Publicité en ligne : les GAFA américains n’ont pas réussi à tuer l’ex-licorne française Criteo

Alors qu’il sera redevable de la taxe « GAFA » de 3 % applicable dès cette année, le spécialiste mondial du (re)ciblage publicitaire en ligne – le français Criteo – a frôlé la catastrophe industrielle après avoir été déstabilisé par Apple et Facebook. Son chiffre d’affaires a stagné en 2018, à 2,3 milliards de dollars. Et son résultat net a reculé, à 96 millions de dollars.

Impactée coup sur coup, d’une année à l’autre, par deux décisions successives prises de façon unilatérale par les américains Apple et Facebook, l’ex-licorne française Criteo – valorisée 1,8 milliard au Nasdaq (1) où elle est cotée depuis 2013 – aurait pu mettre la clé sous la porte si elle n’avait pas « pivoté » à temps vers le ciblage mobile (2). Son PDG cofondateur Jean-Baptiste Rudelle (photo) a même parlé de « choc exogène très violent ». La première déstabilisation de l’écosystème de Criteo – vulnérable aux choix technologiques des GAFA – est venue en décembre 2017 d’Apple, qui a fait des changements dans son système d’exploitation et son navigateur Safari – à partir de sa version 11.

Entre la fraude aux clics et le RGPD, sans parler de la taxe « GAFA »
Le but de la marque à la pomme : rendre plus difficile et limité le pistage des utilisateurs par des cookies – ces petits fichiers de suivi logé dans le terminal de ce dernier à des fins de ciblage publicitaire. Apple interdit depuis toute utilisation de cookies plus de vingt-quatre heures, conformément à son Intelligent Tracking Prevention (ITP). Et au bout de trente jours, ils sont automatiquement supprimés ! Ces changements sont intervenus avec le système d’exploitation iOS 11.2 pour mobile.
Après Apple, ce fut au tour de Facebook de s’en prendre l’an dernier à l’ex-licorne française en mettant un terme au partenariat avec elle à partir de juillet 2018. La perte de l’accréditation « Facebook Marketing Partner » empêche Criteo d’accéder aux outils de ciblage publicitaire proposés en version bêta par le premier réseau social mondial. Cette rétrogradation fut Lire la suite

Pourquoi Axel Springer a perdu son procès contre Eyeo, éditeur du logiciel Adblock Plus

Retour sur un verdict attendu depuis trois ans : dans sa décision du
19 avril 2018, la Cour suprême fédérale de Justice allemande a jugé
« légal » le logiciel de blocage de publicités en ligne Adblock Plus, déboutant le groupe de médias Axel Springer de sa plainte pour concurrence déloyale.

C’est un revers pour le groupe allemand qui publie non le quotidien Bild,
le plus lu outre-Rhin et la plus forte diffusion de la presse en Europe occidentale, mais aussi Die Welt, ainsi que de nombreux sites web (Businessinsider.com, SeLoger, Logic-Immo, …). En 2015, l’éditeur berlinois avait fait appel et obtenu un référé à l’encontre de la société allemande Eyeo qui éditeur Adblock Plus, l’un des logiciels anti-pub sur Internet les plus utilisés dans le monde.

Consécration de l’adblocking
Axel Springer avait essuyé un échec en première instance à Cologne où Eyeo avait remporté une première victoire judiciaire – comme cela avait déjà été le cas après les premières plaintes de ProSiebenSat.1 Media et RTL Group. Mais, en juin 2016, la cour d’appel de Cologne ne l’avait pas entendu de cette oreille en voyant au contraire de la concurrence déloyale dans l’activité de la société Eyeo qui avait alors porté l’affaire devant la Cour suprême fédérale de Justice allemande. Cette fois, c’est de nouveau Eyeo qui l’emporte. La plus haute juridiction allemande basée à Karlsruhe a en effet rendu son verdict le 19 avril dernier (1), en jugeant « légal » le logiciel Adblock Plus. « L’offre du logiciel bloqueur de publicités Adblock Plus ne viole pas la loi contre la concurrence déloyale », ont déclaré les juges suprêmes. Ils estiment que le programme informatique n’interférait pas dans l’offre publicitaire des sites web des éditeurs et des médias et surtout que son utilisation dépendait de « la décision autonome des internautes ». Adblock Plus, qui est une extension téléchargeable gratuitement pour fonctionner avec tout navigateur web, est actif sur plus de 100 millions de terminaux dans le monde, Europe en tête.
Mais, toutes marques confondues, le nombre de ces logiciels anti-pub installés dans tous les pays dépasserait les 600 millions. C’est dire que le verdict aura des implications bien au-delà de l’Allemagne. Pour la Cour suprême, il s’agit d’une nouvelle façon de faire jouer la concurrence et en toute légalité. Il n’y a pas à ses yeux de pratique commerciale illégale. La société Eyeo – cofondée par son président Tim Schumacher, son directeur général Till Faida et son développeur Wladimir Palant – s’est défendue de vouloir entraver l’activité des éditeurs. Elle a dit rechercher simplement à rendre plus légitimes ses propres objectifs commerciaux, sans passer outre les barrières techniques que le groupe Axel Springer avait mis en place pour protéger ses contenus. Les juges ont estimé qu’utiliser un adblocker est un choix d’utilisateur indépendant, tout en soulignant que les éditeurs de sites web et de médias en ligne avaient adopté des contre-mesures telles que le renvoi des utilisateurs ayant un adblocker activé vers des espaces payants (paywalls). Le verdict du 19 avril va donc à l’encontre du tribunal régional de Cologne, lequel, en juin 2016, avait au contraire jugé déloyale (2) au regard de la concurrence l’activité de la société Eyeo (dont le siège social est à Cologne justement). Et ce, en incitant d’autres acteurs du marché à prendre des décisions qu’ils n’auraient prises pas autrement : de telles pratiques commerciales agressives sont sanctionnées par la section 4a du la loi allemande sur la concurrence déloyale si elles résultent d’un abus de pouvoir commercial. Contrairement au tribunal de Cologne, la Cour suprême constate qu’Eyeo n’a pas influencé à l’excès les annonceurs qui veulent faire affaire avec les sites web d’Axel Springer.
L’outil controversé bloque les publicités intempestives, les « pop-up » ou encore les pubs vidéo. La société Eyeo a en effet constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », lesquelles se retrouvent cette fois dans une « liste noire », ou bien l’utilisateur peut au contraire choisir de désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui acceptent de payer une taxe sur leurs recettes publicitaires pour passer entre les mailles du filet Adblock Plus, et donc à « blacklister » ceux qui refusent de payer.
Ce droit de passage est dénoncé par des éditeurs de sites web et des médias.

