Archives par mot-clé : Cookies

Défaut de consentement préalable des internautes avant tout cookie : la Cnilmet en demeure et va sanctionner

Publié le par

La Cnil multiplie ses contrôles auprès des sites web, régies publicitaires et réseaux sociaux pour épingler ceux – une cinquantaine d’éditeurs à ce jour –
qui déposent des cookies sans en informer les internautes ni recueillir leur consentement préalable. Après les mises en demeure, les sanctions financières vont tomber.

Selon nos informations, la Commission nationale de l’informatique et des libertés (Cnil) s’apprête pour la première fois à sanctionner des éditeurs de sites web, de presse en ligne et de réseaux sociaux, ainsi que des régies de publicité sur Internet, pour non respect de la législation sur les cookies. Sa prochaine formation restreinte composée de six membres et seule habilitée à prononcer des sanctions se réunira le 21 avril prochain. Les condamnations financières peuvent atteindre un montant maximum de 150.000 euros, et, en cas de récidive, portées jusqu’à 300.000 euros (1).
Certaines sanctions pourraient être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé
– et ce, aux frais de l’éditeur sanctionné. L’autorité reproche aux éditeurs Internet de
ne pas recueillir le consentement préalable de chaque internaute ou mobinaute avant de déposer sur son ordinateur ou son mobile un cookie ou un traceur. Après plus de 500 contrôles sur place et/ou en ligne menés depuis la fin du troisième trimestre 2014 auprès des éditeurs de services et de presse en ligne, et malgré quelque 50 mises
en demeure notifiées depuis juin 2015, les premières sanctions vont tomber. « Des échanges ont été organisés avec les éditeurs de site de presse et se poursuivent encore actuellement », nous a répondu une porte-parole de la Cnil que préside Isabelle Falque-Pierrotin (photo).

Des « mouchards » déposés à l’insu des internautes
La Cnil estime que ces « récidivistes » sont en infraction au regard de l’ordonnance du 24 août 2011, laquelle avait modifié la loi « Informatique et Libertés » de 1978. Malgré le rappel à la loi par délibération de la Cnil (2) du 5 décembre 2013 (3), il est reproché aux éditeurs en ligne de ne pas informer suffisamment les internautes avant le dépôt de ces petits mouchards électroniques logés dans leurs terminaux (ordinateur, smartphone ou tablette) et surtout de ne pas recueillir leur consentement avant de procéder à leur installation. Lorsque ce n’est pas l’absence d’opt-out permettant au visiteur de s’opposer au dépôt de traceurs chargés d’espionner sa navigation, comme avec le cookie « Datr » de Facebook (mis en demeure par la Cnil), voire à la collecte de données sur son terminal.

