Le mois dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné Criteo d’une amende de 40 millions d’euros, notamment pour ne pas avoir été en mesure de démontrer que ses partenaires, qui sont en contact direct avec les internautes, avaient obtenu le consentement des personnes concernées.
Dans cet article, nous revenons sur la décision de la CNIL en détail, avant d’envisager les possibles conséquences pour les fournisseurs de solutions AdTech, et les étapes à mettre en place pour se préparer à de possibles changements au sein de l’industrie.
Criteo et la CNIL : Contexte et explications
Le 15 juin dernier, la CNIL a infligé une amende de 40 millions d’euros à Criteo, société majeure de l’AdTech spécialisée dans le retargeting, pour n'avoir pas suffisamment veillé à ce que ses éditeurs partenaires obtiennent le consentement de leurs utilisateurs pour l'utilisation de son cookie de retargeting.
L'enquête découle d'une plainte déposée par les organisations Privacy International et None of Your Business (noyb) en 2018.
Dans son communiqué de presse, la CNIL explique avoir relevé plusieurs manquements concernant, et met en évidence cinq violations du RGPD par Criteo :
- Obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)
- Obligation d’information et de transparence (articles 12 et 13 du RGPD)
- Respect du droit d’accès (article 15.1 du RGPD)
- Respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)
- Obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)
En conséquence, Criteo s'est vu infliger une amende de 40 millions d'euros, une décision que l'entreprise AdTech a l'intention de contester :
"Comme nous l'avons indiqué précédemment, nous considérons que les allégations formulées par la CNIL n'impliquent aucun risque pour les personnes ni aucun dommage causé à celles-ci (...) Criteo, qui n'utilise que des données pseudonymisées, non directement identifiables et non sensibles dans le cadre de ses activités, s'engage pleinement à protéger la vie privée et les données des utilisateurs.
La décision porte sur des affaires passées et n'oblige pas Criteo à modifier ses pratiques actuelles ; cette décision n'a aucune incidence sur les niveaux de service et les performances que nous sommes en mesure d'offrir à nos clients. Nous continuons à respecter les normes les plus strictes dans ce domaine et à mener une activité mondiale totalement transparente et conforme à la réglementation. Nous ne ferons aucune autre déclaration à ce stade".
- Criteo, par communiqué de presse (source: TechCrunch)
De son côté, l'organisation noyb, à l’origine de la plainte initiale, se réjouit de cette décision dans un récent communiqué de presse :
"Nous sommes très heureux de la décision de la CNIL. C'est un signal fort envoyé à l'industrie des technologies publicitaires, qui devra faire face à des conséquences désastreuses en cas d'infraction à la loi.”
- Romain Robert, avocat spécialiste de la protection des données chez noyb (source : noyb)
Mais qu’aurait pu faire Criteo pour éviter cette amende, et que peuvent faire les annonceurs qui pourraient se retrouver dans une situation similaire ?
Quelles voies de résolution pour Criteo?
Au cœur de l’affaire entre Criteo et la CNIL figure la notion de chaîne de responsabilité.
En effet, la défense de Criteo a mis en avant les liens contractuels liant l’entreprise avec ses clients, et établissant la responsabilité de ces derniers d’assurer la conformité du consentement utilisateur. Or, la CNIL considère que le contrat n’est pas suffisant. Si intégrer ces clauses dans un contrat est nécessaire, celles-ci doivent être accompagnées de mesures visant à vérifier l’application du contrat par les partenaires de Criteo. Ceci afin que Criteo s’assure dans les faits que le consentement a été obtenu.
Dès lors, deux options se présentent pour que Criteo puisse continuer à opérer selon son modèle :
Option numéro 1 : Effectuer des tests de conformité réguliers auprès des annonceurs
Cette solution, déjà adoptée par plusieurs acteurs de l'industrie AdTech, consiste à effectuer des contrôles réguliers auprès des sites des annonceurs pour s’assurer de la conformité de leurs pratiques de collecte de consentements.
Il s’agit non seulement d’une pratique saine pour s’assurer de la conformité des données traitées, mais aussi d’une étape nécessaire en cas d’audit, afin de collecter des preuves et de mettre en avant les efforts mis en place par l’entreprise.
Les fournisseurs de solutions AdTech peuvent mettre en place ce type de contrôle de deux manières :
- Manuellement, en assignant des équipes pour effectuer des audits réguliers des sites des annonceurs
- Automatiquement, en utilisant une solution de monitoring dédiée
Notre module Advance Compliance Monitoring permet de mettre en place ce genre d’initiatives automatisées.
Le module Advanced Compliance Monitoring de Didomi permet aux entreprises de gérer leur conformité et et de respecter les choix utilisateurs en matière de confidentialité de manière automatisée à travers plusieurs fonctionnalités telles que :
- La surveillance des traceurs, identifications des vendors et de leur impact
- La détection des brèches et des violations de la vie privée
- Des rapports hebdomadaires sur l'activité des nouveaux vendors, les violations du GDPR et du TCF, les divergences dans votre chaîne de consentement
Pour en apprendre plus, visitez notre page dédiée :
{{learn-more-about-didomi's-advanced-compliance-monitoring}}
Option numéro 2 : Établir un protocole de consentement similaire au TCF, pour les annonceurs
L’autre option représente un véritable changement de fonds au sein de l’industrie AdTech, et consisterait à mettre en place un protocole de traçabilité du consentement chez les annonceurs, à l’instar du Transparency Consent Framework (TCF) chez les éditeurs.
Créé par l'IAB Europe, le TCF est décrit comme un "effort mondial intersectoriel visant à aider les médias, les fournisseurs de technologies, les agences et les annonceurs à répondre aux exigences de transparence et de choix de l'utilisateur dans le cadre du règlement général sur la protection des données".
Le secteur de la publicité digitale doit offrir le bon niveau de transparence aux utilisateurs en donnant le niveau de contrôle approprié aux médias. Pour ce faire, il était nécessaire de développer un standard de méthodologie largement adopté pour gérer le consentement. Il se compose de quatre piliers :
- Un ensemble de lois que les médias, partenaires et CMPs doivent respecter
- Des spécifications, que les participants doivent mettre en application
- La liste globale de partenaires, centralisée et à jour de chaque participant.
- L'utilisation de CMPs, qui ne sont pas directement gérés par IAB Europe.
Aujourd’hui, il n’existe pas de protocole similaire pour les annonceurs. Il pourrait s’agir d’une piste pour le futur de l’industrie AdTech.
Que peuvent mettre en place les fournisseurs de solutions AdTech dès aujourd’hui ?
Si l’affaire entre Criteo et la CNIL n’est pas terminée (l’entreprise d’AdTech compte faire appel), les fournisseurs de solutions AdTech peuvent d’ores et déjà se préparer afin d’éviter une situation similaire.
Afin de s’assurer de la conformité des annonceurs avec lesquelles ils travaillent et en attendant un potentiel protocole qui permettrait de standardiser la chaine de consentement, les fournisseurs peuvent adopter module Advanced Compliance Monitoring de Didomi, qui leur permettra de s’assurer des efforts de conformité mis en place par leurs partenaires, et d’être notifiés en cas d’infraction.
Pour en apprendre plus sur nos solutions et comment nous pouvons vous assister, prenez contact avec un membre de notre équipe :
{{talk-to-an-expert}}