Une « liste blanche » payante
« Ce qui est surprenant dans cette décision est l’approbation de l’adblocking indépendamment du modèle économique qui le sous-tend derrière. (…) Mais le jugement devrait-il changer si, comme Adblock Plus, le bloqueur de publicité rend disponible une liste blanche pour contenter des éditeurs et des annonceurs contre le paiement ? », s’interroge Anthonia Ghalamkarizadeh, conseil juridique chez Hogan Lovells à Hambourg.
Car si un éditeur de contenu ou un annonceur veulent que leurs messages publicitaires pénètrent dans la barrière du adblocking, un paiement peut aboutir à un traitement préférentiel. « Et l’adblocker devient commercialement partisan, poursuit-elle. Ce n’est pas certainement dans l’intérêt supérieur des utilisateurs, dont la liberté de choix est fortement mise sous le feu des projecteurs dans le débat en cours sur l’adblocking ».

Entrave à la liberté de la presse ?
A l’issu du verdict, la société Eyeo s’en est félicitée : « Nous sommes satisfaits que la plus haute juridiction d’Allemagne ait soutenu le droit de chaque citoyen Internet à bloquer la publicité indésirable en ligne. Comme nous le faisons depuis 2014, nous continuerons à nous battre pour les droits des utilisateurs en Allemagne et dans le monde entier ». Après sa défaite judiciaire, Axel Springer a indiqué à l’agence de presse allemande DPA vouloir déposer « une plainte constitutionnelle pour entrave à la liberté de la presse ». Au-delà de l’affaire « Adblock Plus » en Allemagne, c’est tous les logiciels de blocage de publicités numériques ainsi que les extensions anti-pub présentes dans tous les navigateurs web – Firefox (Mozilla), Safari (Apple), Internet Explorer (Microsoft), Chrome (Google), Opera (Opera Software) – ou sur tous les systèmes d’exploitation mobile, qui se trouvent légitimés partout dans le monde.
De son côté, la Fédération des éditeurs allemands de journaux (BDZV) a exprimé son « incompréhension » envers cette décision qui « rend massivement vulnérable n’importe quel modèle de financement de contenus journalistiques en ligne basé sur des revenus publicitaires numériques ». Les éditeurs et les médias en ligne s’inquiètent du manque à gagner grandissant. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, l’affaire n’a pas été portée devant la justice mais des médias en ligne ont mené des campagnes anti-adblocking auprès des internautes. Et depuis mars 2018, des sites web ont commencé à être labellisés « Digital Ad Trust » par l’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP). Quant à l’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, elle mobilise les différents acteurs autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une
« charte de bonnes pratiques » (3). Au niveau européen, le label EVCF – European Viewability Certification Framework – a été lancée en août 2017
à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA) « afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (4). Tandis que la société Eyeo, elle, va donc pouvoir continuer à tirer profit du adblocking, les éditeurs de contenus et de médias en ligne vont, eux, devoir d’armer de contre-mesures pour dissuader les internautes à utiliser de tels outils : inciter les visiteurs à payer s’ils ne veulent pas de publicités (paywalls), inventer de nouvelles publicités en ligne moins intrusives, plus dynamiques, voire refuser des internautes équipés d’adblockers – ce qui pourrait être considéré comme une pratique illégale au regard de la protection des données et de la vie privée.
Mais il y a un nouveau défi à relever : limiter le blocage des e-pubs dans les applications mobiles (in-app), bien que les obstacles techniques freinent pour l’instant son expansion. Adblock Plus est là aussi aux avant-postes sur iOS et Android depuis trois ans. Sur smartphones et mobiles dotés de la dernière version du système d’exploitation iOS, la 11, Apple a mis en place à l’automne dernier une nouvelle fonctionnalité baptisée ITP (pour Intelligent Tracking Prevention) visant non seulement à protéger les données personnelles de ses utilisateurs, mais aussi à rendre plus difficile l’usage de cookies – mettant au passage à mal des prestataires du ciblage publicitaire tels que le français Criteo, leader mondial dans ce domaine.
En tout cas, la décision judiciaire de Cologne intervient au moment où, en Europe, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018. Il oblige les éditeurs du Net et les publicitaires à obtenir le consentement préalable des internautes avant de déposer tout cookie – notamment publicitaire – dans le terminal. En cas de non-respect du RGPD, des amendes pourront être infligées et atteindre jusqu’à 4 % du chiffre d’affaires global annuel des entreprises.

