Google’pages web secrètes de suivi’ expliqué

Google a été accusé d’utiliser des pages Web cachées qui sont attribuées aux utilisateurs pour fournir plus d’informations aux annonceurs au sujet de chacun de leurs mouvements en ligne.

L’allégation a été ajoutée à une plainte déposée auprès de la Commission irlandaise de protection des données.

L’entreprise de technologie insiste sur le fait qu’elle agit conformément à la législation de l’UE en matière de protection de la vie privée.

Elle survient un jour après qu’un chien de garde américain a infligé à Google une amende de 170 millions de dollars US (138 millions de livres sterling) pour avoir capturé illégalement des données sur des enfants et les avoir ciblés avec des publicités.

De quoi Google est-il accusé ?
Brave a publié les détails d’une enquête qu’il a menée sur un système d’annonces Google connu sous le nom d’acheteurs autorisés, qui s’appelait auparavant DoubleClick.

Elle a transmis ses conclusions au commissaire irlandais à la protection des données à titre d’élément complémentaire d’une plainte déposée l’année dernière.

Le responsable en chef des politiques Johnny Ryan a utilisé le navigateur Chrome de Google pour mener ses recherches. Il n’avait pas de login, de cookies ou d’historique de navigation sur l’appareil, il était donc, en fait, un nouvel utilisateur.

Il a dit qu’il a découvert des pages web cachées qui avaient une adresse unique. Il a agi comme un identificateur, ce qui était unique à lui. Ce soi-disant marqueur pseudonyme, lorsqu’il est combiné avec des cookies, peut aider à suivre l’activité de l’utilisateur sur le Web, affirme-t-il.

Les cookies – petits morceaux de code qui sont intégrés dans les sites Web et téléchargés sur des appareils pour suivre la façon dont les utilisateurs naviguent sur Internet – nécessitent des autorisations de l’utilisateur pour être utilisés, ce que la page Web cachée ne fait pas.

Au cours d’une seule heure de navigation sur le Web, a-t-il dit, Google a créé au moins neuf de ces pages et 11 pages en double qui ont transféré des données à son sujet.

Ces données n’ont pas été vues par lui, mais auraient pu inclure des informations sur l’âge et le sexe, les habitudes, l’utilisation des médias sociaux, l’appartenance ethnique ou politique, a-t-il dit.

Huit sociétés autres que Google étaient actives sur une ou plusieurs de ces pages et les identifiants pour lui ont été utilisés 278 fois, a-t-il trouvé.

Brave affirme que Google utilise ces pages push pour contourner GDPR – la loi générale sur la protection des données personnelles, qui vise à donner aux utilisateurs un bien meilleur contrôle sur leurs données.

Google a déjà dit qu’il ne partage plus d’identificateurs uniques qui pourraient aider les entreprises à relier une personne à leur propre profil interne.

La question pour le commissaire sera de savoir si ces pages Web aident les annonceurs à établir des profils détaillés des internautes et si cela va à l’encontre des principes du GDPR.

Google a déclaré au site d’actualités The Register que les pages étaient utilisées pour mesurer la latence du site Web et non pas comme un identificateur.

Ça a l’air compliqué. Pourquoi devrais-je m’en soucier ?
Il y a un vieil adage selon lequel en ligne « si vous n’êtes pas le client payant, vous êtes le produit ».

L’échange contre de l’information et de la communication gratuites est payé avec nos données. Mais les méthodes par lesquelles l’industrie de la publicité accumule ces données deviennent-elles plus sophistiquées, plus opaques et plus invasives ?

Frederike Kaltheuner, de Privacy International, le pense.

« À première vue, la publicité en ligne semble être une bonne affaire pour tout le monde ; les gens peuvent utiliser les sites Web et les services gratuitement, les éditeurs, les développeurs de sites Web et d’applications peuvent monétiser leurs produits et les annonceurs peuvent atteindre leurs auditoires, dit-elle.

« Mais voici le piège : au cours de la dernière décennie, la publicité ciblée est devenue exponentiellement plus envahissante. »

Aujourd’hui, des milliers d’entreprises connaissent votre identité, non pas par votre nom, votre photo ou votre adresse, mais par ce que vous faites en ligne. Et, disons certains, ces profils en ligne révèlent souvent des informations extrêmement privées à votre sujet.

« Si vous lisez un article sur la dysfonction érectile, la dépression ou l’automutilation, il y a de fortes chances pour que cela soit diffusé à des milliers d’entreprises « , dit Mme Kaltheuner.

Comment cela se produit-il ?
Le système publicitaire de Google est présent sur 8,4 millions de sites Web et s’appuie de plus en plus sur un système connu sous le nom d’enchères en temps réel (RTB), un type de publicité en ligne qui permet à tous les détails de ce que les gens font en ligne d’être mis aux enchères en temps réel afin de leur proposer des annonces ciblées.

Grâce à la RTB, un grand nombre de données personnelles échangent des mains entre un grand nombre de joueurs un milliard de fois par jour, dans des transactions qui prennent des millisecondes, un peu comme le trading algorithmique sur les marchés financiers mais avec les données comme prix.

Lorsqu’une personne visite un site Web qui affiche des publicités via RTB, une demande de diffusion d’une publicité est envoyée à une bourse publicitaire qui diffuse ce qu’elle fait à des centaines d’acheteurs de publicité. Ils organisent ensuite une vente aux enchères et enchérissent pour leur faire passer des annonces.

L’industrie vaut des milliards de livres.

Comment Google a-t-il réagi ?
Sa déclaration est courte.

« Nous ne diffusons pas d’annonces personnalisées et n’envoyons pas d’appels d’offres aux soumissionnaires sans le consentement de l’utilisateur « , explique-t-il.

« La Commission irlandaise de protection des données – en tant que principale autorité de protection des données de Google – et le Bureau du Commissaire à l’information du Royaume-Uni examinent déjà les appels d’offres en temps réel afin d’évaluer leur conformité avec le GDPR. Nous nous félicitons de ce travail et coopérons pleinement. »