Sanction de la CNIL contre Criteo : qu'en penser ?


Le 15 juin 2023, la CNIL a prononcé une sanction à hauteur de 40 millions d'euros à l'encontre de la société Criteo. On tente ici d'objectiver.



Publié le 26 juin 2023



Le contexte


Criteo est ce que l'on appelle une Adtech, c'est-à-dire une entreprise de publicité programmatique. Cet organisme pratique entre autres le "retargeting", une opération marketing que vous avez très certainement subi sans en connaître le nom en naviguant sur Internet. Pour la décrire de façon la façon la plus sobre possible, lorsque vous vous intéressez à un article sur Internet sans en faire l'achat, et que vous retrouvez par la suite le même type d'article sous forme publicitaire en poursuivant votre navigation, Criteo n'est pas bien loin. Comme vous pouvez vous en douter, pour parvenir à ses fins, Criteo collecte massivement des données personnelles : éléments de navigation, dépôt et lecture d'identifiants sur quantité de sites, etc. Le contexte dans lequel la collecte et le traitement de données personnelles ont été réalisées était loin d'être conforme au RGPD, notamment pour ce qui concerne le recueil du consentement de l'utilisateur.



En novembre 2018, l'ONG Privacy International a déposé plainte contre sept entreprises en lien avec la publicité programmatique : trois contre des Adtech (Criteo, Tapad et Quantcast), deux contre des courtiers en données (Oracle et Acxiom), et deux encore contre des organismes de score de crédit (Equifax et Experian). Une seconde plainte a par ailleurs été déposée par l'ONG NOYB contre Criteo un mois plus tard. La première sanction vient donc d'être rendue publique ; elle concerne Criteo. S'il est clair qu'elle est significative à plus d'un titre, il convient également de mesurer le propos car son délibéré laisse entrevoir quelques préoccupations. On tente d'en analyser les "plus" et les "moins".



Le délibéré complet peut être consultable dans sa forme complète sur ce lien., la CNIL ayant pour sa part communiqué de façon plus synthétique sur cette page.



Nota : les passages encadrés en bleu correspondent aux citations du délibéré de la sanction, disponible sur le lien cité ci-dessus



Les aspects positifs de la sanction



1 - Pour ainsi dire, c'est une première



Il est toujours intéressant, au delà de la sanction en elle-même , d'en mesurer le signal envoyé et sa portée. Ici, il faut le dire, ceux-ci sont forts. D'une certaine manière, ils revêtent un caractère historique. C'est en effet pratiquement la première fois qu'une amende significative est infligée à une entreprise de cette nature (hors GAFAM), c'est-à-dire une entreprise de l'écosystème publicitaire, et non à l'éditeur avec lequel elle est partenaire. Criteo est-elle en effet connue du grand public ? Probablement pas, et pourtant, cette entreprise appartient au club des organismes qui collectent via quantité de sites une masse phénoménale de données personnelles.


Pendant longtemps, ces organismes Adtech, bien que juridiquement impliqués dans le traitement des données de façon conjointe avec leurs partenaires, ont minimisé et dilué leur responsabilité avec les éditeurs.



Il faut dire que les contrats passés entre Criteo et ses partenaires semblaient à priori bien ficelés pour contourner la difficulté, en stipulant notamment que c'est à ces derniers qu'il convient de s'assurer de la validité du recueil de consentement. Si cela reste logique (le lecteur aura compris qu'il accepte des traceurs sur "darty.fr", par exemple, et non "criteo.com"), cela ne déresponsabilise en rien la société publicitaire pour autant. Comme vous pouvez vous en douter, Criteo s'est largement reposée sur cette close pour bien se garder de vérifer la validité des consentement recueillis, ce qui lui était extrêmement arrangeant, tout en proposant, dans le même temps, l'implémentation de lignes de codes pas forcément toujours limpides pour l'éditeur. Sûrs de leurs arguments, les défenseurs de Criteo ont ainsi élaboré leur ligne de défense.



"Sur le recueil du consentement, il n'appartient pas à Criteo de vérifier le respect de la loi par ses partenaires, c'est une mission qui incombe à la Cnil", ont défendu en audition les avocats de Criteo, se tirant ainsi une magnifique balle dans le pied, et accessoirement dans celle de leurs collègues à l'avenir. Balle dans le pied parce que cela est tout simplement faux, comme nous venons de l'expliquer, ainsi que le détaillent les points 61 et suivants du délibéré :.


60. Précisément, elle (NDLR: la formation restreinte de la CNIL) remarque, en l’occurrence, que la société (NDLR: Criteo) s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie.
61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.
62. Ce double régime de responsabilité permet de garantir qu’à toutes les étapes du traitement des données collectées au titre de la navigation d’un utilisateur sur l’un des sites partenaires de la société, chaque responsable de traitement conjoint respecte les obligations qui lui incombent : pour les partenaires, celles relatives au dépôt et la lecture du cookie Criteo dans le terminal de l’utilisateur et, pour la société, celles relatives aux traitements subséquents opérés à partir des données collectées par le biais de ce cookie.