Les cookies sous l’œil de la Cnil
En France, le dépôt de cookies ou de logiciels dans les terminaux doit se conformer à la recommandation que la Commission nationale de l’informatique et des libertés (Cnil) avait émise le 5 décembre 2013 sur les
« cookies et autres traceurs » (5), puis publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011. @

Charles de Laubier

Affaire Vizio : des cookies sans consentement préalable sur les TV connectées, c’est illégal

Déposer un code unique sur un téléviseur connecté, sorte de cookie qui permet de suivre à des fins publicitaires le comportement du téléspectateur, nécessite
un opt-in de la part ce dernier. Sinon, la collecte de données est « déloyale et trompeuse ». Vizio l’a appris à ses dépens.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 6 février 2017, le fabricant de téléviseurs connectés Vizio (1) a conclu un accord transactionnel avec l’autorité américaine de la protection des consommateurs, la FTC (2). Cet accord prévoit le paiement par Vizio d’une indemnité transactionnelle de 2,2 millions de dollars, et l’engagement par cette entreprise californienne de mettre en oeuvre un programme de conformité pour une durée de vingt ans. Homologué par un tribunal fédéral, cet accord nous apporte plusieurs enseignements, notamment sur le caractère sensible de données liées au visionnage de programmes audiovisuels, ainsi que sur les pouvoirs très étendus de la FTC.

Cookie sur la TV connectée sans opt-in
Les téléviseurs Vizio disposent d’un logiciel qui analyse les écrans visionnés par le téléspectateur. Ce logiciel analyse les pixels de l’écran, envoie cette information à la société Vizio qui croise cette information avec d’autres bases de données afin d’identifier le contenu visionné par le téléspectateur. Par exemple, Vizio pourra conclure qu’une série de pixels correspond à un épisode des Simpsons, ou à une publicité pour une voiture Renault. En somme, le logiciel Vizio est similaire à des cookies déployés aujourd’hui sur l’ordinateur d’un internaute, sauf que le logiciel Vizio est également conçu pour identifier les émissions de télévision ou les DVD regardés par l’utilisateur. Comme un réseau de publicité en ligne, Vizio vend cette information à des annonceurs et à des prestataires de publicité. Le nom de l’utilisateur n’est pas connu mais, comme pour les cookies, le téléviseur est identifié par un code unique qui permet de suivre le comportement du ou des téléspectateurs. La plupart des internautes sont aujourd’hui habitués aux publicités ciblées sur le Web : si je visite le site d’un constructeur automobile, je peux m’attendre à voir sur un autre site web une publicité de voiture. Ce qui est plus surprenant dans l’environnement de la télévision connectée est de voir sur son compte e-mail par exemple une publicité liée à un film que l’on vient de visionner. Jusqu’à présent, la télévision a été perçue comme une zone protégée contre le phénomène des cookies. Le logiciel Vizio a cassé cette séparation entre TV et Web, sans pour autant chercher le consentement explicite de l’utilisateur, ce qui a conduit la FTC et le procureur de l’état de New Jersey à entamer une procédure de sanction. La FTC a estimé que la collecte de données à caractère personnel par Vizio était à la fois « déloyale » et « trompeuse », ce qui est incompatible avec l’article 5 du Federal Trade Commission Act (FTC Act). Les Etats-Unis s’appuient sur la loi concernant la protection des consommateurs, et notamment l’article 5 du FTC Act, pour sanctionner les traitements illicites de données. Le concept de pratiques « déloyales et trompeuses » permet à la FTC d’atteindre certains des mêmes objectifs que ceux visés par la législation européenne, et notamment le nouveau règlement européen sur la protection des données à caractère personnel. Dans le cas présent, les pratiques de Vizio étaient déloyales et trompeuses car le consommateur moyen ne s’attend pas à ce que ses habitudes de visionnage soient suivies et exploitées sans son consentement explicite. Compte tenu de la sensibilité des données, l’utilisation de conditions générales pour recueillir le consentement n’est pas suffisante, selon la FTC. Un opt-in spécifique est nécessaire. On constate une ressemblance entre la position de la FTC et la position, en France, de la Commission nationale de l’informatique et des libertés (Cnil) en matière de consentement pour les cookies. La FTC cherche une adéquation entre le niveau de consentement, d’une part, et les attentes du consommateur, d’autre part. Une pratique qui est susceptible de surprendre le consommateur ne sera pas tolérée sans son consentement explicite. En revanche, une pratique qui est conforme aux attentes générales du consommateur pourra s’affranchir d’un consentement explicite préalable.

Données « sensibles » de TV connectées ?
Cette approche permet aux autorités américaines d’avoir une approche plus souple
et évolutive que leurs homologues européens, qui sont liés par des textes moins souples en matière de consentement. Dans la plainte de la FTC, celle-ci qualifie de
« sensibles » les données de visionnage collectées par Vizio. A défaut de textes explicites définissant ce qu’est une donnée « sensible », la FTC s’appuie sur une appréciation générale du préjudice potentiel qui pourrait découler de l’exploitation de certains types de données. La FTC cite une loi américaine qui interdit l’utilisation par
les câblo-opérateurs de données de visionnage pour des finalités liées à la publicité.
La FTC dispose d’une souplesse comparée à l’approche européenne en matière de protection des données à caractère personnel (3).

