Archives par mot-clé : Cookies

Google (Chrome), Firefox (Mozilla) et Safari (Apple) bannissent les cookies ; Criteo assure s’adapter

Publié le par

L’icône de la French Tech, Criteo, leader mondial du (re)ciblage publicitaire en ligne tente de rassurer sur sa capacité d’adaptation. Remplaçant depuis trois mois le fondateur Jean-Baptiste Rudelle à la direction générale de l’entreprise basée à Paris, Megan Clarken tente de rassurer les investisseurs.

Alors que les cookies – ces petits traceurs publicitaires déposés dans les terminaux des internautes pour mieux les cibler – ne sont plus en odeur de sainteté sur Internet, l’icône de la French Tech de la publicité en ligne, Criteo, a décidé de s’en détourner elle aussi. « Nous croyons que l’industrie aurait dû remplacer depuis longtemps les cookies utilisés pour personnaliser le ciblage publicitaire sur le Web, et nous nous réjouissons des efforts concertés pour aller au-delà de ces cookies de manière sécurisée », vient même de déclarer Megan Clarken (photo), directrice générale de Criteo depuis trois mois.

« Nous avons déjà des solutions » (dixit la CEO)
Cette Nouvelle-zélandaise, basée à Paris au coté du président du conseil d’administration de Criteo et fondateur Jean-Baptiste Rudelle, a passé quinze ans chez le géant américain du marketing Nielsen (1) où elle y est entrée en Australie. Megan Clarken prend les rênes de la Big Tech française (plus de 2,2 milliards de chiffre d’affaires en 2019 pour un bénéfice net de 96 millions de dollars) au moment où trois des principaux navigateurs web – Chrome de Google, Firefox de Mozilla et Safari d’Apple – ont décidé d’abandonner les cookies tiers. Mais la nouvelle CEO veut rester confiante quant à l’avenir de l’entreprise. « Nous sommes très bien positionnés pour ce changement. Toutes nos solutions sont développées sur le mode privacy-by-designet nous opérons strictement sous le consentement de l’utilisateur. Nous en sommes fiers », a-t-elle assuré lors d’une conférence téléphonique le 11 février dernier, à l’occasion de la présentation des résultats annuels.
« Nous sommes convaincus que les utilisateurs devraient également avoir un choix clair et individuel en ce qui concerne leur expérience publicitaire, que la publicité personnalisée apporte de multiples avantages à l’écosystème, y compris au niveau de l’utilisateur, et que les navigateurs ne devraient pas contrôler la portabilité des données », a ajouté la nouvelle patronne. Pour ne plus dépendre des cookies comme traceurs publicitaires et rassurer son avenir, Criteo affirme que près de la moitié de son activité est cookie-less. « Aujourd’hui, a précisé Megan Clarken, nous avons déjà des solutions grâce aux intégrations directes des éditeurs, nos solutions d’identification mobile, et le “retail media” (2) qui fonctionnent sans cookies ». Mais les investisseurs, eux, ne sont pas aussi confiants en l’avenir de Criteo. Certains d’entre eux voient dans la légère érosion historique du chiffre d’affaires (-1,7 %), à précisément 2,261 milliards de dollars en 2019, contre 2,300 milliards un an auparavant, le début de la fin pour Criteo. « Nous reconnaissons que pour les investisseurs, le sujet de l’identité plus large (3) peut sembler être une menace majeure pour nous, mais, pour être clair, nous ne voyons pas les choses de cette façon, s’est-elle inscrite en faux. Notre stratégie de résolution de l’identité, qui tire parti de nos actifs différenciés et prévoit quatre couches complémentaires, nous aidera à couvrir les 50 % restants (de nos activités) ».
Il y a un an, l’entreprise française avait déjà frôlé la catastrophe industrielle à la suite de changements technologiques opérés par Google et Facebook, Jean-Baptiste Rudelle ayant alors parlé de « choc exogène très violent » (4). Cotée au Nasdaq à New York depuis 2013, l’ex-licorne française a vu son cours de Bourse dégringoler à moins de 14 dollars l’action aujourd’hui (au 21-02-20), contre 54,80 dollars lors du pic de mai 2017. Sa capitalisation boursière est passée en-dessous de la barre du milliard de dollars à 868 millions de dollars – bien loin des plus de 2 milliards de mi-2014. Et ce, au moment où Google a annoncé le 14 janvier dernier sa décision de rendre « obsolètes » d’ici deux ans les cookies tiers pour les remplacer par une solution moins intrusive pour les utilisateurs, baptisée « Privacy Sandbox ». « Mais nous ne pouvons pas y arriver seuls, avait prévenu Justin Schuh, le directeur de Chrome Engineering chez Google, sur le blog « Chromium » du géant du Net (5). Et c’est pourquoi nous avons besoin de l’écosystème pour participer à ces propositions. Nous prévoyons de commencer les premiers essais initiaux d’ici la fin de cette année, en commençant par la mesure de la conversion et en poursuivant par la personnalisation ». Le premier des GAFAM se rend à l’évidence : les utilisateurs exigent une plus grande confidentialité, y compris la transparence, le choix et le contrôle sur la façon dont leurs données sont utilisées.

