Courtiers en données : Identification possible pour vendre des publicités, pas pour exercer des droits fondamentaux
Aujourd'hui, noyb a déposé une série de plaintes contre des sites web et des courtiers en données qui n'ont pas répondu correctement aux demandes d'accès utilisant les cookies comme facteur d'authentification. Ces sociétés avaient fait preuve d'obstruction lors de l'authentification des utilisateurs, allant du refus du droit d'accès à la demande d'informations supplémentaires, inutiles pour authentifier l'utilisateur.
- Plainte contre un courtier en données : traduction automatique FR [PDF] (en anglais)
- Plainte contre un site web : traduit automatiquement EN [PDF] (en anglais)
Exercice des droits fondamentaux via l'authentification par cookies. Les cookies de suivi sont utilisés pour identifier, profiler et cibler un utilisateur avec des publicités personnalisées. Par conséquent, les données des cookies peuvent également être utilisées pour identifier et authentifier les utilisateurs exerçant leurs droits GDPR. Du moins en théorie. Afin de tester comment l'authentification basée sur les cookies est gérée par l'industrie, les utilisateurs ont fait un certain nombre de demandes d'accès basées sur les données de cookies dans un projet noyb .
Absence de réponse à la demande d'accès. Afin d'obtenir les informations recueillies sur eux, les utilisateurs ont joint les cookies placés par les sites web à leur demande d'accès comme moyen d'identification. Cependant, de nombreux sites web et courtiers en données n'ont pas répondu suffisamment à la demande d'accès. Au lieu de cela, ils ont demandé d'autres formes d'identification (telles que des données personnelles supplémentaires) ou ont carrément ignoré la demande. noyb a donc déposé plusieurs plaintes contre les responsables du traitement concernés en raison de leur incapacité à répondre aux demandes d'accès et à respecter le principe de minimisation des données.
Stefano Rossetti, avocat spécialisé dans la protection des données chez noyb : "L'idée qui sous-tend ces plaintes est simple : si une entreprise peut utiliser un cookie pour me suivre, me profiler et m'envoyer des publicités ciblées, pourquoi ne pourrais-je pas utiliser ce même cookie pour exercer mon droit au titre du GDPR ?"
Lignes directrices de l'EDPB sur l'authentification basée sur les cookies. L'authentification des utilisateurs par le biais des cookies est non seulement techniquement possible mais également recommandée par les récentes lignes directrices de l'EDPB selon lesquelles, les courtiers en données doivent mettre en œuvre des procédures appropriées qui permettent aux utilisateurs de faire une demande d'accès avec les données qui sont liées à des identifiants uniques (comme les cookies). À la lumière du principe de minimisation des données, les utilisateurs ont donc le droit d'authentifier leur identité par le biais des données déjà générées à leur sujet et ne peuvent être contraints de fournir des informations personnelles supplémentaires.
Capacités contradictoires des courtiers en données. Alors que les sites web et les courtiers en données identifient les utilisateurs à des fins de publicité ciblée via les cookies, ils refusent d'identifier les utilisateurs par les mêmes moyens, dès lors que ceux-ci font usage de leur droit fondamental d'accès en vertu de l'art. 15 DU GDPR.
Stefano Rossetti, avocat spécialisé dans la protection des données chez noyb : "Ces plaintes ouvrent la nouvelle série de litiges consacrée à l'identité numérique et à la possibilité d'utiliser un outil de traçage, en l'occurrence un cookie, pour exercer les droits prévus par le GDPR."