En juin dernier, la Commission nationale de l'informatique et des libertés (CNIL) a condamné le géant français de la publicité Criteo à une amende de 40 millions d'euros pour n'avoir pas respecté le consentement des utilisateurs en matière de suivi. En décembre, le tribunal d'Amsterdam a également rendu une décision à l'encontre de Criteo, qui a été confirmée en appel.
Ces affaires sont importantes. Criteo est une grande multinationale de la technologie publicitaire qui contrôle les données personnelles de millions d'internautes. Mais surtout, le raisonnement qui sous-tend la décision est en rupture avec le passé et pourrait bien faire des vagues dans plusieurs secteurs, notamment ceux de la technologie publicitaire et de l'analyse du web,
Voici en quoi consistent ces affaires et pourquoi elles pourraient ouvrir de nouvelles possibilités d'action contre le pistage illégal.
- De quoi s'agit-il ?
- Qui doit s'occuper du consentement ?
- La "doctrine Criteo" : un examen plus approfondi
- Contrôleurs conjoints
- La répartition des responsabilités
- La protection effective des droits
- Qu'est-ce que cela signifie pour l'analyse web ?
- Le mot de la fin
De quoi s'agit-il ?
Jusqu'à présent, trois décisions ont été prises à l'encontre de Criteo :
- deux ONG de défense de la vie privée (Privacy International et noyb) ont déposé une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL), affirmant que des sites web plaçaient illégalement des cookies Criteo. Cette plainte a fait l'objet d'une décision en juin 2023 et a abouti à une amende de 40 millions d'euros pour la société.
- un citoyen néerlandais a porté la même affaire devant le tribunal de district d'Amsterdam, qui a ordonné à Criteo de cesser de placer des cookies et de supprimer les données déjà collectées
- la décision du tribunal de district a été confirmée en appel.
Toutes les affaires portent sur l'utilisation non autorisée de cookies de suivi. Plusieurs sites web populaires ont utilisé les cookies de Criteo à des fins publicitaires. Ils l'ont fait sans leur consentement, en violation du règlement GDPR et de la directive ePrivacy.
Ces affaires ressemblent à des affaires de cookies classiques : une personne s'est rendu compte qu'elle était suivie sans son consentement, a intenté une action en justice et a obtenu gain de cause. Mais ce qui rend ces affaires particulières, c'est que ce sont les sites web, et non Criteo, qui ont placé les cookies. Criteo a été tenu responsable des cookies créés par ses clients, ce qui n'est pas rien.
Qui doit s'occuper du consentement ?
Il est très fréquent que les fournisseurs de services de publicité et d'analyse du web se déchargent du travail de conformité sur leurs clients, c'est-à-dire sur les sites web qui utilisent leurs services.
Par exemple, supposons que votre site web utilise Google Analytics. Google Analytics utilise des cookies de suivi, qui nécessitent un consentement en vertu de la législation européenne. Ce n'est pas le problème de Google : conformément aux conditions d'utilisation de Google Analytics, c'est à vous qu'il incombe de mettre en œuvre Google Analytics de manière conforme (notamment en veillant à ce qu'il n'enregistre des cookies qu'après que les visiteurs les ont acceptés). Si vous vous trompez, c'est vous qui enfreignez la loi, et non Google.
Cette répartition des responsabilités est l'une des raisons pour lesquelles l'internet est devenu un puits de traçage illégal. Les géants de la publicité tels que Google et Meta fournissent à l'internet des outils de traçage puissants et invasifs, mais ne peuvent être tenus responsables de leur utilisation abusive. Les utilisateurs et les défenseurs de la vie privée ne peuvent donc lutter contre le pistage qu'en s'attaquant à des sites web individuels, dans un jeu de bonneteau sans fin et en grande partie inutile.
Les décisions prises à l'encontre de Criteo ouvrent de nouvelles possibilités d'action en justice. La CNIL et les tribunaux ont affirmé haut et fort que Criteo - un géant de la publicité avec d'innombrables partenaires - ne peut pas se laver les mains des obligations légales qui découlent de l'utilisation des cookies. Criteo a été tenu responsable de ce que ses clients ont fait de ses cookies, même si Criteo lui-même n'a rien fait - ou plutôt, parce qu'il n'a rien fait pour contrer l'abus prévisible des cookies de Criteo.
