Application du RGPD à la lumière des nouvelles révélations sur les violations massives de données commises par Google dans le cadre de la publicité en ligne

Application du RGPD à la lumière des nouvelles révélations sur les violations massives de données commises par Google dans le cadre de la publicité en ligne

Un rapport indique que les données de suivi et les données de localisation dans le monde réel des citoyens de l’Union sont partagées 197 milliards de fois par jour rien qu’en Europe, en raison des enchères en temps réel pour l’attribution des publicités en ligne.

Ma question écrite :

Le récent rapport, très médiatisé, du Conseil irlandais des libertés civiles (Irish Council for Civil Liberties) met en lumière les inquiétudes qui planent de longue date sur le traitement, par les entreprises, de nos données à caractère personnel à des fins publicitaires. Il s’avère toujours manifestement nécessaire de mener des enquêtes sur leur conformité avec le droit de l’Union. Le rapport indique que les données de suivi et les données de localisation dans le monde réel des citoyens de l’Union sont partagées 197 milliards de fois par jour rien qu’en Europe, en raison des enchères en temps réel pour l’attribution des publicités en ligne[1].

Dans ce contexte, la Commission peut-elle répondre aux questions suivantes :

  • 1. Comment compte-t-elle examiner les éventuels problèmes de conformité avec le règlement général de l’Union sur la protection des données ?
  • 2. Convient-elle que ces constatations pourraient constituer des preuves probables de la non-conformité des pratiques publicitaires de Google avec le droit de l’Union ?
  • 3. À quel titre maintient-elle sa décision de ne pas ouvrir de procédure d’infraction à l’encontre de l’Irlande si la commission irlandaise de la protection des données (Irish Data Protection Commission) n’est pas suffisamment parée pour ouvrir une enquête sur cette question ?

Réponse de la Commission :

Le suivi et le contrôle de l’application du règlement général sur la protection des données (RGPD)[1] relèvent de la compétence des autorités et juridictions nationales, sans préjudice des compétences de la Commission en tant que gardienne des traités. Par conséquent, la Commission n’est pas compétente pour apprécier les questions relatives à la conformité avec le RGPD dans les cas particuliers, ni pour mener des enquêtes sur ces questions. Il s’agit d’une tâche qui incombe à la commission irlandaise de la protection des données en sa qualité d’autorité de contrôle cheffe de file pour Google. Une enquête est en cours auprès de la commission de la protection des données (CPD) au sujet des pratiques de Google en matière d’appels d’enchères en temps réel[2].

Le budget de la CPD a considérablement augmenté ces dernières années. Il s’élève à 23 200 000 euros pour 2022, contre 4 700 000 euros en 2016, année d’adoption du RGPD. Au cours de la même période, le nombre de ses salariés a presque quintuplé, passant de 52 à 257 employés à temps plein. Afin d’améliorer encore son organisation interne, la CPD a commandé un audit indépendant[3] qui a débouché sur plusieurs recommandations.

La législation sur les marchés numériques[4] aborde l’utilisation de données à caractère personnel par les contrôleurs d’accès dans le cadre de la publicité en ligne. Elle contient des dispositions selon lesquelles le consentement des utilisateurs finaux sera exigé dans le cadre de la publicité en ligne ou d’autres utilisations. Les contrôleurs d’accès fourniront une description, devant faire l’objet d’un audit indépendant, de leurs techniques de profilage, y compris des types de données à caractère personnel qu’ils utilisent. La législation sur les services numériques[5] renforce la transparence en matière de publicité et interdit aux fournisseurs de plateformes en ligne de présenter de la publicité aux enfants sur la base d’un profilage utilisant des données à caractère personnel, ainsi que de présenter des publicités à tout utilisateur sur la base d’un profilage utilisant des catégories particulières de données à caractère personnel.


  • [1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119 du 4.5.2016, p. 1).
  • [2] Rapport annuel 2021 de la CPD, page 62: https://www.dataprotection.ie/sites/default/files/uploads/2022-02/Data%20Protection%20Commision%20AR%202021%20English%20FINAL_0.pdf
  • [3] https://www.dataprotection.ie/en/news-media/latest-news/Data%20Protection%20Commission%20publish%20independent%20KOSI%20audit%20report%20into%20resource%20allocation
  • [4] COM(2020) 842 final.
  • [5] COM(2020) 825 final.