Craintes accrues des éditeurs et annonceurs
Aussi, l’écosystème du Web doit évoluer pour répondre à ces exigences croissantes de protection de la vie privée et des données personnelles. Certains navigateurs tels que Firefox ou Safari permettent le blocage des cookies tiers, lorsque ce ne sont pas des ad-blockers qui sont utilisés. La disparition annoncée des cookies fait encore plus frémir les éditeurs en ligne et les annonceurs, déjà très inquiets de l’entrée en vigueur de l’obligation de recueillir le consentement préalable des internautes avant de déposer ou pas les traceurs publicitaires. @

Charles de Laubier

Les internautes reprennent la main sur les cookies, mais les éditeurs de sites web se rebiffent

Publié le par

« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.

L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).

Le Conseil d’Etat saisi contre la Cnil
« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité », prévoit le considérant 32 du RGPD. De plus, l’utilisateur doit être informé de la durée de fonctionnement des cookies et de l’identité des tiers ayant accès à ses informations par ce biais. Et le RGPD précise qu’il en va ainsi « que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel ». Il s’agit de protéger chaque Européen connecté de toute ingérence dans sa vie privée, « notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu » (2).
Le Comité européen de la protection des données (CEPD), anciennement appelé groupe de travail « Article 29 » (G29) et réunissant les « Cnil » européennes, est le garant de cette bonne application par les différents Etats membres. D’autant que le projet de règlement européen « ePrivacy » (respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques), toujours en discussion au Parlement européen (3), ira dans le même sens concernant les cookies.
En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veille et contrôle au bon respect des consignes législative du RGPD par les éditeurs de sites web. Mais elle a décidé d’appliquer un moratoire, en fixant à début 2020 le moment de la publication de ses recommandations pour mettre en oeuvre les lignes directrices publiées le 19 juillet au Journal Officiel (4) – remplaçant ainsi les précédentes instructions datant de 2013. A ce délai s’ajoutent six mois de délai pour laisser le temps aux éditeurs en ligne de s’adapter et de se mettre en conformité, soit à partir de mi-2020, deux ans après l’entrée en vigueur du fameux RGPD (5). Or une douzaine de jours avant l’arrêt de la CJUE, Etienne Drouard (photo), avocat d’un groupement de neuf associations professionnelles (6), dont le Groupement des éditeurs de contenus et de services en ligne (Geste), déposait en France un recours devant le Conseil d’Etat contre les lignes directrices « cookies et autres traceurs » de la Cnil. Ces neuf associations professionnelles, représentatives de l’écosystème du Net français (éditeurs, régies publicitaires, Ad-tech, e-commerçants et annonceurs), contestent la manière dont la Cnil interprète le RGPD. Par exemple, cette dernière prévoit à l’article 2 de ses lignes directrices qu’« afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement » (7).
Les neuf plaignantes craignent « une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur ». Par ailleurs, pour Maître Drouard (cabinet K&L Gates), qui s’est exprimé chez nos confrères de Mind Media et de l’AFP, cette solution franco-française n’est pas prévue dans le RGPD qui ne prévoit pas tant d’informations à fournir aux utilisateurs. « La publicité sans cookies, ça n’existe pas », a-t-il lancé. A partir du 29 octobre, Libération va essayer de prouver le contraire.

Le moratoire « cookies » attaqué par LQDN
Quant au moratoire consenti par la Cnil aux éditeurs en ligne du temps pour avoir le temps de se mettre en conformité, il est attaqué dans un second recours déposé le 29 juillet devant le Conseil d’Etat par cette fois La Quadrature du Net, association française de défense des droits et libertés numériques, et Caliopen, autre association de l’Internet libre (à l’origine d’un projet soutenu par Gandi pour développer un agrégateur de correspondances privées provenant de messageries électroniques, réseaux sociaux ou de microblogging). Pour elles, il n’y a pas de temps à perdre pour assurer « la protection de nos libertés fondamentales ». L’arrêt est à venir. @

Charles de Laubier

Consentement des internautes : cookies et autres traceurs sont dans le viseur de la Cnil, Europe oblige

Publié le par

Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.

Consentement préalable aux cookies : la Cnilmet les éditeurs en ligne en infraction avec le RGPD

Publié le par

« Faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair », prévient le groupe des « Cnil » européennes (G29) dans ses lignes directrices sur le consentement préalable avant tout cookie. Pourtant, la France continue de tolérer cette pratique interdite.