Il est donc, sur ce point, heureux que les responsabilités de chacun soient clairement reprécisées par l'autorité de contrôle. Criteo, à l'instar de toute Adtech, se doit désormais d'y faire face. En ce sens (Et bien que cela aurait du en principe être toujours le cas), cette délibération crée un précédent de nature à clarifier les choses et peut servir d'avertissement à l'écosystème de la publicité en ligne.



2 - Un montant de sanction significatif



Les lecteurs qui auront suivi le déroulement de l'affaire seront peut-être surpris de voir que nous considérons le montant de la sanction comme quelque chose de positif.


Il faut savoir en effet qu'en première proposition, l'amende était fixée à 60 millions d'euros. Entre la première proposition et la décison finale, on assiste donc à une réduction très sensible de 20 millions qui, si elle est loin d'être négligeable, n'en représente pas moins quatre fois le bénéfice net 2022 de l'entreprise. Donc, même à 40 millions, on considère que cela fait tout de même mal compte tenu du contexte. Criteo entend du reste poser recours en Conseil d'Etat, probablement histoire de réduire de quelques millions encore le montant de la facture. Pas forcément certain que cela fonctionne, au regard de la dernière décision du Conseil d'Etat vis-à-vis d'une sanction prononcée à l'encontre de Google, à cette exception près que Criteo est d'origine française, et non Google. La décision finale du CE sera donc intéressante à plus d'un titre.




En tout état de cause, nous serions extrêmement contrariés et peu compréhensifs dans l'éventualité d'une réduction définitive de la sanction par le Conseil d'Etat, qui dans ce cas enverrait un signal très fort selon lequel la situation économique et / ou financière d'une entreprise prévaut largement et sans ambiguïté sur les droit les plus élémentaires des citoyens, au motif que ladite entreprise est une "pépite française".



3 - Des arguments technos démontés (en partie) qui confirment une tendance




A l'occasion de son audition, Criteo s'est défendu de pouvoir identifier directement des Internautes. Le discours devient habituel : à l'instar de Doctissimo, Criteo précise qu'elle pseudonymise les données recueillies, et prétend ainsi minimiser grandement les risques pour les usagers. Là encore, la CNIL n'est pas (ou plus) dupe de cette argumentation bancale, et rappelle q'une pseudonymisation n'est pas une anonymisation, et que par ailleurs une réidentification "par des moyens raisonnables" reste largement possible :


36. Elle (NDLR : Criteo) en tire comme conclusion que dès lors qu’elle ne traite que des données pseudonymisées, les éventuels manquements qu’elle aurait commis ont eu un impact très restreint pour les personnes concernées, ce dont la formation restreinte devrait tenir compte dans son appréciation.
37. La formation restreinte rappelle que seule une véritable anonymisation des données traitées, en faisant perdre aux données leur caractère " personnel ", c’est-à-dire, sans possibilité de réidentifier la personne physique à laquelle elles se rapportent, ferait échapper le traitement à l’ensemble des exigences du RGPD.
(...)
40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.


Il est donc très intéressant de relever que la ligne de défense en elle-même, accessoirement prônée par un ancien membre éminent de la CNIL (!), a été méthodiquement mise à mal et détricotée dans le délibéré final.



L'ensemble de ces éléments peut raisonnablement être considéré comme très positif, notamment, comme nous l'avons déjà écrit, en raison de son caractère inaugural concernant les Adtechs. Les ONG "Privacy International" et "NOYB" ont du reste exprimé leur satisfaction quant aux décisions dans leurs communications. Romain Robert, avocat spécialiste de la protection des données chez NOYB, a ainsi déclaré : "Nous sommes très heureux de la décision de la CNIL. Il s'agit d'un signal fort envoyé à l'industrie de l'ad-tech, qui devra faire face à des conséquences désastreuses en cas de violation de la loi". Cette déclaration peut être vue sur cette page. Privacy International, pour sa part, se félicite également (citation) "de cette décision qui conteste le non-respect des droits sur les données des utilisateurs pratiqué dans l'écosystème de la publicité de surveillance et permis par les sociétés AdTech", fin de citation, qui peut être lue sur la page du site de l'ONG.


Par ailleurs, Lucie Audibert, juriste chez Privacy International, déclare (traduction de l'anglais): "Cette sanction envoie un message fort aux milliers d'acteurs AdTech. Pendant des années, ils ont construit de gigantesques chaînes d'approvisionnement en données, sans chercher à s'assurer que les utilisateurs qu'ils ciblent ont consenti à ce que leurs informations privées soient échangées comme une marchandise. Criteo étant un acteur central de cette industrie, l'ensemble de l'écosystème européen doit revoir ses pratiques en profondeur - après quelques années d'application laxiste, le RGPD commence à montrer du mordant contre les pratiques commerciales envahissantes."



