Problèmes juridiques pour Adobe Analytics

Image of Carlo Cilento

Publié le 18 déc. 2023 par Carlo Cilento

Le 13 décembre, la Fondation néerlandaise pour la protection des données (SDBN) a déposé un recours collectif contre Adobe pour avoir collecté illégalement des données personnelles via sa plateforme Adobe Experience Cloud, utilisé ces données pour créer des profils personnels et les avoir partagés avec des annonceurs. En d'autres termes, la SDBN affirme qu'Adobe vous espionne et vous profile illégalement par le biais de ses outils publicitaires.

À l'instar de l'action en justice intentée par le SDBN contre X (anciennement Twitter), ce procès se concentre sur les problèmes de protection de la vie privée dans l'environnement de la technologie publicitaire et mérite d'être suivi de près. Voici de quoi il s'agit !

Quels sont les enjeux ?

Cette affaire pourrait coûter à Adobe d'énormes dommages et intérêts, car l'entreprise a établi le profil de millions de citoyens néerlandais. Mais l'argent est de loin l'aspect le moins important de l'affaire.

Si l'on considère la situation dans son ensemble, les problèmes mis en évidence par le SBDN sont tout simplement les problèmes bien connus de la publicité basée sur le pistage - et Adobe est en bonne compagnie. Si le SBDN parvient à établir un précédent contre Adobe (ou X), d'autres gros poissons tels que Google et Meta pourraient être les prochains sur la liste et risquer beaucoup d'argent également.

En fin de compte, l'affaire ne concerne pas vraiment Adobe. Il s'agit d'un modèle d'entreprise. Un modèle qui est répandu, immoral, dangereux et fondé sur une surveillance invasive à l'échelle mondiale.

Il n'y a jamais eu de meilleur moment pour remettre en question à la fois l'éthique et la légalité du modèle commercial de la technologie publicitaire. Meta modifie sa politique de confidentialité pour la troisième fois en l'espace d'un an, dans le cadre d'un nouveau jeu du chat et de la souris avec le GDPR, et fait face à un nouveau défi juridique de la part de noyb. Dans le même temps, une coalition de défenseurs de la vie privée remet en question la légalité du système d'enchères en temps réel qui alimente l'environnement publicitaire en ligne dans l'affaire très médiatisée de l'IAB Europe.

Dans ce scénario déjà précaire, un précédent néerlandais contre la publicité basée sur la surveillance pourrait avoir un impact perturbateur (lire : positif) sur l'écosystème de la technologie publicitaire.

Qu'est-ce qu'Adobe a (prétendument) fait de mal ?

Adobe Experience Cloud est une suite de marketing en ligne largement utilisée qui comprend des services tels qu'Adobe Analytics, Adobe Experience Manager et Adobe Campaign. En d'autres termes, le Cloud est une collection d'outils logiciels en tant que service qui échangent des informations et placent des publicités basées sur les données des visiteurs.

Bien que l'action en justice elle-même ne soit pas encore accessible au public, le site web du SDBN contient un aperçu général des revendications. Le SDBN affirme qu'Adobe a collecté illégalement des données personnelles par le biais de cookies (ce qui désigne implicitement Adobe Analytics et Acrobat SDK comme coupables) et a partagé des données personnelles avec des tiers dans l'environnement de la technologie publicitaire.

Il y a beaucoup de choses à décortiquer, aussi allons-nous le faire pièce par pièce.

Adobe Analytics

Adobe Analytics est un outil d'analyse web professionnel, coûteux et basé sur les cookies. Les organisations peuvent utiliser Adobe Analytics pour suivre les visiteurs et en savoir plus sur leurs intérêts. Cela leur permet d'utiliser d'autres outils d'Adobe Experience Cloud pour vendre des espaces publicitaires aux nombreux partenaires publicitaires d'Adobe.

En d'autres termes, Adobe Analytics est l'équivalent pour Adobe de Google Analytics. Il joue un rôle crucial dans l'environnement ad tech d'Adobe, car c'est de là que proviennent les données, ainsi que le SDK d'Adobe (voir ci-dessous).

Le SDBN affirme qu'Adobe Analytics collecte illégalement des données en plaçant des cookies sans le consentement de l'utilisateur. En d'autres termes, il y a un problème avec les fenêtres contextuelles que les sites web sont légalement tenus d'afficher avant de placer des cookies marketing sur le navigateur du visiteur.

Cela peut se produire pour un certain nombre de raisons. Les outils basés sur les cookies, comme Adobe Analytics et Google Analytics, ne devraient placer des cookies qu'avec le consentement du visiteur. Mais les entreprises configurent souvent ces outils de la mauvaise manière, intentionnellement ou par négligence. En conséquence, de nombreux sites web n'affichent pas de fenêtre contextuelle sur les cookies ou placent des cookies même pour les utilisateurs qui les ont refusés.

Le SDBN affirme également que les sites web ne fournissent souvent pas d'informations suffisamment précises sur ce qu'il advient des données personnelles collectées par le biais des cookies. La fourniture de ces informations est une condition pour obtenir un consentement valable en vertu du GDPR.

