps réel ne permettent tout simplement pas à de mauvais acteurs de compromettre la confidentialité et la sécurité des personnes », ajoute-t-il.
Xandr, propriété de Microsoft, facilite la vente d’informations segmentées sur son marché de données, qui incluent des catégories telles que le fait de savoir si une personne souffre de dépression ou d’anxiété, ainsi que si les individus ont recherché de l’aide concernant les abus sexuels.
« Nous prenons ces questions au sérieux et nous évaluons régulièrement [privacy policies] pour garantir le respect des lois applicables en matière de protection des données », a déclaré Microsoft.
Un exemple identifié par l’ICCL auprès d’un courtier de données russe concernait des personnes qui visitaient des « sites Web d’opposition politique ».
« Cela est particulièrement inquiétant car cela exposerait une personne visitant un tel site Web aux attentions hostiles du gouvernement russe et ajoute à la question de savoir pourquoi Google juge opportun de diffuser de cette manière ces données sur les activités en ligne des personnes. » » dit Ryan.
Google a déclaré avoir suspendu la diffusion d’annonces en Russie et suspendu ses partenaires RTB basés en Russie au début de 2022. Il a déclaré que décrire son programme RTB comme une « diffusion » de données « déformait » ses politiques et pratiques, car il ne partage pas de données personnelles sensibles et interdit aux annonceurs de utiliser ces catégories pour cibler les publicités.