Un mécanisme baptisé « Push Pages » permettrait de créer un identifiant unique pour chaque internaute. Celui-ci serait ensuite partagé avec les clients du système d’enchères publicitaires Authorized Buyers.
Brave vient de planter quelques crocs de plus dans les mollets de Google. En septembre 2018, son directeur juridique Johnny Ryan et deux autres personnes avaient déposé une plainte contre le géant informatique pour le non-respect du règlement RGPD. Ils estimaient que son système d’enchères en ligne pour le placement publicitaire (DoubleClick/Authorized Buyers) a pour effet de collecter des données personnelles des internautes et de les disperser auprès des agences publicitaires clientes, sans que l’utilisateur n’en soit informé.
Johnny Ryan ajoute une couche à cette plainte en révélant un nouveau mécanisme de tracking jusqu’alors inconnu. Il consiste à créer un mouchard pour chaque internaute, en chargeant des pages vides appelées « Push Pages ». Ces pages, que l’internaute ne voit pas, ont des URLs qui sont uniques pour chaque internaute. Selon le directeur juridique, cet identifiant est ensuite partagé avec différents clients du système d’enchères de Google, ce qui leur permet de comparer et partager leurs données à propos de cet internaute. Et, par conséquent, d’établir son profil comportemental : quelles pages est-ce qu’il visite, à quel moment, etc.
Google contournerait ses propres protections
Selon Brave, ce mécanisme caché permettrait de contourner des protections que Google avait lui-même mises en place afin de respecter le règlement RGPD. En avril 2018, le géant du web avait en effet arrêté de communiquer auprès de ses clients un certain nombre d’identifiants liés aux internautes, dont le « DoubleClick ID ». Celui-ci permettait de suivre les internautes à la trace dès qu’ils tombaient sur une publicité servie par Google.
Selon Brave, l’identifiant des « Push Pages » réintroduit cette capacité de tracking et apporte une nouvelle preuve de la « toxicité » des enchères publicitaires en temps réel. Comme en septembre 2018, l’éditeur a envoyé les éléments techniques de son enquête à l’autorité irlandaise de protection des données personnelles.
Contacté par 01net.com, un porte-parole de Google explique : « Nous ne diffusons pas de publicités personnalisées ni ne partageons de demandes d’enchères sans le consentement de l’utilisateur. La commission de protection des données irlandaise (DPC) – qui est l’autorité de protection des données chef de file pour Google – ainsi que l’ICO au Royaume-Uni, sont déjà en train d’étudier les enchères en temps réel afin d’évaluer leur conformité avec le RGPD. Nous accueillons favorablement ce travail et coopérons pleinement. »
Google estime par ailleurs que le processus décrit par Brave respecte la vie privée des utilisateurs et qu’il est en accord avec ses règles de confidentialité. L’entreprise explique, par ailleurs, qu’il s’agit là d’une pratique standard de l’industrie de la publicité digitale qui n’est pas propre à Google.
source : 01net