ActualitéBusinessEuropeMarketing & Communication

[DECODE] Pourquoi Criteo est dans le viseur de la Cnil

Après une année 2019 marquée par un recul historique de son chiffre d’affaires, Criteo s’attendait à une nouvelle année compliquée en 2020. Cette dernière n’a même pas commencé depuis trois mois qu’elle s’annonce encore plus difficile que prévu. Et pour cause, le spécialiste français du ciblage publicitaire en ligne fait actuellement l’objet d’une enquête de la Cnil, gardienne de la vie privée des Français, à la suite d’une plainte déposée en novembre 2018 par l’ONG britannique Privacy International, qui lutte contre les violations de la vie privée. 

Cette dernière reproche à l’AdTech française de collecter et d’exploiter des données personnelles en ligne à des fins publicitaires, et ce à l’insu des internautes. Un processus qui va à l’encontre du RGPD, qui encadre depuis mai 2018 le niveau de protection et le traitement des données personnelles par les administrations, entreprises et associations européennes ou visant le marché européen. «L’écosystème AdTech est basé sur de vastes atteintes à la vie privée, exploitant les données des personnes au quotidien. Que ce soit à travers des bannières de consentement trompeuses ou en infestant des sites web de santé mentale, ces entreprises permettent un environnement de surveillance où tout ce que vous faites en ligne est suivi pour vous profiler et vous cibler, avec peu d’espace pour contester», explique Privacy International. «Nous confirmons qu’en janvier 2020, la Cnil a ouvert une enquête formelle sur Criteo en réponse à une plainte déposée par Privacy International en novembre 2018», a confirmé Criteo. «Nous collaborons actuellement avec la Cnil dans leur enquête et restons totalement confiants dans nos pratiques de confidentialité», ajoute le groupe français.

7 entreprises dénoncées par Privacy International en France, au Royaume-Uni et en Irlande 

La plainte de l’ONG Privacy International auprès de la Cnil fait partie d’une initiative plus large pour dénoncer les entreprises, notamment dans le secteur de la publicité, qui ne respectent pas la vie privée des internautes en Europe. Dans ce cadre, Privacy International avait alerté les autorités de protection de la vie privée au Royaume-Uni, en Irlande et en France sur les agissements de sept sociétés, à savoir les «data brokers» Acxiom et Oracle, les agences d’évaluation de la cote de crédit, Equifax et Experian, et les entreprises publicitaires Quantcast, Tapad et Criteo. «Ces entreprises prospèrent dans la collecte, l’exploitation et le traitement des données personnelles. Ils profilent et catégorisent les personnes, à notre insu, et enfreignent de multiples exigences légales», estime l’ONG. 

Après ces multiples plaintes, la Commission irlandaise de protection des données a ouvert une enquête visant Quantcast en mai 2019, tandis l’ICO (Information Commissioner’s Office), l’équivalent britannique de la Cnil, a conclu en juin dernier que les données personnelles des internautes étaient largement utilisées sans leur consentement après avoir examiné la manière dont sont vendus les espaces publicitaires en temps réel sur Internet («Real Time Bidding» ou RTB). Rapport à l’appui, le régulateur britannique avait alors donné six mois aux acteurs de l’AdTech pour changer leurs pratiques et ainsi se mettre en conformité avec la loi. Après ses homologues anglais et irlandais, c’est donc au tour de la Cnil d’entrer en action, avec Criteo en ligne de mire. 

Le modèle économique de Criteo menacé 

Depuis 2017, le modèle économique du groupe français est fortement remis en question. Et pour cause, l’activité principale de Criteo n’est autre que le reciblage publicitaire, pratique qui consiste à suivre la nagitation d’un internaute en ligne, de manière à lui proposer de la publicité personnalisée. L’entreprise avait ainsi bâti son succès sur les «cookies», des petits fichiers permettant de récolter des données sur la navigation des internautes sans leur consentement. Ces fichiers, aussi minuscules soient-ils, étaient une mine d’or pour Criteo car ils permettaient à l’entreprise française de proposer des publicités sur-mesure aux internautes en fonction de leurs préférences.

Cependant, les possibilités de pistage en ligne sont aujourd’hui réduites, non seulement en raison de législations comme le RGPD qui imposent que l’internaute donne son consentement pour l’utilisation publicitaire de ses informations personnelles, mais aussi car le blocage des «cookies»par les navigateurs Internet ne cesse se de répandre. En janvier, le navigateur leader du marché Google Chrome avait ainsi annoncé se donner deux ans pour s’aligner sur ses concurrents Firefox (Mozilla) et Safari (Apple) qui avaient déjà banni cette pratique. Dans ce contexte, Criteo va devoir réduire drastiquement son exposition aux «cookies», un défi que devra surmonter Megan Clarken, qui a pris les rênes du groupe en octobre en remplacement du fondateur Jean-Baptiste Rudelle, resté président du conseil d’administration.

Une sanction pouvant atteindre 92 millions d’euros 

En attendant, les pratiques de Criteo vont être scrupuleusement analysées par la Cnil, qui devra déterminer s’il existe des manquements aux obligations de protection des données personnelles des citoyens européens. Si des violations sont mises en lumière, le spécialiste français du ciblage publicitaire peut se voir infliger une sanction allant jusqu’à 4% du chiffre d’affaires mondial de l’entreprise. Quand on sait que le groupe français a enregistré 2,3 milliards de dollars de revenus en 2019, cela représenterait la bagatelle de 92 millions d’euros. 

La Cnil a déjà épinglé plusieurs AdTech françaises, à l’image de Vectaury, Singlespot ou Fidzup, qui n’a pas survécu à sa mise en demeure. Jusqu’à maintenant, la sanction record est à mettre au crédit de Google qui a reçu une amende de 50 millions d’euros en janvier 2019 pour ne pas avoir suffisamment informer clairement ses utilisateurs sur l’exploitation de leurs données personnelles. Peu importe l’issue des investigations concernant Criteo, «la lutte contre l’AdTech continue», prévient Privacy International.

Lire aussi : L’AdTech, une industrie immature ?

Tags

Maxence Fabrion

Journaliste chez FrenchWeb - DECODE.MEDIAPour communiquer sur FrenchWeb ou le Journal des RH, devenez partenaire, cliquez ici.
Criteo
[DECODE] Pourquoi Criteo est dans le viseur de la Cnil
Cloud: Paris et Berlin s’allient « pour une infrastructure européenne de données »
Taxe Gafa: la France maintient son projet malgré les menaces américaines
Focus sur RideFlux, la startup sud-coréenne qui s’attaque aux géants des voitures autonomes
La lessive par abonnement Spring lève 2,1 millions d’euros pour développer son offre
Les enjeux des marketplaces, «un sujet relativement méconnu du public et des retailers» ?
Gojek: après Google, la licorne indonésienne accueille Facebook et Paypal à son capital
Copy link