Bras de fer entre les éditeurs et la Cnil
Les cookies ou trackers servent aux éditeurs de service, régies publicitaires ou encore réseaux sociaux à analyser la navigation personnelle de chaque internaute ou mobinaute, ses déplacements, ses habitudes de consultation ou de consommation, afin de lui proposer des publicités ciblées ou des services personnalisés. La quasi totalité du marché de la publicité en ligne – 3,2 milliards d’euros de chiffre d’affaires en 2015 en France (4) – s’appuie sur l’existence de ces petits traceurs indiscrets. Contacté par Edition Multimédi@, le secrétaire général du Groupement des éditeurs de contenus et de services en ligne (Geste), Emmanuel Parody, indique que « le point délicat concerne l’interprétation de la Cnil sur la notion de consentement au moment du dépôt du cookie de première visite ». Et d’expliquer : « La Cnil souhaite qu’aucun cookie ne soit chargé tant que le visiteur n’a pas donné son consentement préalable. Nous sommes parvenus à faire valoir les exceptions pour certains cookies analytics (mesure d’audience), mais cette mesure est très compliquée à mettre en oeuvre et génère une perte de revenus ». Selon la DG du Geste, Laure de Lataillade, également jointe, les éditeurs ont calculé que l’application d’une telle mesure se traduirait par une baisse pouvant atteindre 20 % de leur chiffre d’affaires publicitaire. « Les éditeurs de sites web ont massivement déployé au cours des derniers mois le bandeau d’information. Ils s’efforcent par ailleurs de mettre en application toutes les autres obligations découlant de la recommandation et travaillent dessus avec leurs équipes et partenaires », plaide-t-elle. Selon nos informations, une douzaine de membres du Geste sont concernés par les mises en demeure de la Cnil et ses menaces de sanctions.
Ce groupement professionnel représente des éditeurs de presse tels que Le Figaro, Le Monde, La Croix, Le Nouvel Observateur, L’Equipe, La Tribune, Valeurs Actuelles, ainsi que TF1, M6, France Télévisions (France 2, France 3, …), Radio France (France Inter, France Info, …), Lagardère Active (Europe 1, Paris Match, JDD, …), Altice Media (Libération, L’Express, Stratégies, …), Mondadori, Prisma Media, Mediapart ou encore Skyrock. Le Geste n’est la seule organisation professionnelle à se rebiffer face aux exigences de la Cnil sur les cookies. Il y a aussi les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM). Tous ensemble, ils ont cosigné un courrier adressé récemment à la présidente de la Cnil pour dénoncer
l’« exception française » dont l’autorité fait preuve en menaçant de sanctions le fait
de déposer des cookies publicitaires sans le consentement préalable des utilisateurs. Ce qui serait, selon les éditeurs Internet, une application non fondée de la réglementation européenne en la matière. L’Allemagne, l’Italie, la Grande-Bretagne
ou encore l’Espagne n’ont pas, selon eux, une approche aussi « rigoriste » que celle
de la Cnil. « Dans aucun autre pays européen on ne rencontre cette interprétation extrême de la loi, ce qui crée une distorsion de concurrence dommageable », déplore Emmanuel Parody.
C’est une directive européenne « Service universel et droits des utilisateurs » (2009/136/CE) qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (5). En réponse, Isabelle Falque-Pierrotin a reçu le 25 mars dernier des éditeurs et leurs organisations, auxquels elle a promis d’étudier les pratiques de ses homologues européens.
Selon une source, la Cnil n’exclut pas de fixer un moratoire sur les mises en demeure liées aux dépôts de cookies sans consentement préalable. Ce moratoire devrait être soumis au vote lors d’une prochaine réunion plénière. Quant aux contrôles, ils vont se poursuivre. L’autorité sera notamment inflexible sur la durée de vie – limitée à treize mois – des cookies à partir de leur premier dépôt dans le terminal : toujours pour peu que l’utilisateur ait exprimé son consentement préalablement (6). La Cnil demande en outre aux professionnels de se mettre d’accord sur de bonnes pratiques dans le traitement des données à caractère personnel – quitte à labelliser « Données propres » les services en ligne s’y conformant.

Ne pas tomber sous le coup de la loi
Des outils existent comme ceux proposés par AT Internet, Piwik, Google Analytics, Smart AdServer, Integral AdScience ou encore DFP peuvent en outre aider les éditeurs à paramétrer leurs services en ligne et à être dispensés du recueil du consentement lorsqu’il s’agit de mesurer l’audience (exemption accordée par la Cnil). Quant à l’adresse IP, elle doit être supprimée ou anonymisée une fois la géolocalisation effectuée, afin d’éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations relevant de la vie privée de l’utilisateur. @

Charles de Laubier

Criteo, l’ex-licorne française cotée au Nasdaq, se sent vulnérable face aux logiciels antipubs (ad-blocks)

Publié le par

C’est la bête noire de Jean-Baptiste Rudelle, cofondateur et PDG de Criteo,
start-up française spécialisée dans la publicité ciblée sur Internet. Les ad-blocks, ces outils qui permettent aux internautes de bloquer les bannières et vidéos publicitaires, pourraient mettre en péril ses activités très lucratives.