« En poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour vous offrir une meilleure expérience utilisateur »… Autrement dit, en reprenant le modèle de bandeau d’information préalable recommandé par la Cnil elle-même (1) : «En poursuivant votre navigation, vous acceptez que des traceurs soient déposés dans votre terminal afin de vous proposer des publicités ciblées et adaptées à vos centres d’intérêts, et pour réaliser des statistiques de visites » (2).

Un « scroll », et c’est le « cookie » !
Quel internaute n’a pas été confronté à ce message intrusif lors de sa première visite sur un site web français ? Il suffit d’un « scroll », c’est-à-dire l’action de faire défiler le contenu à l’écran (3), pour que l’éditeur considère avoir obtenu ainsi le consentement de l’internaute – sur le smartphone, l’ordinateur ou la tablette duquel il se permettra de déposer des cookies. Ces traceurs, ou mouchards, sont de petits fichiers enregistreurs de tous les faits et gestes du visiteur lors de sa navigation sur le site web en question. Le problème est que ce type de « bandeau cookie » proposant un « soft » opt-in – situé entre l’opt-in (consentement préalable) et l’opt-out (consentement implicite) – n’est pas conforme au règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018. Le consentement préalable obligatoire (opt-in clair et net (4)) y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (5).
Or, justement, de l’avis même des « Cnil » européennes réunies au sein du groupe dit G29 qui le précise dans ses lignes directrices révisées le 10 avril 2018 sur le consentement à la lumière du RGPD, « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». Pour la simple raison, poursuit le G29, que « la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque » (6). Pourtant, malgré l’interdiction de cette pratique douteuse, les éditeurs de sites web et de presse en ligne continuent d’y recourir sans scrupule. Et ce, en France, avec l’aval de la Cnil qui va la considérer durant encore un an comme « acceptable » – dixit la Cnil le 28 juin (7). Sa présidente, Marie-Laure Denis (photo), a en effet profité de l’assemblée générale du Groupement des éditeurs de contenus et de services en ligne (Geste) – le 25 juin dernier – pour accorder aux éditeurs du Net un nouveau moratoire d’un an, soit jusqu’en juillet 2020. C’est donc après la publication de « nouvelles lignes directrices » – publication que la Cnil annonce pour juillet en vue de remplacer l’an prochain seulement en les abrogeant ses recommandations du 5 décembre 2013 parues au Journal Officiel (8) – que courra cette nouvelle « période transitoire » de douze mois pour laisser les médias « se mettre en conformité », a indiqué Marie-Laure Denis. La Cnil publiera « sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020 », mais n’exclue pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. La pratique dite du « cookies wall », forçant quelque peu le consentement de l’internaute, sera alors proscrite. Ce moratoire est une aubaine pour les éditeurs en ligne, qui doivent investir dans une Consent Management Platform (CMP) et qui craignent de voir bon nombre d’internautes refuser d’être « espionnés » à des fins publicitaires. « Pendant cette période de transition, explique le Geste qui rassemble de nombreux sites de presse en ligne (TF1.fr, Leparisien.fr, Lefigaro.fr, BFMtv.com, 20minutes.fr, Latribune.fr, Mediapart.fr, etc.), la poursuite de la navigation comme expression du consentement sera ainsi considérée comme acceptable. Sur cette question, la Cnil a récemment rappelé que l’action positive, comme le scroll et/ou le clic sur un élément de la page visitée après un bandeau d’information, suffit à recueillir valablement un consentement internaute ».

Mieux que le RGPD, l’ePrivacy en 2020
Cette position de la Cnil est propre à la France en Europe, qui prend donc le risque de permettre aux éditeurs de jouer les prolongations jusqu’à mi-2020 avec leurs « bandeaux cookies » non conformes au RGPD, alors que se profile déjà pour l’an prochain un autre règlement européen encore plus redouté par les éditeurs, celui appelé « ePrivacy » (9) (*) (**) (***), sur la protection de la vie privée et des données personnelles. @

Charles de Laubier

Publicité en ligne : les GAFA américains n’ont pas réussi à tuer l’ex-licorne française Criteo

Publié le par

Alors qu’il sera redevable de la taxe « GAFA » de 3 % applicable dès cette année,
le spécialiste mondial du (re)ciblage publicitaire en ligne – le français Criteo – a frôlé la catastrophe industrielle après avoir été déstabilisé par Apple et Facebook. Son chiffre d’affaires a stagné en 2018, à 2,3 milliards de dollars. Et son résultat net a reculé, à 96 millions de dollars.

Impactée coup sur coup, d’une année à l’autre, par deux décisions successives prises de façon unilatérale par les américains Apple et Facebook, l’ex-licorne française Criteo – valorisée 1,8 milliard au Nasdaq (1) où elle est cotée depuis 2013 – aurait pu mettre la clé sous la porte si elle n’avait pas « pivoté » à temps vers le ciblage mobile (2). Son PDG cofondateur Jean-Baptiste Rudelle (photo) a même parlé de « choc exogène très violent ».

