La célèbre entreprise de publicité en ligne, Criteo, vient d’être condamnée très lourdement par l’autorité de contrôle française. Au-delà d’une lourde sanction, cette affaire s’inscrit comme un véritable point tournant pour l’avenir de la publicité en Europe. Une thématique controversée, car même si le RGPD autorise la publicité, celle-ci est très encadrée. 

Qu’est-ce que le re-targeting ? Quel avenir pour cette pratique ? Comment le RGPD protège les consommateurs de l’utilisation de leurs données pour la publicité ? Quelle est la portée de cette sanction ? 

Toutes les réponses à vos questions dans cet article. 

Mais d’abord, c’est quoi Criteo ? 

Criteo est une entreprise spécialisée dans la publicité en ligne, plus précisément dans le domaine du reciblage publicitaire. Fondée en 2005 en France, Criteo est devenue l’une des sociétés les plus importantes et les plus influentes dans le secteur de la publicité numérique.

Avec une influence dans plus de 30 pays, et notamment en Europe, près de 19 000 clients et 5 milliards d’annonces diffusées chaque jour, Criteo dispose d’une audience très large et d’une clientèle très vaste.

C’est quoi le re-targeting ? 

Le principal service offert par Criteo est le reciblage publicitaire, également connu sous le nom de retargeting. 

Le reciblage publicitaire est une méthode qui permet aux annonceurs de cibler les utilisateurs qui ont déjà interagi avec leur site Web ou leur application. 

L’objectif est d’augmenter les chances de conversion en présentant des publicités personnalisées à ces utilisateurs, en se basant sur leurs comportements de navigation précédents.

Concrètement, Criteo collecte des données sur les utilisateurs lorsqu’ils visitent des sites Web ou utilisent des applications partenaires. Ces données incluent des informations sur les produits consultés, les articles ajoutés au panier, les achats effectués, etc. Criteo analyse ensuite ces données pour identifier les utilisateurs qui sont les plus susceptibles d’être intéressés par les publicités des annonceurs.

Une fois que les utilisateurs ont été identifiés, Criteo affiche des publicités personnalisées à ces utilisateurs lorsqu’ils naviguent sur d’autres sites Web ou utilisent des applications partenaires. Ces publicités peuvent prendre la forme de bannières, de pop-ups ou d’autres formats publicitaires. L’objectif est de rappeler aux utilisateurs les produits qu’ils ont déjà consultés ou ajoutés au panier, afin de les inciter à revenir sur le site Web de l’annonceur et à finaliser leur achat.

Le re-targeting, une pratique conforme au RGPD ?

Le RGPD et la Loi Informatique et Libertés de 1978 précisent les conditions de dépôt de cookies concernant la publicité personnalisée. 

La règle est simple : tout cookie non essentiel, destiné à des fins marketing doit recueillir le consentement de l’utilisateur avant d’être déposé sur son terminal (ordinateur, téléphone, tablette). 

De nombreux organismes ont été condamnés pour leurs pratiques concernant le dépôt de cookies !

Le re-targeting est, dans sa définition même, difficilement compatible avec le RGPD. 

Si pour chaque cookie non essentiel une information claire sur la finalité du cookie doit être dispensée et le consentement doit être recueilli, le re-targeting implique l’intervention d’un tiers, généralement sous-traitant, tel que Criteo. Cela implique donc que l’utilisateur consent explicitement et soit valablement informé de la réutilisation de ses données personnelles à des fins de publicité personnalisée opérée par un tiers.

Un comportement peu probable. Si le re-targeting était une véritable source de conversion, l’entrée en vigueur du RGPD, et la prise de conscience générale et collective des utilisateurs quant à la protection de leur donnée remet fortement en doute et questionne l’avenir du re-targeting. 

Une sanction exemplaire pour Criteo, made in France 

Bien que Criteo soit une société fondée en France, elle connaît un certain succès à l’international, et notamment à l’Europe. 

Avec plus de 370 millions de personnes concernées au travers de l’Europe, ce n’était qu’une question de temps avant que leurs pratiques concernant la protection des données des utilisateurs soient questionnées. 

Les célèbres associations activistes en matière de protection des données européenne, Privacy International et NOYB (“None Of Your Business”, fondée par Max Schrems, à l’origine du célèbre Privacy Shield) ont tiré la sonnette d’alarme concernant les pratiques de Criteo. C’est à la suite de plaintes que la CNIL décide de contrôler Criteo. 

La sanction tombe : de nombreux manquements au RGPD sont relevés, et sont appréciés à hauteur du préjudice estimé pour les 370 millions de personnes concernées. 

Une décision française qui ne manque pas de retentir en Europe. Le CEPD s’est également saisi de la question, et les autorités de contrôle européenne, elles aussi compétentes, ne sauraient tarder à se prononcer sur la question. 

Cet article pourrait vous intéresser : Fichiers clients et RGPD : que dit la loi ?

Les manquements relevés : 

Le recueil du consentement est obligatoire pour pouvoir déposer des cookies de ciblage publicitaire. Si le processus de recueil de ce consentement incombe aux sociétés partenaires, Criteo doit être en mesure de pouvoir prouver le recueil de ce consentement, d’en vérifier l’effectivité. Une pratique obligatoire, et qui doit notamment figurer dans le contrat liant Criteo à ses sociétés partenaires. Une telle pratique constitue un manquement à l’article 7.1 du RGPD selon la CNIL. 

Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.

Depuis, la société a complété sa politique de confidentialité afin d’y inclure les mentions manquantes et d’employer des termes simples et compréhensibles.

Un manquement au respect du droit d’accès (article 15.1 du RGPD)

Lorsqu’une personne exerçait auprès d’elle son droit d’accès, la société lui transmettait, sous forme de tableaux, les données extraites de 3 des 6 tables composant sa base de données. La formation restreinte a pourtant relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. En outre, lorsque la société transmettait ces tableaux, elle ne leur fournissait pas d’informations suffisantes pour leur permettre de comprendre leur contenu.

La société s’est engagée à fournir l’ensemble des données dont elle dispose dans le cadre de ses réponses à des demandes d’accès et à compléter les explications qu’elle transmet dans sa réponse à des demandes d’accès.

Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.

S’agissant des modalités d’exercice des droits, la société a mis en place une procédure pour permettre aux personnes d’exercer leur droit au retrait du consentement directement en cliquant sur un bouton « Désactiver les services Critéo » présent dans la politique de confidentialité de la société.

Pour ce qui concerne l’effacement des données, la société invite l’utilisateur à adresser sa demande par courriel au délégué à la protection des données (DPD, ou DPO en anglais). Pour chaque demande, il appartient à la société de déterminer et de justifier si des données concernant l’utilisateur peuvent continuer à être traitées pour d’autres finalités et sur quelle base légale ce traitement peut être fondé.

Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.

Les accords conclus avec les partenaires ont été complétés en matière de responsabilité conjointe pour y inclure les mentions requises par l’article 26.