Mais, si le signal en lui-même est fort et clair, il faut malgré tout rester (très) circonspect.



Les aspects négatifs (et préoccupants) de la sanction



1 - La "stratégie CNIL"



D'expérience, nous avons tendance à devenir méfiants lorsque des sanctions potentiellement spectaculaires sont publiées par la CNIL.


En effet, nous y voyons de plus en plus souvent un effet d'annonce pas toujours entretenu avec cohérence par la suite. Le cas Google Analytics nous l'a bien montré : alors qu'en février 2022, la CNIL déclare en fanfare la non conformité de l'utilisation de GA et met en demeure quelques organismes, on observe aujourd'hui une désinvolture quasi totale de notre APD sur le sujet. Concernant Criteo, on suppose que la CNIL entend indirectement interpeler les entreprises concernées en rendant publique la sanction, avec pour message implicite : "Attention, ne faites pas (ou plus) ce qu'ils ont fait". Mais il n'en est rien : les Adtechs sont froides et calculatrices, et certainement pas enclines à prendre en compte les décisions publiques pour le bien des usagers. L'expérience montre que "tant que ça passe, on continue". A notre sens (mais ceci est subjectif) la CNIL gagnerait à frapper (un peu) moins fort et (beaucoup) plus souvent.



Mais surtout, beaucoup plus important : au delà de la sanction, l'utilisateur est-il désormais protégé des pratiques intrusives de Criteo ? Pas certain.



2 - Quels droits pour l'usager désormais ?



Michael Vaele, professeur associé à la faculté de droit de l'University College London, déplore dans une excellente analyse sur Twitter un satisfecit un peu rapide de la commission restreinte de la CNIL concernant les mesures correctrices prises par Criteo, notamment sur les points suivants :



Audits des partenaires :



Concernant la validité des consentements, Criteo a modifié à partir de 2020 (c'est-à-dire en cours de procédure) ses contrats passés avec ses partenaires et réalisé des audits. On peut s'interroger sur la nature et la portée de ceux-ci, en particulier au regard du nombre collossal de partenaires de Criteo à travers le monde. La CNIL semble s'en satisfaire. Pourra-t-on réellement considérer que le futur consentement des Internautes sera désormais juridiquement valable ? Qu'en sera-t-il dans la réalité ?


78. Elle (NDLR: la commission restreinte) relève, de même, que dans les versions ultérieures de ses conditions générales d’utilisation, la société (NDLR : Criteo) a inséré une clause relative à la preuve du consentement selon laquelle le partenaire s’engage à " fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire ".
79. Au regard de ces éléments, la formation restreinte considère que la société s’est mise en conformité avec les exigences de l’article 7, paragraphe 1, du RGPD.


Qu'en est-il aujourd'hui dans les faits ? Nous avons souhaité gratter la surface de la réalité chez Criteo, et on peut le dire : les difficultés sont loins d'être résolues. En effet, si nous auditons les sites de FNAC et DARTY, par exemple, nous pouvons TOUJOURS (NDLR : au 25 juin 2023) y retrouver des pratiques peu respectueuses de l'usager, avec notamment un dépôt de cookie tiers dès le chargement de la page d'accueil (en l'espèce le cookie identifiant de Criteo nommé "uid"), comme le montre cette capture d'écran ci-dessous. Ceci est toujours dû au même fait technique : le déploiement de script par l'éditeur (en l'espèce FNAC et DARTY) dès le chargement de leurs pages d'accueil. Un article récent, rédigé par nos soins, évoque cette difficulté, avec Outbrain et Taboola pour exemple.


capture d'écran montrant un dépôt de cookie tiers par Criteo sans consentement


Par ailleurs, une rapide investigation laisse entrevoir, même en cas de refus de traceurs, le dépôts d'une demi-douzaine de pixels, ainsi que quelques éléments de navigation, dont on peut très raisonnablement penser qu'ils sont collectés par Criteo, sans en connaître les fonctions exactes à ce stade. On peut considérer que Criteo a grandement négligé l'audit de ces sites qui, rappelons-le, totalisent tout de même environ 25 millions de visiteurs uniques par mois. Belle négligence passée sous les radars de la CNIL pour le plus grand profit du groupe FNAC / DARTY...



Demande d'accès des Internautes aux données collectées



Criteo pourra contourner aisément le problème sur certains points. Une explication technique préalable est nécessaire pour comprendre.