Les sept mots de la loi américaine
La FTC a bâti une jurisprudence sur la protection des données à caractère personnel aux Etats-Unis à partir d’une loi sur la protection des consommateurs qui se résume en sept mots : « Les pratiques déloyales et trompeuses sont interdites ». Le règlement européen, qui compte 61.723 mots pour sa version française, est plus détaillé mais
en même temps moins souple que la législation américaine. Dans le cas Vizio, la FTC
a pu construire une approche européenne sur le fondement des sept mots de la loi américaine. L’approche utilisée par la FTC en matière de consentement converge avec l’approche européenne. Dès lors qu’il s’agit de données sensibles et que le traitement par Vizio dépasse la zone de confort du consommateur moyen, un consentement explicite est nécessaire. La FTC impose à Vizio des conditions très précises sur le recueil du consentement, et la manière de présenter l’information. Celle-ci doit être
« incontournable » et « compréhensible pour un consommateur ordinaire ». La FTC a ordonné l’effacement par Vizio des données collectées avant le 1er mars 2016, et la mise en oeuvre d’un programme de conformité et de responsabilisation (accountability) digne d’un programme issu du règlement européen. La version moderne de l’accountability est née aux Etats-Unis en 1991 avec le décret américain sur les sanctions (4). Aujourd’hui, l’accountability (5) est l’un des piliers du nouveau règlement européen car il impose aux entreprises une série de mesures internes pour assurer
la conformité des pratiques de l’entreprise avec la réglementation (6). La liste des mesures imposées par la FTC dans l’affaire Vizio est impressionnante : l’entreprise californienne (basée à Irvine) doit nommer un délégué à la protection des données à caractère personnel ; elle doit conduire une étude d’impact sur la protection des données à caractère personnel pour identifier des risques ; elle doit mettre en place
des mesures de protection adéquates pour contrer ces risques. Ces mesures doivent inclure une formation des salariés et la mise en oeuvre de la protection des données à caractère personnel au stade de la conception des produits selon le principe du Privacy by Design. Vizio doit en outre mettre en oeuvre des mesures de contrôle internes, y compris des tests réguliers de la conformité. Le programme doit prévoir un mécanisme pour sélectionner des sous-traitants en fonction de leur niveau de protection des données à caractère personnel, et prévoir la mise en place de clauses contractuelles avec chaque sous-traitant pour garantir un niveau de protection élevé. L’entreprise doit aussi disposer de documents pour démontrer sa conformité avec chacune des engagements pris au titre de l’accord transactionnel. Elle doit faire appel à un auditeur indépendant, approuvé par la FTC, pour rédiger un rapport d’audit sur la conformité de Vizio avec ses engagements. L’audit doit avoir lieu tous les deux ans pendant vingt ans.

Rapport détaillé en février 2018
Au plus tard dans les douze mois suivant l’accord transactionnel, Vizio doit envoyer à la FTC un rapport détaillé sur la mise en oeuvre de l’ensemble des obligations découlant de l’accord. A travers cet accord transactionnel, la FTC a démontré non seulement la souplesse du concept de « pratique déloyale et trompeuse » mais également l’étendue des pouvoirs de la FTC de mettre en oeuvre un programme de suivi des engagements, dans l’esprit d’accountability. @

ZOOM

En France, bientôt des cookies dans la TV connectée ?
Le dépôt de cookies ou de logiciels dans les téléviseurs en France doit se conformer
à la recommandation de la Cnil sur les cookies. La personne concernée doit être informée et donner son consentement préalablement au dépôt de ces mouchards,
sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur. Les solutions de mesures d’audience sont soumises à une simple déclaration auprès de la Cnil (et non à une demande d’autorisation). « La société Samsung nous a adressé en 2013 une déclaration relative à une prestation de services Smart TV. Nous leur avons envoyé un récépissé car leur demande était complète », indique la Cnil à Edition Multimédi@. Reste qu’en France la publicité ciblée est interdite à la télé. L’article 13 du décret de 1992 sur la publicité télévisée dit bien que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de service ». Mais des éditeurs de chaînes veulent une évolution de cette réglementation. « Si l’interdiction existante était levée, se poserait la question de la protection des données à caractère personnel des téléspectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problème en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’information, le consentement, la durée de conservation des données ou la sécurité, etc. », nous précise la Cnil. BFM Paris, la nouvelle chaîne du groupe SFR, va tester l’été prochain des « publicités adressées ». Une première en France. C’est ce qu’a annoncé le 10 février dernier Alain Weill, directeur général de SFR Media, devant l’Association des journalistes médias (AJM). @

Charles de Laubier

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

Consentement préalable aux cookies : les sites de presse en ligne dans le collimateur de la Cnil

La présidente de la Cnil, Isabelle Falque-Pierrotin, a indiqué à Edition Multimédi@ – en marge du DigiWorld Summit à Montpellier en novembre dernier – que les sites de presse en ligne sont parmi ceux qui ne respectent pas le consentement préalable des internautes avant toute dépose de cookies.

« A part Ouest-France, les sites de presse en ligne ne respectent la réglementation européenne sur les cookies, laquelle a pourtant été transposée dans la loi française “Informatique et Libertés” en 2011. Nous réunissons à
nouveau les éditeurs », nous a indiqué Isabelle Falque-
Pierrotin (photo), présidente de Commission nationale de l’informatique et des libertés (Cnil).