Bataille larvée entre App et Web
La première déstabilisation de l’écosystème de Criteo – vulnérable aux choix technologiques des GAFA – est venue en décembre 2017 d’Apple, qui a fait des changements dans son système d’exploitation et son navigateur Safari – à partir de
sa version 11. Le but de la marque à la pomme : rendre plus difficile et limité le pistage des utilisateurs par des cookies – ces petits fichiers de suivi logé dans le terminal de
ce dernier à des fins de ciblage publicitaire. Apple interdit depuis toute utilisation de cookies plus de vingt-quatre heures, conformément à son Intelligent Tracking Prevention (ITP). Et au bout de trente jours, ils sont automatiquement supprimés !
Ces changements sont intervenus avec le système d’exploitation iOS 11.2 pour mobile. « Maintenant on comprend mieux pourquoi Apple a fait ça : ils veulent basculer un maximum les gens dans le monde des “app” [applications mobile, ndlr], qu’ils contrôlent mieux que le monde des navigateurs [sur le Web] », avait expliqué Jean- Baptiste Rudelle lors d’une conférence téléphonique avec des analystes financiers le 1er août 2018.
Apple, de son côté, justifie cette restriction pour éviter les pratiques dites de retargeting jugées abusives. Ces reciblages publicitaires – grande spécialité de Criteo – consistent à recourir à des cookies pour traquer les internautes dans leur navigation sur différents sites web – notamment de e-commerce – afin de leur envoyer ensuite des publicités digitales (bannières ou vidéos) en rapport avec leurs centres d’intérêt détectés. Le retargeting peut aussi se faire par mots-clés sur les liens commerciaux affichés par
les moteurs de recherche. Google a d’ailleurs dû mettre en place un nouveau cookie
« Google Analytics » et une nouvelle balise de conversion « AdWords » spécifiques
à Safari pour être conforme à l’ITP. Reste à savoir si Google limitera à son tour les cookies sur son navigateur Google Chrome (3). La marque à la pomme a ainsi souhaité reprendre la main sur les annonceurs publicitaires et les prestataires techniques comme Criteo qui font du cross-tracking (suivi d’un internaute d’un site web à l’autre
à l’insu de ce dernier et souvent au mépris du respect de sa vie privée). La firme de Cupertino mise surtout sur le monde fermé des « apps » de son App Store qu’elle contrôle, contrairement au Web ouvert. Résultat, dès mi-décembre 2017, Criteo a vu son cours de Bourse au Nasdaq s’effondrer de près de 30 % à l’annonce de l’ITP d’Apple. La pépite de la « French Tech » avait alors dû revoir à la baisse ses prévisions de croissance et d’objectifs de chiffre d’affaires, tout en rappelant Jean-Baptiste Rudelle à la rescousse en avril 2018 (après que celui-ci se soit mis en retrait en 2016). La vulnérabilité de Criteo était déjà apparue face aux logiciels anti-pub, les ad-blocks (4). Cette fois, les GAFA mettent le français à rude épreuve. Après Apple, ce fut au tour
de Facebook de s’en prendre l’an dernier à l’ex-licorne française en mettant un terme au partenariat avec elle à partir de juillet 2018. La perte de l’accréditation « Facebook Marketing Partner » empêche Criteo d’accéder aux outils de ciblage publicitaire proposés en version bêta par le premier réseau social mondial. Cette rétrogradation
fut révélée par Goldman Sachs début septembre, entraînant un recul jusqu’à 16 % de l’action Criteo en Bourse. Selon la banque américaine, le géant français du retargeting a été décertifié parce que « son intégration personnalisée ne correspondait plus aux priorités de Facebook ». Une autre analyse financière affirme que la firme de Mark Zuckerberg a décidé de pousser ses propres solutions de reciblage publicitaire et d’avoir des relations directes avec ses clients. C’est désormais plus difficile pour Criteo d’acheter auprès de Facebook des inventaires publicitaires.

Entre la fraude aux clics et le RGPD
Aux Etats-Unis, il se dit même que Facebook a eu des doutes sur la viabilité de Criteo après que Gotham City Research ait évalué à la moitié du chiffre d’affaires du français la part provenant de « sources douteuses » (clics frauduleux, robots virtuels à clics, clickbots, …) ou de sites web de « faible qualité » (5) (*) (**). A cela s’ajoutent les règles contraignantes depuis mai 2018 du RGDP en Europe, avec le consentement préalable des internautes avant le dépôt de cookies. Qu’il est loin le temps où Amazon (en 2012) et Publicis (en 2014) voulaient racheter Criteo… @

Charles de Laubier