Le courtier en publicité Xandr (une filiale de Microsoft) collecte et partage les données personnelles de millions d'Européens à des fins de publicité ciblée détaillée. Cela permet à Xandr de vendre aux enchères des espaces publicitaires à des milliers d'annonceurs. Mais, bien qu'une seule publicité soit finalement montrée aux utilisateurs, tous les annonceurs reçoivent leurs données. Il peut s'agir de données personnelles concernant leur santé, leur sexualité ou leurs opinions politiques. De plus, bien qu'elle vende son service comme étant "ciblé", l'entreprise détient des informations plutôt aléatoires : le plaignant est apparemment à la fois un homme et une femme, employé et chômeur. Cela pourrait permettre à Xandr de vendre des espaces publicitaires à de multiples entreprises qui pensent cibler un groupe spécifique. Certains détails restent inconnus, car Xandr a également refusé de donner suite à la demande d'accès et d'effacement du plaignant. noyb a déposé une plainte au titre du règlement GDPR.
Contexte : la publicité ciblée. Si les entreprises souhaitent utiliser la publicité ciblée pour promouvoir leurs produits ou services en ligne, elles doivent passer par des plateformes dites d'enchères en temps réel (Real Time Bidding - RTB). L'une de ces plateformes est gérée par Xandr, une filiale de Microsoft, qui permet aux annonceurs d'acheter des espaces publicitaires sur des sites web ou dans des applications mobiles de manière entièrement automatisée. Lorsqu'un utilisateur visite un site web, une vente aux enchères algorithmique a lieu afin de décider quelle entreprise peut afficher une publicité. Étant donné que les intérêts et les caractéristiques d'un utilisateur déterminent en fin de compte la volonté d'un annonceur de placer une publicité, Xandr recueille et partage une quantité massive de données personnelles afin d'établir le profil des utilisateurs et de permettre le ciblage. Une grande partie de ces données est achetée par des parties externes comme emetriq, une filiale de German Telecom.
Invalidité ? Enceinte ? LGBT ? Des recherches antérieures ont montré que Xandr recueille des centaines de profils sensibles d'Européens contenant des informations sur leur santé, leur vie sexuelle ou leur orientation sexuelle, leurs opinions politiques ou philosophiques, leurs croyances religieuses ou leur situation financière. Les segments spécifiques comprennent des éléments tels que "french_disability", "pregnant", "lgbt", "gender_equality" et "jewishfrench".
0 % de conformité avec les demandes du GDPR. Selon le GDPR, chacun a le droit d'accéder à ses informations. Cependant, malgré la collecte de grandes quantités d'informations détaillées sur les personnes, Xandr fait état d'un taux de réponse étonnant de 0 % aux demandes d'accès et d'effacement en 2022. Xandr publie même ces statistiques internes sur un site web caché, à la vue de tous. Le plaignant a fait l'expérience directe de cette approche : Lorsqu'il a demandé l'accès à ses données, Xandr a prétendu qu'elle ne pouvait pas l'identifier - et a rejeté sa demande d'accès et d'effacement. En réalité, l'entreprise dispose de toutes les informations nécessaires pour identifier les personnes concernées. L'identification et le ciblage des individus sont en effet au cœur de son activité.
Massimiliano Gelmi, avocat spécialiste de la protection des données chez noyb: "L'activité de Xandr repose manifestement sur la conservation de données relatives à des millions d'Européens et sur le ciblage de ces derniers. Pourtant, l'entreprise admet que son taux de réponse aux demandes d'accès et d'effacement est de 0 %. Il est étonnant que Xandr illustre même publiquement la manière dont elle enfreint le GDPR"
la publicité (non) ciblée. En outre, le GDPR exige que les données concernant les individus soient "exactes". Or, les informations disponibles suggèrent que le système de Xandr utilise des tonnes de fausses informations sur les utilisateurs. Même d'un point de vue commercial, Xandr semble se moquer de l'idée de publicité ciblée. Grâce à une demande d'accès auprès du courtier en données - et fournisseur de Xandr - emetriq, nous savons qu'au moins une partie de la base de données de Xandr est constituée de données personnelles extrêmement inexactes et contradictoires sur les personnes : Selon emetriq, le plaignant est à la fois un homme et une femme, dont l'âge est estimé entre 16-19, 20-29, 30-39, 40-49, 50-59 et 60+. Le plaignant dispose également d'un revenu compris entre 500 et 1 500 euros, 1 500 et 2 500 euros et 2 500 et 4 000 euros. En outre, la même personne est à la recherche d'un emploi, est employée, étudiante, élève et travaille dans une entreprise. Cette dernière, à son tour, emploie 1-10, 1 000+ et 1 100-5 000 personnes en même temps. Il est difficile d'imaginer comment ces catégories de données peuvent être utilisées pour un ciblage publicitaire précis. Bien qu'emetriq ne soit pas le seul courtier en données à fournir des données à Xandr, on peut supposer que ces informations sont utilisées pour le ciblage publicitaire.
Massimiliano Gelmi, avocat spécialiste de la protection des données chez noyb: "Il semble que certaines parties du secteur de la publicité ne se soucient pas vraiment de fournir aux annonceurs des informations exactes. Au lieu de cela, l'ensemble des données contient une variété chaotique d'informations contradictoires. Cela peut potentiellement profiter à des entreprises comme Xandr, qui peuvent vendre le même utilisateur, jeune ou vieux, à différents partenaires commerciaux."
Plainte déposée en Italie. noyb a maintenant déposé une plainte GDPR auprès de l'autorité italienne de protection des données (Garante) concernant les questions de transparence, le droit d'accès et l'utilisation d'informations inexactes sur les utilisateurs. Dans l'ensemble, Xandr semble enfreindre l'article 5, paragraphe 1, points c) et d), l'article 12, paragraphe 2, l'article 15 et l'article 17 du GDPR. Nous demandons donc à l'autorité d'enquêter sur les opérations de traitement de Xandr et d'ordonner à la société de se conformer à la demande d'accès et d'effacement du plaignant. En ce qui concerne toutes les personnes concernées, nous suggérons également que la Garante ordonne à Xandr de mettre ses opérations de traitement en conformité avec les principes de minimisation et d'exactitude des données. Enfin, nous suggérons que l'autorité compétente impose une amende administrative effective, proportionnée et dissuasive pouvant aller jusqu'à 4% du chiffre d'affaires annuel de Xandr.