Les enchères en temps réel, ou Real-Time Bidding (RTB), sont une technologie publicitaire omniprésente sur les sites web et applications mobiles commerciaux. Selon un rapport publié en novembre dernier, cette technologie soulève de sérieuses préoccupations en matière de confidentialité, car elle permet la diffusion de données sensibles sur les utilisateurs à un grand nombre d’entités, sans garanties de sécurité adéquates. Le système RTB expose les utilisateurs à des risques potentiels de la part d’acteurs étatiques et non étatiques malveillants.

La technologie RTB permet à des entités étrangères et à des acteurs non étatiques d’accéder à des informations confidentielles sur le personnel sensible et les dirigeants clés en Europe. Ces données peuvent être obtenues directement via l’exploitation de plateformes de demande (DSP) ou indirectement à partir d’autres entités. De plus, les entreprises de RTB transmettent souvent ces données personnelles en Russie et en Chine, où les lois locales permettent aux agences de sécurité d’y accéder. La large diffusion des données RTB auprès de multiples entreprises au sein de l’UE augmente également le risque d’accès par des acteurs indésirables.

Les données RTB contiennent souvent des informations personnelles telles que la localisation, les horodatages et d’autres identifiants, ce qui facilite l’identification des individus. Cela peut inclure des informations sensibles sur leur situation financière, leur santé, leurs préférences sexuelles et leurs activités en ligne et hors ligne. Même les personnes utilisant des appareils sécurisés à des fins professionnelles ne sont pas à l’abri, car leurs données circulent toujours via le RTB à partir de leurs appareils personnels, de ceux de leurs familles ou de leurs contacts.

Le 10 juillet 2023, la Commission européenne a adopté une « décision d’adéquation » au sujet du cadre de protection des données de l’Union européenne et des États-Unis. Sur la base de cette décision, les données à caractère personnel peuvent de nouveau circuler librement de l’UE vers les entreprises des États-Unis.

Cette décision est pour le moins controversée. Maximilian Schrems, lors de sa keynote à l’OSXP 2022, l’avait prévue, et annoncé par avance une action à venir auprès de la Cour de justice de l’union européenne (CJEU), qui, espérons-le, aboutira à une nouvelle invalidation, après les arrêts Schrems et Schrems II. Dans un communiqué, NOYB, l’association de Max Schrems, dénonce: « Le prétendu “nouveau” cadre transatlantique de protection des données personnelles est en grande partie une copie du “bouclier de protection des données” qui a échoué. Malgré les efforts de relations publiques de la Commission européenne, la législation américaine et l’approche adoptée par l’UE n’ont guère changé. Le problème fondamental de la loi FISA 702 n’a pas été abordé par les États-Unis, qui considèrent toujours que seuls les ressortissants américains peuvent prétendre à des droits constitutionnels. » (Les différents points juridiques évoqués ici sont clairement expliqués dans la keynote de Max Schrems à l’OSXP, ou détaillés dans le communiqué de NOYB).

Philippe Latombe, député français (MODEM) de Vendée, a posté dans un communiqué rageur: « Si mes espoirs restaient ténus, je dois dire que je ne m’attendais pas à un abandon aussi déshonorant, en rase campagne, des intérêts européens. […] Autant de mises en garde que la Commission européenne, faisant fi des avertissements du Parlement, et donc du Parlement lui-même, a balayées d’un revers de main, se livrant à un troc déshonorant qui peut se résumer ainsi : investissements américains en matériel militaire dans le conflit ukrainien et gaz d’outre-Atlantique, contre les données des Européens. […] Le temps joue en faveur du plus fort. Le capharnaüm juridique ainsi entretenu permet aux multinationales américaines des technologies de l’information et de la communication d’agir comme elles l’entendent, ou presque, de creuser leur avance, déjà considérable, au détriment de l’écosystème européen, et plus généralement de l’économie du vieux continent qui risque de ne pas s’en remettre. »