Réunion cruciale le 9 décembre
C’était en marge du DigiWorld Summit à Montpellier où elle est intervenue le 16 novembre sur le thème de la confiance dans l’économie numérique. Selon nos informations, les éditeurs de la presse sur Internet sont convoqués par la Cnil le
9 décembre prochain. Interrogée par EM@ sur l’état d’avancement des contrôles
que la Cnil a intensifiés depuis l’été dernier auprès des éditeurs sur le respect du consentement préalable des internautes – dit opt-in – avant toute dépose de cookies, Isabelle Falque-Pierrotin a déploré l’opposition de la presse de mettre en oeuvre ses recommandations émises il y a maintenant trois ans exactement. « Pour être valable, l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant
la finalité des cookies déposés », rappelle la Cnil. C’est le 5 décembre 2013 qu’elle a adopté une recommandation « relative aux cookies et aux autres traceurs », qui avait été ensuite publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011 à ces mouchards électroniques ou trackers (1). Ces mesures redonnent aux internautes le pouvoir sur ces cookies qui sont déposés, souvent à leur insu, sur leur ordinateur, leur smartphone ou encore leur tablette, souvent à des fins de publicité en ligne plus ciblées. La quasi totalité du marché publicitaire sur Internet et les applications mobiles – plus de 2,6 milliards d’euros de chiffre d’affaires en 2015 en France, selon l’Institut de recherches et d’études publicitaires (Irep) – s’appuie sur l’existence de ces petits traceurs indiscrets. Or la législation européenne est ainsi passée du droit de refus (opt-out) au consentement préalable (opt-in). C’est la directive européenne « Service universel et droits des utilisateurs » de 2009 qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (2).
La pression de la Cnil sur les éditeurs, notamment les récalcitrants de la presse en ligne, se fait d’autant plus forte que depuis le 8 octobre dernier a été publiée au Journal Officiel la loi « République numérique », laquelle porte de 150.000 euros à 3 millions euros (3) le montant maximal des sanctions de la Cnil en cas d’infraction (amendes perçues par le Trésor public et non par la Cnil elle-même). Certaines sanctions peut être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé – et ce, aux frais de l’éditeur contrevenant.
Pour l’heure, la Cnil s’en tient depuis la fin du troisième trimestre 2014 à des contrôles sur place et/ou en ligne menés (plusieurs centaines effectués) auprès des éditeurs de services et de presse en ligne, et notifie depuis juin 2015 quelque mises en demeure (plusieurs dizaines signifiées). Mais aucune sanction pécuniaire n’a été infligée à ce jour, malgré des menaces qui se sont faites plus pressentes le printemps dernier (4).
La présidente de la Cnil avait alors parlé d’un « moratoire » dont ont bénéficié près d’une dizaine d’éditeurs pour une quarantaine de sites web.

La presse française se rebiffe
Les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM) et le Groupement des éditeurs de contenus et de services en ligne (Geste) où l’on retrouve bon nombre de sites web de médias (Le Figaro, Le Monde, Libération, L’Express, Le Nouvel Observateur, La Tribune, TF1, M6, France Télévisions, Radio France ou encore Lagardère Active), avaient tous alors cosigné un courrier adressé à Isabelle Falque-Pierrotin pour dénoncer l’« exception française » dont fait preuve à leurs yeux la Cnil en voulant sanctionner le dépôt de cookies sans consentement préalable des utilisateurs.

Depuis fin juillet dernier, la Cnil a repris ses contrôles menés par deux équipes. Les éditeurs de médias en ligne ne sont plus les seuls dans le collimateur. Toujours selon nos informations, les régies publicitaires et les plateformes publicitaires basées sur le traitement des données – ou DMP (Data Management Platform) telles que Criteo, Weborama ou encore 1000Mercis – sont elles aussi dans le viseur de la Cnil.

Prestataires ad et data aussi
Cette dernière veut y voir clair dans les responsabilités des différents acteurs, y compris les Ad-servers (les serveurs gestionnaires de e-publicités), et inciter les différents maillons de « la chaîne de la publicité en ligne » à respecter les règles sur les cookies. « L’obligation de recueillir le consentement n’intervient que lorsque l’affichage de la publicité s’accompagne d’un traçage et/ou d’une collecte d’informations relatives à l’internaute par le site ou par un tiers », a rappelé la Cnil aux éditeurs et publicitaires. Mais nombreux sont les éditeurs Internet à s’opposer à cette obligation, prétextant qu’ils rencontrent des difficultés pour recueillir le consentement préalable des internautes avant le dépôt et la lecture de cookies : « Cela ferait obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ; les cookies ne proviendraient pas de leurs propres serveurs, étant liés à l’activité de tiers partenaires, sur laquelle ils ne disposeraient d’aucune maîtrise. En conséquence, les éditeurs ne peuvent, à eux seuls, porter l’entière responsabilité de l’application des règles relatives aux traceurs considérés comme des “cookies tiers” car provenant de sociétés tierces ».
Pour la Cnil, ces intermédiaires techniques sont tenus de respecter la loi « Informatique et Libertés », et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations sur sa navigation, son profil, afin de lui délivrer des publicités ciblées et définir des algorithmes pour réaliser du profilage. Sinon, « la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces ». C’est la raison pour laquelle la Cnil avait décidé l’été dernier d’étendre ses contrôles au-delà des seuls éditeurs de sites Internet, tout en rappelant aux impétrants qu’ils doivent respecter en outre la durée de conservation des cookies (13 mois maximum) et que les données collectées par leur biais doivent être aussi conservées pour une durée limitée.
Mais la Cnil ne peut faire cavalier seul dans ce domaine sur le Vieux Continent. Les
« Cnil » européennes doivent se concerter afin d’harmoniser leurs contrôles, voire leurs sanctions. Or, à ce stade, il n’y a pas d’accord (France et Grande-Bretagne n’ont pas
la même approche par exemple). « Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en [mai] 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en oeuvre et la logique sous-jacente en cas de prise de décision automatisée ». @