A chaque visite d'un Internaute, Criteo attibue un identifiant différent. Naturellement, la société cherche à savoir si deux identifiants différents peuvent correspondre à un même utilisateur. Pour cela, elle utilise des données dites probabilistes, issues d'un tableau nommé " bc_tcp_timestamp ", qui tente de faire coïncider deux identifiants pour un même utilisateur lorsque le cas est supposé se présenter. Par exemple, si deux identifiants Criteo sont liés à une même adresse IP et deux canaux différents (un ordinateur et un smartphone), il est vraisemblable qu'il s'agisse d'une seule et même personne.
Problème : cette coïncidence de fonde sur un faicseau de présomption, mais en aucun cas sur une certitude absolue. En ce sens, Criteo peut se tromper et deux jeux de données issues du " bc_tcp_timestamp " peuvent réellement concerner deux personnes différentes et non une même personne. Criteo argumente ce fait pour ne pas communiquer ces données en cas de demande d'accès ; la CNIL avalise :

114. S’agissant de la table " bc_tcp_timestamp ", la société explique que celle-ci s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès. Pour cette raison, elle a exclu cette table de ses réponses aux demandes d’accès.
(...)
117. La formation restreinte prend acte des explications données par la société pour la table " bc_tcp_timestamp " et estime en effet que la société n’avait pas à communiquer les données de cette table dans la mesure où elles peuvent concerner plusieurs personnes sans que la société soit en mesure d’identifier avec certitude quelles données concernent exclusivement la personne à l’origine de la demande.


Michale Vaele dénonce ces faits, et évoque un vide juridique qui risque d'être de plus en plus souvent exploité à l'avenir. Il laisse même entendre un peu plus, en expliquant que les organismes comme Criteo ne recherchent pas forcément une exactitude parfaite dans le ciblage d'une personne : ils recherchent avant tout une rentabilité. Aussi ces organismes peuvent-ils, sans réellement souffrir, dégrader la précision des données collectées et argumenter juridiquement ne pas pouvoir communiquer ces données aux Internautes au motif qu'elles peuvent concerner une tierce personne. Enfin, il émet (on peut raisonnablement le penser à juste titre) de sérieux doutes sur la possibilité pour un Internaute d'exercer ses droits envers Criteo via une demande à l'éditeur du site avec lequel il est partenaire.


A toute fins utiles, nous avons l'intention de formuler cette demande afin d'en voir la réalité. Nous n'avons guère de doutes sur le résultat



Le fil twitter de Michael Vaele est disponible ici (attention, lien avec traceurs!)



3 - Une décision fondée sur des technos "à l'ancienne" : quid de demain ?



Par "chance", Criteo, à l'époque des faits, était l'archétype de la société utilisant des méthodes classiques de tracking plutôt bien encadrées par la législation, avec notamment l'utilisation de cookies déposées sur le navigateur de l'utilisateur. Il n'a donc pas été ardu de prouver que ces méthodes étaient constituées au sens juridique du terme. L'avenir risque d'être tout autre avec des méthodes de tracking différentes et bien plus discrètes techniquement, dont la constitution, si elle ne sera pas forcément difficile à prouver, demeurera en revanche juridiquement bien plus discutable et contestable par les organismes incriminés. A titre d'exemple, pour ce qui concerne ce que l'on appelle le tracking dit "server-side", on invite le lecteur à lire notre article sur le sujet



4 - C'est toujours trop long!



Une fois encore, le temps écoulé entre le dépôt de plainte et la publication de la sanction reste long : presque quatre ans et demi. D'emblée, il y a eu retard à l'allumage. Le dépôt de plainte par Privacy International a eu lieu le 8 novembre 2018, celui de NOYB le 4 décembre. Les premiers échanges de courrier entre la CNIL et Criteo ont eu lieu le 27 mars suivant, soit presque cinq mois plus tard. De façon générale, les différentes phases de la procédure (échanges de courriers, puis contrôles, puis notification, etc.) se sont retrouvés entrecoupés de longs mois.

Au demeurant, il faut aussi honnêtement relever que la CNIL est la première ADP à sanctionner un organisme objet des plaintes de Privacy International, avec, on peut le dire, un certain succès.



Pour conclure


En tout état de cause, la sanction prononcée par la CNIL reste forte en termes de symbole. On peut raisonnablement affirmer que le temps de l'impunité pour les organismes publicitaires, à défaut d'être totalement révolu, s'éloigne de façon significative. En revanche, cette sanction, sur le moyen terme, n'est pas forcément de nature à apporter des solutions pérennes pour la sauvegarde de la vie privée des usagers : elle ne fait, sur le fond, qu'interpeler (Très sérieusement, tout de même et malgré tout), l'écosystème de la publicité programmatique, et gagnerait à imposer un contexte plus sctrict d'actions correctrices.



Le verre est donc à moitié vide.



Soyons optimistes, et considérons qu'il est à moitié plein.



Dignilog.