Le SDK Acrobat

Adobe Analytics n'est pas la seule source de données personnelles pour Adobe Cloud Experience : Adobe collecte également des données personnelles avec le kit SDK Acrobat et les transmet à ses outils publicitaires.

Les kits de développement logiciel (SDK) sont des ensembles de codes précompilés qui sont mis à la disposition de développeurs tiers et qui contiennent généralement des traceurs. Avec un SDK, un développeur tiers obtient une boîte à outils très utile pour développer son application gratuitement et se décharge du coût sur les utilisateurs, qui voient leurs données personnelles collectées - souvent sans leur consentement. Ces données sont utilisées - vous l'aurez deviné - à des fins publicitaires et sont souvent ajoutées aux vastes profils que les sociétés de technologie publicitaire entretiennent.

En d'autres termes, les SDK sont un piège : un outil cool et gratuit pour les développeurs que vous payez avec vos données.

Le suivi des mobiles est un problème énorme qui ne reçoit pas l'attention qu'il mérite, c'est pourquoi nous sommes heureux de voir une autre action du SDBN concernant des SDK très répandus.

Profilage et partage des données

Le SDBN affirme qu'Adobe partage des données personnelles avec des tiers. Il n'y a là rien de surprenant : il s'agit d'une pratique courante dans le domaine de la technologie publicitaire en raison de la nature du système d'enchères en temps réel (RTB).

Nous avons déjà écrit sur les RTB, voici donc la version courte. Des outils tels qu'Abode Analytics et Google Analytics collectent vos données sur les sites web et les ajoutent à un profil personnel. Ce profil permet aux entreprises de savoir ce qui vous intéresse et de mieux cibler les publicités. Chaque fois que vous visitez un site web, ce profil est partagé dans l'environnement ad tech afin que les entreprises puissent faire des offres pour un espace publicitaire spécifique. Au cours de l'enchère, les profils sont partagés avec les annonceurs afin qu'ils sachent combien ce visiteur vaut pour eux en termes monétaires, et quelles publicités ils devraient diffuser pour un meilleur retour sur investissement.

Ce système est un désastre. Les données sont partagées avec des centaines de parties pour chaque offre, et les entreprises comme Adobe et Google n'ont absolument aucun contrôle sur les données une fois qu'elles sont partagées. La technologie publicitaire est un système de surveillance qui peut être exploité par des criminels, des sociétés de surveillance, des gouvernements étrangers et à peu près n'importe qui qui peut se donner la peine de créer une société et de participer à la fête.

En tant que fiers développeurs d'un outil d'analyse web sans traçage, nous sommes un peu partiaux lorsqu'il s'agit d'ad tech. Mais vous n'avez pas besoin de nous croire sur parole pour savoir à quel point les choses vont mal. Deux rapports récents du Conseil irlandais pour les libertés civiles (une ONG de défense des droits civils bien connue) montrent que la publicité en ligne n'est rien d'autre qu'une bombe à retardement pour la protection de la vie privée, qui peut même mettre en danger le personnel du gouvernement et de l'armée !

En résumé : oui, Adobe partage vos données avec un grand nombre de partenaires. Selon toute vraisemblance, un grand nombre d'entre eux ne sont pas dignes de confiance. C'est très grave, mais ce n'est guère surprenant.

Comment cela va-t-il se passer ?

Examinons la position d'Adobe. Dans ses communiqués de presse et ses précédents échanges avec le SDBN, Adobe a affirmé qu'aucune des violations présumées n'était de sa faute. La société maintient que la conformité relève de la seule responsabilité du client - Adobe vend le service, fournit une documentation juridique et s'en tient là.

Adobe a-t-elle raison ? Dans quelle mesure le GDPR permet-il à Adobe de se décharger de ses obligations de conformité sur ses clients ?

Le droit n'est pas tout blanc ou tout noir, mais il existe un précédent intéressant sur cette question, qui concerne la multinationale de la publicité Criteo. Dans cette affaire, la Commission nationale de l'informatique et des libertés (CNIL) a jugé qu'une organisation aussi importante que Criteo ne pouvait pas se décharger entièrement sur ses clients de la collecte et de la documentation du consentement. Au contraire, elle a le devoir de s'impliquer davantage dans la conformité et doit prendre des mesures pour s'assurer qu'elle travaille avec des consentements réels et valides.

La CNIL est une autorité influente, et le précédent très médiatisé établi contre Criteo pourrait bien être ce dont le SDBN a besoin pour faire pencher la balance en sa faveur. Cependant, les tribunaux néerlandais ne sont pas liés aux décisions de la CNIL et peuvent très bien adopter une position différente sur l'attribution des obligations de conformité.

Réflexions finales

Comme vous l'avez sans doute compris, nous n'aimons pas le traçage. Nous pensons qu'il est irresponsable, dangereux et contraire à l'éthique. C'est pourquoi nous avons créé Simple Analytics pour fournir à nos clients toutes les informations dont ils ont besoin, sans collecter de données personnelles auprès de l'utilisateur final. Si vous vous sentez concerné, n'hésitez pas à nous faire part de vos commentaires!