Dix ans après sa création, la société française Criteo est une star
à Wall Street. Ses 745 millions d’euros de chiffre d’affaires générés en 2014 et sa rentabilité en croissance continue à 34,3 millions d’euros de bénéfice net l’an dernier font l’admiration des Américains et des Européens, autant des analystes financiers que des entrepreneurs. La « French Tech » promue par les pouvoirs publics de l’Hexagone n’est pas peu fière de compter parmi ses start-up
un tel fleuron.
Son cofondateur (1), Jean-Baptiste Rudelle (photo), qui en est le PDG et le quatrième plus gros actionnaire avec 6,4 % du capital (2), est sous le feu des projecteurs. Son livre intitulé « On m’avait dit que c’était impossible. Le manifeste du fondateur de Criteo » vient de paraître, début octobre, chez Stock. Il y fait la promotion des start-up françaises et essaie de communiquer aux lecteurs l’envie de créer leur entreprise et la culture de l’échec, sans tomber dans le « pessimisme masochiste » lorsqu’il s’agit d’entreprendre en France – « petit paradis fiscal qui s’ignore » ! Jean-Baptiste Rudelle
a conservé son siège social à Paris (rue Blanche) mais il a cependant décidé en 2008 de s’installer avec sa famille en Californie, à Palo Alto, le berceau de la Silicon Valley, pour conquérir l’Amérique.

Le chiffre d’affaire de Criteo va dépasser le milliard
Mais du haut de ses dix ans, sa société Criteo aura beau s’approcher d’une valorisation boursière de 2,5 milliards de dollars et dépasser allègrement cette année le milliard de dollars de chiffre d’affaires, et même 1milliard en euros (dont entre 525 et 530 millions reversés aux partenaires), cette ex-licorne – puisqu’elle est cotée en Bourse depuis deux ans maintenant – n’en est pas moins vulnérable au regard de son activité mondiale de ciblage publicitaire sur Internet et les mobiles. En effet, grâce à ses propres algorithmes prédictifs, l’icône française du Net achète aux médias et revend aux annonceurs – en quelques millisecondes – des emplacements publicitaires en
ligne dont les bannières s’affichent sur tous les terminaux (ordinateur, smartphones, tablettes, …) des internautes et mobinautes « ultra ciblés ». La plateforme de publicité programmatique est ainsi présente dans 85 pays et compte 27 bureaux à travers le monde.

Blocage d’e-pub et cookies supprimés
Or, de par cette activité qui fait son coeur de métier et sa raison d’exister, Criteo est justement un nouveau géant du numérique aux pieds d’argile. « En cas de résistance des consommateurs envers la collecte et le partage des données utilisées pour diffuser les publicités ciblées, en cas d’accroissement réglementaire ou juridique de la visibilité du consentement (des utilisateurs) ou des mécanismes de “Do Not Track”, et/ou en cas de développement de nouvelles technologies ayant un impact sur notre capacité à collecter les données, tout ceci détériorera substantiellement les résultats de nos activités », prévient en effet la direction de Criteo dans la partie « Facteurs de risques » de son rapport annuel déposé chez le gendarme boursier américain, la SEC (3), au printemps dernier. Et d’ajouter que « certains navigateurs web, tels que Safari [développé par Apple, mais aussi d’autres comme Firefox de Mozilla, ndlr], bloquent déjà ou prévoient de bloquer par défaut tout ou partie des cookies ». Apparus pour
la première fois il y a vingt ans, ces petits fichiers espions appelés « cookies » – et déposés discrètement dans le terminal de l’utilisateur – constituent en fait le fond
de commerce publicitaire de Criteo (« Je prédis », en ancien grec).

