.svg)
Je m'appelle Thomas Adhumeau, et je suis Chief Privacy Officer chez Didomi. À travers mon travail, j'ai l'opportunité d'interagir avec une grande variété d'acteurs de l'industrie AdTech et d'identifier les tendances en temps réel.
Lorsque la décision de la CNIL concernant Criteo est tombée l'année dernière, j'avais déjà perçu qu'elle pourrait devenir un précédent avec un effet boule de neige potentiel dans l'industrie AdTech. Cela a été confirmé depuis, avec des cas similaires apparaissant en Europe, une tendance qui, selon moi, continuera de croître en 2025.
Dans cet article, je reviens sur l'affaire entre la CNIL et Criteo, plus d'un an après les faits, pour analyser ses implications et partager mes recommandations pour les fournisseurs de solutions AdTech.
Retour sur la décision Criteo
Le 15 juin 2023, suite à une plainte déposée par Privacy International et None of Your Business (noyb) en 2018, la CNIL a infligé à Criteo une amende de 40 millions d'euros pour ne pas avoir garanti que ses partenaires éditeurs obtenaient le consentement des utilisateurs pour l'utilisation de son cookie de retargeting. Criteo a depuis fait appel de cette décision.
La validité du consentement est au cœur de la problématique soulevée par la CNIL. Bien que les partenaires de Criteo soient probablement tenus contractuellement de collecter le consentement des utilisateurs avant de déposer des trackers (comme les cookies), la CNIL a estimé qu'il incombe au géant de l'AdTech de s'assurer que ce consentement respecte les principes du RGPD.
Cependant, Criteo et d'autres entreprises AdTech ont peu ou pas de contrôle sur les pratiques de collecte de consentement de leurs partenaires au-delà d'une clause contractuelle, qui, comme il s'est avéré, n'est pas suffisante.
Sans garantie que les partenaires tiers collectent le consentement conformément aux réglementations en vigueur, comment ces entreprises peuvent-elles éviter une situation similaire à celle rencontrée par Criteo ?
Quelles mesures les fournisseurs de solutions AdTech peuvent-ils prendre aujourd'hui ?
Sur la base de la décision Criteo, la CNIL et d'autres autorités de protection des données s'attendent à ce que les entreprises AdTech trouvent des moyens de garantir que le consentement est collecté de manière adéquate par tous les éditeurs ou annonceurs tiers.
« En outre, la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL. »
- Commission Nationale de l’Informatique et des Libertés (CNIL) (Source : Publicité personnalisée : CRITEO sanctionné d’une amende de 40 millions d’euros, 22 juin 2023)
Pour atteindre cet objectif apparemment impossible, j'ai avancé deux hypothèses l'année dernière :
- Mettre en place une surveillance automatisée de la conformité
- Créer un protocole de consentement pour les annonceurs, similaire au Transparency and Consent Framework (TCF)
La seconde option est ambitieuse et, bien qu'elle soit prometteuse, elle nécessiterait beaucoup de synchronisation et de collaboration au sein de l'industrie. Espérer qu'un tel cadre se concrétise n'est pas une stratégie réaliste pour les entreprises AdTech susceptibles d'être sanctionnées aujourd'hui pour non-conformité.
En revanche, la première option existe déjà et a été adoptée par plusieurs entreprises AdTech. Je peux en témoigner, car nous la proposons chez Didomi : il s'agit de notre solution Advanced Compliance Monitoring (ACM).
Nous avons créé cette solution précisément pour permettre aux entreprises AdTech de gérer leur conformité et de surveiller l'engagement de leurs partenaires à respecter les choix des utilisateurs.
Notre solution Advanced Compliance Monitoring aide les organisations à répondre aux questions que les entreprises AdTech, à la suite de l'affaire Criteo, doivent se poser lorsqu'elles évaluent la conformité de leurs partenaires éditeurs :
- Vos partenaires éditeurs obtiennent-ils un consentement valide avant de déployer vos cookies ou autres identifiants ?
- Déposent-ils des trackers malgré le refus des utilisateurs ou sans consentement explicite ?
- Comment leurs pratiques de conformité affectent-elles votre adhérence globale aux principes du RGPD ?
- Communiquent-ils de manière transparente sur les trackers qu'ils déploient et pourquoi ?
- Combien d'éditeurs dans votre réseau ne répondent pas aux normes de conformité et quelles mesures prennent-ils pour s'améliorer ?
Cela se fait grâce à un ensemble d'outils et de rapports que les entreprises AdTech peuvent utiliser pour auditer, nettoyer, maintenir et prouver la conformité des activités de leurs partenaires :
- Surveillance des trackers, identification des partenaires et évaluation des impacts
- Détection des violations et infractions
- Rapports hebdomadaires sur l'activité des nouveaux partenaires, les violations du RGPD et du TCF, ainsi que les incohérences dans la chaîne de consentement
Pour en savoir plus sur l'Advanced Compliance Monitoring, visitez notre page dédiée :
{{acm-start-monitoring-today}}
Prochaines étapes : la gestion des partenaires AdTech en 2025
Je pense que l'affaire Criteo n'était que le début. D'autres amendes ont déjà été infligées, et la prochaine vague de sanction aura lieu partout en Europe, ciblant en particulier les entreprises AdTech.
Cependant, avec un ensemble de solutions appropriées et un travail approfondi d'audit de leur écosystème de partenaires, les principales entreprises AdTech pourront rester à l'abri et en sortir renforcées : la surveillance des partenaires ne renforce pas seulement la conformité, mais permet également d'économiser du temps et des coûts tout en optimisant les performances des sites web.
Pour continuer la conversation et obtenir davantage d'informations, suivez-moi sur LinkedIn.
.png){kind=tracking}
.png)
.png)