Charles de Laubier

ZOOM

Comment Ouest-france.fr et Cnil.fr annoncent la couleur
« Ce site utilise des cookies. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts et nous permettre de réaliser des statistiques de visites. Vous pouvez modifier les réglages d’acceptation des cookies pour ce site », avertit et justifie le site web du quotidienOuest-France.
Et d’expliquer ensuite : « Cliquez sur chaque catégorie pour activer ou désactiver l’utilisation des cookies. Le bandeau de couleur indique si les cookies sont actifs (vert, sur la gauche) ou inactifs (rouge, sur la droite) ».
Quant au site web de la Cnil, qui est censé montrer le bon exemple, il se veut plus synthétique et propose une alternative : « En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales. “OK, tout accepter”
ou “Personnaliser” ». @

Défaut de consentement préalable des internautes avant tout cookie : la Cnilmet en demeure et va sanctionner

La Cnil multiplie ses contrôles auprès des sites web, régies publicitaires et réseaux sociaux pour épingler ceux – une cinquantaine d’éditeurs à ce jour –
qui déposent des cookies sans en informer les internautes ni recueillir leur consentement préalable. Après les mises en demeure, les sanctions financières vont tomber.

Selon nos informations, la Commission nationale de l’informatique et des libertés (Cnil) s’apprête pour la première fois à sanctionner des éditeurs de sites web, de presse en ligne et de réseaux sociaux, ainsi que des régies de publicité sur Internet, pour non respect de la législation sur les cookies. Sa prochaine formation restreinte composée de six membres et seule habilitée à prononcer des sanctions se réunira le 21 avril prochain. Les condamnations financières peuvent atteindre un montant maximum de 150.000 euros, et, en cas de récidive, portées jusqu’à 300.000 euros (1).
Certaines sanctions pourraient être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé
– et ce, aux frais de l’éditeur sanctionné. L’autorité reproche aux éditeurs Internet de
ne pas recueillir le consentement préalable de chaque internaute ou mobinaute avant de déposer sur son ordinateur ou son mobile un cookie ou un traceur. Après plus de 500 contrôles sur place et/ou en ligne menés depuis la fin du troisième trimestre 2014 auprès des éditeurs de services et de presse en ligne, et malgré quelque 50 mises
en demeure notifiées depuis juin 2015, les premières sanctions vont tomber. « Des échanges ont été organisés avec les éditeurs de site de presse et se poursuivent encore actuellement », nous a répondu une porte-parole de la Cnil que préside Isabelle Falque-Pierrotin (photo).

Des « mouchards » déposés à l’insu des internautes
La Cnil estime que ces « récidivistes » sont en infraction au regard de l’ordonnance du 24 août 2011, laquelle avait modifié la loi « Informatique et Libertés » de 1978. Malgré le rappel à la loi par délibération de la Cnil (2) du 5 décembre 2013 (3), il est reproché aux éditeurs en ligne de ne pas informer suffisamment les internautes avant le dépôt de ces petits mouchards électroniques logés dans leurs terminaux (ordinateur, smartphone ou tablette) et surtout de ne pas recueillir leur consentement avant de procéder à leur installation. Lorsque ce n’est pas l’absence d’opt-out permettant au visiteur de s’opposer au dépôt de traceurs chargés d’espionner sa navigation, comme avec le cookie « Datr » de Facebook (mis en demeure par la Cnil), voire à la collecte de données sur son terminal.