Il estencore trop tôt pour savoir si ce raisonnement gagnera du terrain au niveau européen. Mais il y a des raisons d'être optimiste : la CNIL est une autorité très respectée qui donne souvent des exemples influents aux autres régulateurs. En outre, les défenseurs de la vie privée (tels que ceux impliqués dans l'affaire de la CNIL) sont bien conscients du potentiel des décisions prises à l'encontre de Criteo et tenteront certainement de tirer parti de ce potentiel dans de futurs litiges.
En résumé, ces affaires ne constitueront pas nécessairement un précédent influent au niveau de l'UE, mais il y a de fortes chances qu'elles le soient et qu'elles fournissent aux défenseurs de la vie privée un outil juridique puissant pour lutter contre le traçage.
La "doctrine Criteo" : un examen plus approfondi
En résumé, c'est la raison pour laquelle le raisonnement qui sous-tend les affaires Criteo est important. Mais en quoi consiste exactement ce raisonnement et comment s'inscrit-il dans le cadre du GDPR ?
Pour faire court, la "doctrine Criteo" - pour ainsi dire - stipule que les responsables conjoints du traitement doivent répartir les obligations de conformité de manière à protéger efficacement les droits en matière de protection de la vie privée. Cela fait beaucoup à assimiler, alors décomposons.
Contrôleurs conjoints
Expliquer la notion de contrôle conjoint en termes rigoureux nécessiterait un blog en soi. En résumé, le contrôle conjoint est la situation dans laquelle deux entités ou plus traitent ensemble des données et ont toutes leur mot à dire sur ce qu'il advient de ces données. Ainsi, si deux entreprises sont conjointement responsables du traitement, elles décident toutes deux quelles données sont collectées, pourquoi elles le sont, comment elles sont traitées, etc.
C'est le type de relation que Criteo entretenait avec ses clients. L'entreprise n'a d'ailleurs jamais prétendu le contraire.
La répartition des responsabilités
La fonction de contrôleur conjoint pose un problème : les contrôleurs conjoints ont tous des obligations en vertu du GDPR, mais qui doit se conformer à quoi exactement ? En d'autres termes, comment les obligations de conformité sont-elles réparties entre les responsables conjoints du traitement?
La solution du GDPR est de permettre aux responsables conjoints de répartir ces responsabilités comme ils l'entendent, pour autant qu'ils clarifient cette répartition dans un contrat juridique appelé " accord de contrôle conjoint".
Concrètement, chaque fois qu'un problème juridique se pose avec des responsables conjoints du traitement, les avocats et les régulateurs se réfèrent à l'accord de contrôle conjoint pour savoir qui est censé faire quoi - par exemple, l'entreprise A est seule responsable de la gestion du consentement, tandis que l'entreprise B est seule responsable de la gestion de la base de données et de la notification des violations de données.
Ce système présente des avantages évidents. Les responsables du traitement des données peuvent répartir les tâches de conformité de manière efficace, car ils savent exactement comment chaque partie contribue au traitement des données. Par exemple, si l'entreprise B contrôle la base de données, il est logique qu'elle soit responsable de la notification des violations de données. De même, si l'entreprise A a un contact direct avec la personne concernée (c'est-à-dire les personnes dont les données sont traitées), alors que l'entreprise B n'en a pas, il est logique que l'entreprise A recueille et gère le consentement.
L'inconvénient de ce système d'attribution est qu'il peut échouer. Et dans le cas du suivi en ligne, il échoue systématiquement
La protection effective des droits
D'innombrables sites web abusent des cookies ou des pixels pour vous suivre à la trace sans votre consentement. C'est illégal, mais vous ne pouvez pas agir contre des fournisseurs comme Google ou Meta, car ils laissent au client le soin de se conformer à la loi sur la protection des données. Vous ne pouvez pas non plus intenter une action contre tous les sites web qui vous pistent - ils sont tout simplement trop nombreux !