En bloquant ou en refusant tous ces « mouchards », à l’aide de l’option de blocage du navigateur ou d’un logiciel de ad-blocking (de type Ad-Block Plus), c’est tout le modèle économique de l’icône de la « French Tech » qui risque de s’effondrer comme un château de cartes. « Utilisant des cookies et des technologies de tracking similaires, nous collectons l’information sur l’interaction des utilisateurs avec les sites web et les applications mobiles des publicitaires et des éditeurs », explique Criteo.
Lorsque vous faites par exemple un achat sur Internet, il y a de fortes chances que l’entreprise de Jean-Baptiste Rudelle vous « espionne » – en collectant à votre insu
des données vous concernant – pour afficher ensuite sur votre écran des publicités
en rapport avec ce que vous avez choisi en ligne. Dans son livre (p.103), Jean-Baptiste Rudelle assure que ces données sont « anonymes ». En Europe, où Criteo réalise encore la majeure partie de son chiffre d’affaires, la Commission européenne a justement prévu de durcir la réglementation sur la protection des données et de la
vie privée. Le texte en cours d’examen, qui devrait être adopté d’ici la fin de l’année, compte obliger les éditeurs de sites web et d’applications mobiles à obtenir le consentement préalable des utilisateurs et à les informer sur l’utilisation de leurs données. Sans attendre, Criteo tente de limiter la casse en précisant utiliser plutôt
des cookies de « premier niveau » (first-party) – moins supprimés par les utilisateurs
de leur navigateur –, au lieu des cookies de « tierce partie » (third party) beaucoup plus éradiqués (4). Pour la simple raison qu’il est difficile de poursuivre la navigation sur un site web si l’on n’accepte pas ces cookies de premier niveau. Cependant, Criteo n’est pas sûr que cela soit suffisant : « Il n’y a pas de certitude que les régulateurs ne contesteront pas la transparence de [notre] solution ou que les éditeurs de navigateurs ne bloqueront pas techniquement [notre] solution. Si le lancement de notre solution n’est pas un succès, nous pourrions être empêché de diffuser les publicités auprès des utilisateurs qui utilisent des navigateurs bloquant les cookies de tierce partie ». Et Criteo de mettre en garde investisseurs et actionnaires : « Si nous sommes bloqués pour servir des publicités à une partie significative d’internautes, notre acticité pourrait en souffrir et nos résultats opérationnels pourraient être mis à mal ».

Ainsi, la pérennité de la start-up publicitaire dépend grandement du degré de tolérance et d’acceptation des utilisateurs à la publicité en ligne « ultra ciblée » (dixit Jean- Baptiste Rudelle dans son livre) qui est de plus en plus intrusive et indiscrète. Si l’usage des ad-blockers et des opt-out of tracking – de type Do Not Track (DNT) en cours d’adoption au sein du W3C (5) (*) – se généralisait, cela pourrait être fatal au business model publicitaire et programmatique de Criteo. D’autant que l’Europe n’est pas la seule à prévoir des restrictions sur le dépôt des cookies et l’exploitation des données personnes, la Cnil en France étant très active sur ce point (6). Les Etats-Unis y songent aussi : des amendements ont été déposés devant le Congrès américain, et la Californie est à l’avant-garde du DNT. « N’importe quelle perception de nos pratiques ou produits comme une atteinte à la vie privée (…) peut nous soumettre à la critique publique,
à des actions collectives privées [classe action], à une mauvaise réputation ou des plaintes par des régulateurs, ce qui pourrait perturber notre activité et nous exposer
à un handicap accru », met encore en garde Criteo qui emploie 1.300 employés, dont les deux tiers sont en Europe (région EMEA).

Millions d’adeptes et milliards de pertes
Selon une étude d’Adobe et de PageFair publiée en août, plus de 198 millions d’utilisateurs dans le monde – dont 77 millions en Europe – ont déjà bloqué les e-pubs à partir de leur navigateur ou de leur smartphone. Cela devrait provoquer sur l’année 2015 une perte cumulée mondiale de 22,8 milliards de dollars pour les éditeurs et les annonceurs, et de 41 milliards de dollars prévus en 2016. @

Charles de Laubier

Adblockers : quand la Cnil conseillait de les utiliser…

Publié le par

En fait. Le 16 décembre prochain, cela fera un an que la Commission nationale
de l’informatique et des libertés (Cnil) a publié ses recommandations sur les cookies. Elle conseillait notamment aux internautes de « bloquer toutes les publicités avec un bloqueur de publicité (adblocker) ». Ce conseil a disparu…