Bras de fer entre les éditeurs et la Cnil
Les cookies ou trackers servent aux éditeurs de service, régies publicitaires ou encore réseaux sociaux à analyser la navigation personnelle de chaque internaute ou mobinaute, ses déplacements, ses habitudes de consultation ou de consommation, afin de lui proposer des publicités ciblées ou des services personnalisés. La quasi totalité du marché de la publicité en ligne – 3,2 milliards d’euros de chiffre d’affaires en 2015 en France (4) – s’appuie sur l’existence de ces petits traceurs indiscrets. Contacté par Edition Multimédi@, le secrétaire général du Groupement des éditeurs de contenus et de services en ligne (Geste), Emmanuel Parody, indique que « le point délicat concerne l’interprétation de la Cnil sur la notion de consentement au moment du dépôt du cookie de première visite ». Et d’expliquer : « La Cnil souhaite qu’aucun cookie ne soit chargé tant que le visiteur n’a pas donné son consentement préalable. Nous sommes parvenus à faire valoir les exceptions pour certains cookies analytics (mesure d’audience), mais cette mesure est très compliquée à mettre en oeuvre et génère une perte de revenus ». Selon la DG du Geste, Laure de Lataillade, également jointe, les éditeurs ont calculé que l’application d’une telle mesure se traduirait par une baisse pouvant atteindre 20 % de leur chiffre d’affaires publicitaire. « Les éditeurs de sites web ont massivement déployé au cours des derniers mois le bandeau d’information. Ils s’efforcent par ailleurs de mettre en application toutes les autres obligations découlant de la recommandation et travaillent dessus avec leurs équipes et partenaires », plaide-t-elle. Selon nos informations, une douzaine de membres du Geste sont concernés par les mises en demeure de la Cnil et ses menaces de sanctions.
Ce groupement professionnel représente des éditeurs de presse tels que Le Figaro, Le Monde, La Croix, Le Nouvel Observateur, L’Equipe, La Tribune, Valeurs Actuelles, ainsi que TF1, M6, France Télévisions (France 2, France 3, …), Radio France (France Inter, France Info, …), Lagardère Active (Europe 1, Paris Match, JDD, …), Altice Media (Libération, L’Express, Stratégies, …), Mondadori, Prisma Media, Mediapart ou encore Skyrock. Le Geste n’est la seule organisation professionnelle à se rebiffer face aux exigences de la Cnil sur les cookies. Il y a aussi les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM). Tous ensemble, ils ont cosigné un courrier adressé récemment à la présidente de la Cnil pour dénoncer
l’« exception française » dont l’autorité fait preuve en menaçant de sanctions le fait
de déposer des cookies publicitaires sans le consentement préalable des utilisateurs. Ce qui serait, selon les éditeurs Internet, une application non fondée de la réglementation européenne en la matière. L’Allemagne, l’Italie, la Grande-Bretagne
ou encore l’Espagne n’ont pas, selon eux, une approche aussi « rigoriste » que celle
de la Cnil. « Dans aucun autre pays européen on ne rencontre cette interprétation extrême de la loi, ce qui crée une distorsion de concurrence dommageable », déplore Emmanuel Parody.
C’est une directive européenne « Service universel et droits des utilisateurs » (2009/136/CE) qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (5). En réponse, Isabelle Falque-Pierrotin a reçu le 25 mars dernier des éditeurs et leurs organisations, auxquels elle a promis d’étudier les pratiques de ses homologues européens.
Selon une source, la Cnil n’exclut pas de fixer un moratoire sur les mises en demeure liées aux dépôts de cookies sans consentement préalable. Ce moratoire devrait être soumis au vote lors d’une prochaine réunion plénière. Quant aux contrôles, ils vont se poursuivre. L’autorité sera notamment inflexible sur la durée de vie – limitée à treize mois – des cookies à partir de leur premier dépôt dans le terminal : toujours pour peu que l’utilisateur ait exprimé son consentement préalablement (6). La Cnil demande en outre aux professionnels de se mettre d’accord sur de bonnes pratiques dans le traitement des données à caractère personnel – quitte à labelliser « Données propres » les services en ligne s’y conformant.

Ne pas tomber sous le coup de la loi
Des outils existent comme ceux proposés par AT Internet, Piwik, Google Analytics, Smart AdServer, Integral AdScience ou encore DFP peuvent en outre aider les éditeurs à paramétrer leurs services en ligne et à être dispensés du recueil du consentement lorsqu’il s’agit de mesurer l’audience (exemption accordée par la Cnil). Quant à l’adresse IP, elle doit être supprimée ou anonymisée une fois la géolocalisation effectuée, afin d’éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations relevant de la vie privée de l’utilisateur. @

Charles de Laubier

Criteo, l’ex-licorne française cotée au Nasdaq, se sent vulnérable face aux logiciels antipubs (ad-blocks)

C’est la bête noire de Jean-Baptiste Rudelle, cofondateur et PDG de Criteo,
start-up française spécialisée dans la publicité ciblée sur Internet. Les ad-blocks, ces outils qui permettent aux internautes de bloquer les bannières et vidéos publicitaires, pourraient mettre en péril ses activités très lucratives.

Dix ans après sa création, la société française Criteo est une star
à Wall Street. Ses 745 millions d’euros de chiffre d’affaires générés en 2014 et sa rentabilité en croissance continue à 34,3 millions d’euros de bénéfice net l’an dernier font l’admiration des Américains et des Européens, autant des analystes financiers que des entrepreneurs. La « French Tech » promue par les pouvoirs publics de l’Hexagone n’est pas peu fière de compter parmi ses start-up
un tel fleuron.
Son cofondateur (1), Jean-Baptiste Rudelle (photo), qui en est le PDG et le quatrième plus gros actionnaire avec 6,4 % du capital (2), est sous le feu des projecteurs. Son livre intitulé « On m’avait dit que c’était impossible. Le manifeste du fondateur de Criteo » vient de paraître, début octobre, chez Stock. Il y fait la promotion des start-up françaises et essaie de communiquer aux lecteurs l’envie de créer leur entreprise et la culture de l’échec, sans tomber dans le « pessimisme masochiste » lorsqu’il s’agit d’entreprendre en France – « petit paradis fiscal qui s’ignore » ! Jean-Baptiste Rudelle
a conservé son siège social à Paris (rue Blanche) mais il a cependant décidé en 2008 de s’installer avec sa famille en Californie, à Palo Alto, le berceau de la Silicon Valley, pour conquérir l’Amérique.

Le chiffre d’affaire de Criteo va dépasser le milliard
Mais du haut de ses dix ans, sa société Criteo aura beau s’approcher d’une valorisation boursière de 2,5 milliards de dollars et dépasser allègrement cette année le milliard de dollars de chiffre d’affaires, et même 1milliard en euros (dont entre 525 et 530 millions reversés aux partenaires), cette ex-licorne – puisqu’elle est cotée en Bourse depuis deux ans maintenant – n’en est pas moins vulnérable au regard de son activité mondiale de ciblage publicitaire sur Internet et les mobiles. En effet, grâce à ses propres algorithmes prédictifs, l’icône française du Net achète aux médias et revend aux annonceurs – en quelques millisecondes – des emplacements publicitaires en
ligne dont les bannières s’affichent sur tous les terminaux (ordinateur, smartphones, tablettes, …) des internautes et mobinautes « ultra ciblés ». La plateforme de publicité programmatique est ainsi présente dans 85 pays et compte 27 bureaux à travers le monde.