La**"doctrine Criteo" offre une protection contre cet échec**. Elle reconnaît que le GDPR permet aux entreprises de répartir les responsabilités comme elles l'entendent, mais considère également que la répartition des responsabilités doit protéger efficacement les droits relatifs aux données.
Les responsables conjoints du traitement peuvent donc répartir les responsabilités comme ils l'entendent, mais la conséquence de ce pouvoir discrétionnaire est qu'ils doivent trouver une répartition qui protège les droits à la vie privée - ou, à tout le moins, qui n'échoue pas de manière spectaculaire et systématique à le faire. C'est là que les régulateurs tracent une ligne de démarcation et tiennent les deux contrôleurs pour responsables des violations, indépendamment de ce que disent leurs documents juridiques.
Qu'est-ce que cela signifie pour l'analyse web ?
La "doctrine Criteo" a de nombreuses conséquences importantes, dont certaines sont difficiles à prévoir. En ce qui concerne la publicité et l'analyse du web en particulier, la doctrine signifie que les fournisseurs doivent se préoccuper davantage de la manière dont leurs outils sont utilisés dans la pratique et prendre des mesures pour lutter contre les abus.
C'est ce que les régulateurs ont exigé de Criteo : l'entreprise a été sommée de prendre des mesures pour s'assurer qu'un consentement valide a été recueilli, plutôt que de prendre la promesse du petit doigt du client pour argent comptant. En d'autres termes, Criteo a été invitée à mieux contrôler ses partenaires qu'elle ne le faisait déjà (ce qui n'est pas une barre très haute).
L'audit de conformité semble compliqué, et c'est généralement le cas. Mais en ce qui concerne l'utilisation des cookies, des contrôles automatisés effectués par les fournisseurs pourraient permettre d'éliminer un grand nombre d'infractions liées aux cookies. Certes, les contrôles automatisés ne permettront pas de repérer toutes les infractions, mais ils constitueront tout de même un bon début et montreront que les fournisseurs prennent leurs responsabilités au sérieux.
En plus d'un meilleur audit, les fournisseurs devraient documenter le consentement de l'utilisateur. C'est plus difficile qu'il n'y paraît : documenter le consentement peut être assez compliqué, surtout lorsque les flux de données sont déjà opérationnels et qu'ils traitent d'énormes quantités de données personnelles.
Mais le sens général de la directive Criteo importe plus que les obligations spécifiques imposées. Les fournisseurs moins respectueux de la vie privée, tels que Google Analytics et Meta, devraient prendre des mesures pour s'assurer que leurs services ne font pas l'objet d'abus systématiques (comme c'est le cas aujourd'hui). S'ils ne le font pas, les défenseurs de la vie privée des consommateurs pourront les tenir pour responsables en agissant directement contre eux au lieu d'être obligés de jouer au chat et à la souris avec l'ensemble de l'internet.
Le mot de la fin
Il convient de souligner une fois de plus que la "doctrine Criteo" a été confirmée par deux régulateurs jusqu'à présent : la CNIL et les tribunaux néerlandais. Il reste à voir si elle prendra de l'ampleur.
Il convient également de noter que la doctrine n'est pas sans inconvénients. Suivre et documenter le consentement n'est pas une tâche facile pour un responsable du traitement des données, en particulier lorsque les systèmes qui traitent les données sont déjà opérationnels. La doctrine alourdirait le fardeau de la conformité pour de nombreuses entreprises, y compris celles qui traitent les données de manière appropriée et non invasive.
Nous pensons que les avantages l'emportent sur les inconvénients. L'externalisation de la conformité à des clients individuels permet à de nombreux services portant atteinte à la vie privée de se protéger derrière leurs conditions d'utilisation ou leurs accords de contrôle conjoint. La "doctrine Criteo" pourrait être l'outil dont nous avons besoin pour les obliger à rendre des comptes dans le cadre de notre lutte pour un meilleur Internet.
Chez Simple Analytics, nous n'aimons pas le pistage. Nous pensons qu'il est contraire à l'éthique et invasif, et qu'il fait de l'internet un endroit pire que les autres. C'est pourquoi nous avons créé Simple Analytics : un service d'analyse web 100% sans suivi qui ne collecte pas la moindre donnée personnelle ! Si cela vous convient, n'hésitez pas à nous essayer!