En clair. La Cnil conseille aux internautes l’utilisation de adblockers, ces logiciels qui bloquent la publicité en ligne, au grand dam des publicitaires, des annonceurs et des éditeurs de sites web. Mais selon nos constatations, le site web de la Cnil ne développe plus ce conseil, qui a été supprimé – bien que le libellé y soit encore : « Conseil n°6 : comment bloquer toutes les publicités avec un bloqueur de publicité (adblocker) ».
Ce conseil en faveur des adblockers avait été publié le 16 décembre 2013 à la suite de la délibération sur les cookies, laquelle ne parle cependant pas de logiciel de blocage publicitaire ni de adblockers, mais seulement de l’option « Do Not Track » (1) proposée par certains navigateurs web. Nous avons voulu savoir pourquoi auprès de la Cnil, sans résultat.
L’explication est sans doute à aller chercher du côté de l’Union française du marketing direct et digital (UFMD) qui a adressé cette année un courrier à la Cnil pour regretter ce conseil prodigué aux internautes et par la même occasion lui « rappeler l’utilité de la publicité dans le développement de l’économie numérique ». L’UFMD, qui regroupe plusieurs organisations de la publicité ou du e-commerce (UDA, AACC, Fevad, SNCD, IAB France, SRI, MMA, ARPP, …), aurait donc eu gain de cause auprès de la Cnil.
Les membres de l’UFMD font par exemple savoir à la Cnil que le bloqueur Adblock Plus n’est pas neutre : les sites web qui le paient – Google en ferait partie – verraient les publicités d’afficher (2). Le Syndicat des régies Internet (SRI), l’Union des annonceurs (UDA), l’IAB, l’Udecam, et le Groupement des éditeurs de contenus et de services en ligne (Geste) ont constitué un groupe de travail pour trouver des alternatives. Pour l’heure, entre 15 % et 30 % des « impressions » (affichage d’e-pubs) sont bloquées.

Cookies : le consentement préalable inquiète Nick Leeder, le DG de Google France

Publié le par

En fait. Le 28 octobre, Nick Leeder, DG de Google France, était parmi les invités de l’Association des journalistes économiques et financiers (AJEF). EM@ en a profité pour lui demander si le projet européen de « consentement préalable obligatoire » pour les cookies l’inquiétait pour l’avenir de la pub en ligne.

Nick LeederEn clair. « C’est une bonne question. Cela peut impacter le business de Google, mais cela va nous toucher beaucoup moins que bien d’autres acteurs », nous a répondu Nick Leeder (photo), le DG de Google France depuis avril 2013.
« Je pense que cela ne va pas vraiment impacter l’activité de moteur de recherche de Google, le search. Mais cela peut toucher beaucoup plus les autres, par exemple les sites web de journaux qui utilisent les cookies pour mieux améliorer leur niveau de monétisation : tout ce qui est publicité display [bannières notamment, ndlr] peut être très impacté », a-t-il prévenu.

Le géant américain Google s’adapte de plus en plus à l’Union européenne, de gré ou de force

Publié le par

Droit à l’oubli, protection des données, respect de la vie privée, concurrence sur son moteur de recherche, fiscalité numérique, investissement dans la culture, … Plus de quinze ans après sa création aux Etats-Unis, Google s’européanise – volontairement ou par obligation – chaque jour un peu plus.

Par Charles de Laubier

Carlo d'Asaro BiondoIl ne se passe plus une semaine sans que Google ne défraie la chronique européenne, souvent sur des sujets de fond, parfois sensibles. Bien que disposant de longue date d’un siège européen
à Dublin (Irlande) et ayant parmi ses dirigeants des Européens – comme depuis près de cinq ans maintenant le Franco-italien Carlo d’Asaro Biondo (photo), patron de Google pour le Sud et l’Est de l’Europe, le Moyen-Orient et l’Afrique (Seemea), basé et habitant à Paris –, ces « affaires » européanisent encore un peu plus chaque fois le géant du Net américain.