Blocage d’e-pub et cookies supprimés
Or, de par cette activité qui fait son coeur de métier et sa raison d’exister, Criteo est justement un nouveau géant du numérique aux pieds d’argile. « En cas de résistance des consommateurs envers la collecte et le partage des données utilisées pour diffuser les publicités ciblées, en cas d’accroissement réglementaire ou juridique de la visibilité du consentement (des utilisateurs) ou des mécanismes de “Do Not Track”, et/ou en cas de développement de nouvelles technologies ayant un impact sur notre capacité à collecter les données, tout ceci détériorera substantiellement les résultats de nos activités », prévient en effet la direction de Criteo dans la partie « Facteurs de risques » de son rapport annuel déposé chez le gendarme boursier américain, la SEC (3), au printemps dernier. Et d’ajouter que « certains navigateurs web, tels que Safari [développé par Apple, mais aussi d’autres comme Firefox de Mozilla, ndlr], bloquent déjà ou prévoient de bloquer par défaut tout ou partie des cookies ». Apparus pour
la première fois il y a vingt ans, ces petits fichiers espions appelés « cookies » – et déposés discrètement dans le terminal de l’utilisateur – constituent en fait le fond
de commerce publicitaire de Criteo (« Je prédis », en ancien grec).

En bloquant ou en refusant tous ces « mouchards », à l’aide de l’option de blocage du navigateur ou d’un logiciel de ad-blocking (de type Ad-Block Plus), c’est tout le modèle économique de l’icône de la « French Tech » qui risque de s’effondrer comme un château de cartes. « Utilisant des cookies et des technologies de tracking similaires, nous collectons l’information sur l’interaction des utilisateurs avec les sites web et les applications mobiles des publicitaires et des éditeurs », explique Criteo.
Lorsque vous faites par exemple un achat sur Internet, il y a de fortes chances que l’entreprise de Jean-Baptiste Rudelle vous « espionne » – en collectant à votre insu
des données vous concernant – pour afficher ensuite sur votre écran des publicités
en rapport avec ce que vous avez choisi en ligne. Dans son livre (p.103), Jean-Baptiste Rudelle assure que ces données sont « anonymes ». En Europe, où Criteo réalise encore la majeure partie de son chiffre d’affaires, la Commission européenne a justement prévu de durcir la réglementation sur la protection des données et de la
vie privée. Le texte en cours d’examen, qui devrait être adopté d’ici la fin de l’année, compte obliger les éditeurs de sites web et d’applications mobiles à obtenir le consentement préalable des utilisateurs et à les informer sur l’utilisation de leurs données. Sans attendre, Criteo tente de limiter la casse en précisant utiliser plutôt
des cookies de « premier niveau » (first-party) – moins supprimés par les utilisateurs
de leur navigateur –, au lieu des cookies de « tierce partie » (third party) beaucoup plus éradiqués (4). Pour la simple raison qu’il est difficile de poursuivre la navigation sur un site web si l’on n’accepte pas ces cookies de premier niveau. Cependant, Criteo n’est pas sûr que cela soit suffisant : « Il n’y a pas de certitude que les régulateurs ne contesteront pas la transparence de [notre] solution ou que les éditeurs de navigateurs ne bloqueront pas techniquement [notre] solution. Si le lancement de notre solution n’est pas un succès, nous pourrions être empêché de diffuser les publicités auprès des utilisateurs qui utilisent des navigateurs bloquant les cookies de tierce partie ». Et Criteo de mettre en garde investisseurs et actionnaires : « Si nous sommes bloqués pour servir des publicités à une partie significative d’internautes, notre acticité pourrait en souffrir et nos résultats opérationnels pourraient être mis à mal ».

Ainsi, la pérennité de la start-up publicitaire dépend grandement du degré de tolérance et d’acceptation des utilisateurs à la publicité en ligne « ultra ciblée » (dixit Jean- Baptiste Rudelle dans son livre) qui est de plus en plus intrusive et indiscrète. Si l’usage des ad-blockers et des opt-out of tracking – de type Do Not Track (DNT) en cours d’adoption au sein du W3C (5) – se généralisait, cela pourrait être fatal au business model publicitaire et programmatique de Criteo. D’autant que l’Europe n’est pas la seule à prévoir des restrictions sur le dépôt des cookies et l’exploitation des données personnes, la Cnil en France étant très active sur ce point (6). Les Etats-Unis y songent aussi : des amendements ont été déposés devant le Congrès américain, et la Californie est à l’avant-garde du DNT. « N’importe quelle perception de nos pratiques ou produits comme une atteinte à la vie privée (…) peut nous soumettre à la critique publique,
à des actions collectives privées [classe action], à une mauvaise réputation ou des plaintes par des régulateurs, ce qui pourrait perturber notre activité et nous exposer
à un handicap accru », met encore en garde Criteo qui emploie 1.300 employés, dont les deux tiers sont en Europe (région EMEA).

Millions d’adeptes et milliards de pertes
Selon une étude d’Adobe et de PageFair publiée en août, plus de 198 millions d’utilisateurs dans le monde – dont 77 millions en Europe – ont déjà bloqué les e-pubs à partir de leur navigateur ou de leur smartphone. Cela devrait provoquer sur l’année 2015 une perte cumulée mondiale de 22,8 milliards de dollars pour les éditeurs et les annonceurs, et de 41 milliards de dollars prévus en 2016. @

Charles de Laubier