Google accusé de contourner la RGPD dans le cadre du RTB
Le 4 septembre 2019, Brave, la société derrière le navigateur éponyme, accuse Google d'une gigantesque fuite de données personnelles via son Ad Exchange appelée Authorized Buyers (anciennement Google AdX). Brave réussit sa couverture médiatique, avec notamment une reprise importante des accusations par le Financial Times (cf. Google accused of secretly feeding personal data to advertisers et How Google feeds your data to advertisers). Le détail de ces accusations fait partie d'une plainte instruite par la CNIL irlandaise, accusant Google de contourner la réglementation RGPD.
On peut se réjouir de voir les problèmes causés par le RTB dénoncés par des médias grand-public car l'adtech est un domaine extrêmement complexe, bien compris par seulement quelques initiés. Malheureusement, l'accusation contient de nombreuses erreurs, elle est donc facilement disqualifiable par Google.
Les erreurs de Brave liées à la mauvaise compréhension du RTB
Analysons le communiqué en détail : il commence par un chiffre fantaisiste avancé par Johnny Ryan (Brave’s Chief Policy & industry Relations Officer) :
Google’s “DoubleClick/Authorized Buyers” ad system is active on 8.4+ million websites.
Ce chiffre s'appuie sur l'analyse d'un site tiers qui comptabilise le nombre de sites web appelant un traqueur de Doubleclick (société publicitaire détenue par Google). Hors ces traqueurs ne sont pas seulement utilisés pour Google Authorized Buyers, l'Ad Exchange de Google (qui s'adresse à de larges sites professionnels), mais aussi pour d'autres outils comme la plateforme d'achat RTB (DSP) de Google (appelée DV360), Google Analytics ou Google AdSense. Le nombre de clients Authorized Buyers n'est pas connu publiquement mais il est considérablement moins important.
Le communiqué continue avec une inexactitude :
Google claims to prevent the many companies that use its real-time bidding ad (RTB) system, who receive sensitive data about website visitors, from combining their profiles about those visitors.
La documentation de Google est sensiblement différente :
Google prohibits multiple buyers from joining data they receive from the Cookie Matching Service.
Google interdit donc à ses partenaires de combiner leurs données, mais ne prétend pas les en empêcher techniquement (on touche ici à un problème intrinsèque au RTB, un AdExchange ne peut contrôler comment les données personnelles transmises aux plateformes d'achats partenaires seront gérées par celles-ci).
Le communiqué croit ensuite révéler que Google aurait trahi une promesse antérieure, ayant indiqué en octobre 2019 l'arrêt du partage d'identifiants pseudonyme en RTB :
It also announced that it had stopped sharing pseudonymous identifiers that could help these companies more easily identify an individual, apparently in response to the advent of the GDPR.
Seulement, l'annonce de Google n'indiquait pas arrêter l'envoi d'identifiants pseudonyme dans les requêtes RTB (les requêtes envoyées par Google en temps réel aux plateformes d'achats lorsque vous surfez sur le web), mais la suppression de ces identifiants pseudonyme des fichiers consolidés envoyés après coup aux plateformes d'achats ("Data Transfer files") :
We removed encrypted cookie IDs and list names (if used) from the Data Transfer file for all global bid requests to Authorized buyers.
Ces fichiers habituellement échangés quotidiennement contiennent des informations supplémentaires tel que le vainqueur de l'enchère, le prix de vente effectif de l'opportunité publicitaire, etc.
L'accusation
Brave’s new evidence reveals that Google allowed not only one additional party, but many, to match with Google identifiers.
Brave semble ici découvrir le fonctionnement du RTB, pourtant bien documenté depuis de nombreuses années par Google et par les multiples acteurs du domaine.
The evidence further reveals that Google allowed multiple parties to match their identifiers for the data subject with each other.
On en vient ici à la nouveauté révélée par Brave. De quoi s'agit-il ?
All companies that Google invites to access a Push Page receive the same identifier for the person being profiled. This “google_push” identifier allows them to cross-reference their profiles of the person, and they can then trade profile data with each other.
Google enverrait donc le même identifiant personnel (google_push) à l'ensemble des plateformes d'achat, ce qui permettrait ensuite à ces plateformes d'achats d'échanger entre elles les informations qu'elles détiennent respectivement sur les utilisateurs.
Un partage d'identifiants personnels inhérent au RTB
Ici il est important de faire une pause : Pour que le RTB puisse fonctionner, l'Ad Exchange (la plateforme de vente, aussi appelée SSP) synchronise ses identifiants utilisateurs avec ses plateformes d'achat partenaires. Le problème relevé par Brave est généralisé et inhérent au RTB. Pour pallier à ce problème, Google envoie des identifiants utilisateurs différents pour chaque plateforme d'achat (à ma connaissance les autres SSP ne prennent pas ces précautions) :
For buyers, Google identifies users using a buyer-specific Google User ID consisting of an encrypted version of the doubleclick.net cookie, derived from but not equal to that cookie.
Donc depuis que le RTB existe, les plateformes d'achat peuvent entrer en collusion et échanger leurs propres données personnelles pour enrichir leurs bases. Cela suppose de lier des accords avec ses concurrents, et de prendre un énorme risque légal, mais c'est en effet théoriquement possible.
Un contournement de la RGPD par Google ?
Quel est donc cet identifiant personnel "google_push" envoyé par Google à ses plateformes d'achat partenaires ? Brave indique qu'il s'agit d'un contournement introduit par Google, en réaction à la RGPD.
Push Pages therefore appear to be a workaround of Google’s own stated policies for how RTB should operate under the GDPR.
C'est aussi l'argument que reprend Zach Edwards, le chercheur commissionné par Brave pour l'enquête.
Une simple recherche sur l'aide en ligne de Google Authorized Buyers indique que le paramètre google_push existait déjà en avril 2013, ce qui ruine l'argument du contournement (la RGPD est entrée en application le 25 mai 2018) :
Starting in mid-April, we will begin assigning a URL-safe string value to the google_push parameter in our pixel match requests and we will expect that same URL-safe string to be returned in the google_push parameter you set. This change will help us with our latency troubleshooting efforts and improve our pixel match efficiency.
Le paramètre google_push est donc utilisé par Google pour diagnostiquer des problèmes de latences et non pour tracer les utilisateurs.
Cet "identifiant personnel" permet-il à des acheteurs de partager des informations utilisateurs ?
Ici aussi, nous pouvons regarder la communication de Zach Edwards :
Il s'avère donc que cet "identifiant personnel" n'est pas personnel (inutile car le but de Google est de mesurer la latence, c'est un identifiant qui change à chaque chargement de page). Mais théoriquement, les DSPs partenaires de Google qui ont été mis en concurrence pour une même opportunité publicitaire peuvent en effet partager leurs logs afin d'enrichir les informations qu'ils détiennent sur les utilisateurs.
Conclusions
Si le problème identifié par Zach Edwards est réel, il est dommage de la part de Brave d'avoir multiplié les erreurs et prêté à Google une intention malhonnête avec ce paramètre google_push. Il serait plus pertinent d'élargir la critique au mécanisme du RTB, probablement incompatible avec la RGPD (voir à ce propos l'enquête en cours de la CNIL Anglaise).