Archives par mot-clé : RGPD

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

Publié le par

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @

Pourquoi Orange, Deutsche Telekom, Telefónica et Vodafone lancent leur adtech Utiq en Europe

Publié le par

Lancée le 10 février après avoir obtenu le même jour le feu vert de la Commission européenne qui n’y voit « aucun problème de concurrence », la co-entreprise Utiq d’Orange, Deutsche Telekom, Telefónica et Vodafone cherche à obtenir le consentement publicitaire des mobinautes.

Les cookies sont morts, vive l’identifiant mobile ? Les géants du Net avaient imposé le dépôt de cookies publicitaires sur les terminaux pour traquer les internautes sur le Web et les mobiles. Des opérateurs télécoms pensent avoir trouvé l’alternative aux cookies, voués à disparaître, avec un identifiant numérique associé à l’adresse IP de chaque mobinaute (mais pas à sa carte SIM). Le consentement préalable et obligatoire des utilisateurs, avant de leur envoyer des publicités ciblées, sera recueilli par les opérateurs télécoms.

Identifiant mobile publicitaire
Basée en Belgique, à Bruxelles, la coentreprise Utiq – détenue à parts égales (25 % du capital) par ses cofondateurs Deutsche Telekom, Orange, Telefónica et Vodafone (initiateur du projet) – veut être un tiers de confiance dans la publicité numérique en Europe. La plateforme Utiq, ouverte « à tous les autres opérateurs télécoms européens », se veut aussi exemplaire dans la protection des données, au regard de la législation applicable par les Vingt-sept à travers le règlement général RGPD et la directive ePrivacy.
L’adtech des « telcos » permet d’obtenir ou pas de chaque abonné son consentement explicite (opt-in), condition sine qua non pour les marques de faire de la publicité ciblée sur les sites web et dans les applications mobiles (in-app). Utiq sonne d’ailleurs « you » (vous) et « tick » (cocher). « La seule donnée partagée est un jeton numérique [token, ndlr] pseudo-anonymisé et non réversible. Les consommateurs sont libres de donner ou de refuser leur consentement en un seul clic, ainsi que de révoquer tout autre consentement préalablement donné », assure la coentreprise dirigée par Marc Bresseel (photo de gauche), un ancien IBMeur ayant passé ensuite quinze ans chez Microsoft Advertising, suivis de moins de deux ans chez Interpublic (IPG Mediabrands), quatrième groupe mondial de publicité. Après des tests menés sous son ex-nom « Trust PID » durant des mois en Allemagne (avec Axel Springer, RTL et IQ Digital) et en Espagne, Utiq a créé fin mai sa troisième filiale, cette fois en France, basée à Boulogne-Billancourt et dirigée par Sophie Poncin (photo de droite). Contactée par Edition Multimédi@, celle-ci nous indique avoir démissionné de chez Orange, où elle a passé quinze ans, notamment en tant que directrice déléguée d’Orange Advertising, après avoir été moins de deux ans chez Google, et après huit ans chez France Télévisions Publicité (1). Des tests en France avec des marques et des médias auront lieu en juillet et en septembre, avec Orange, Bouygues Telecom et SFR, en attendant Free. L’Italie et, en dehors de l’Union européenne, le RoyaumeUni ont aussi leur filiale Utiq. D’autres pays européens suivront à partir de 2024. « Utiq est une initiative paneuropéenne visant à accompagner notre secteur vers plus de responsabilité, par le biais d’un consentement qui soit volontaire, clair et informé », a déclaré Marc Bresseel le 6 juin. Interrogé sur une éventuelle introduction en Bourse, il nous répond : « Il n’y a aucun plan en ce moment de faire une IPO [Initial Public Offering]. Il faut vraiment lancer le service, l’étendre au reste de l’Europe. Après, les actionnaires décideront de la stratégie d’investissement ».
Cette « solution mutualisée multi-opérateurs de publicité digitale et de marketing digital » permet aux « telcos » de tenter de reprendre la main sur le marché de la publicité numérique dominé par Google et Facebook. Utiq a noué un partenariat européen exclusif avec la société danoise Adform, spécialiste de la publicité programmatique. Il s’agit d’une plateforme d’intermédiation publicitaire dite DSP (Demand Side Platform) pour l’achat d’espaces publicitaires par les annonceurs et agences de publicité (2). « Les annonceurs peuvent désormais s’engager sereinement dans une stratégie cookieless [sans cookies tiers, ndlr], tout en ayant la certitude de bénéficier des normes européennes les plus rigoureuses en matière de gestion du consentement et de traitement des données personnelles », explique Alexandra Jarry-Bourne, vice-présidente chez Adform.

Reste convaincre les médias en ligne
Pour l’heure, l’accueil d’Utiq de la part d’éditeurs et de médias semble plutôt timoré, comme l’a révélé mi-juin Le JDNet. Certains sont « sceptiques » sur le double opt-in (consentement Utiq avec logo de l’opérateur télécoms, puis consentement de l’éditeur si ce n’est pas déjà fait). « Cela va augmenter mon taux de rebond [visiteurs quittant aussitôt le site web, ndlr] », craint un acteur sous couvert d’anonymat. Un autre se demande pourquoi une exclusivité avec une seule plateforme d’achat d’espace (Adform). Audelà de l’« opacité » (3), une inconnue demeure : quelle commission vont prendre les opérateurs télécoms ? Sophie Poncin a tenté de rassurer (4), sans donner de tarifs, ni à Edition Multimédi@. @

Charles de Laubier

Majorité numérique à 15 ans harmonisée en Europe ?

Publié le par

En fait. Le 28 juin, la proposition de loi « visant à instaurer une majorité numérique et à lutter contre la haine en ligne » a été définitivement adoptée en commission mixte paritaire par députés et sénateurs. L’âge de 15 ans pour les réseaux sociaux va-t-il être harmonisé au niveau des Vingt-sept ?

En clair. Maintenant que la loi française « Majorité numérique » a été adoptée le 28 juin, obligeant les réseaux sociaux et plateformes numériques à vérifier non seulement que leurs jeunes utilisateurs ont bien l’âge de 15 ans pour les utiliser, mais aussi à obtenir une autorisation parentale en dessous de cet âge-là, la Commission européenne devra donner son avis. Le gouvernement français lui a en effet notifié la proposition de loi telle qu’adoptée, afin d’avoir le feu de Bruxelles qui doit vérifier que cette législation est bien conforme au droit de l’Union européenne.
Une fois le blanc-seing de la Commission européenne obtenu, le gouvernement fixera par décret une date d’entrée en vigueur de la loi, « [date] qui ne peut être postérieure de plus de trois mois à la date de réception par le gouvernement de la réponse de la Commission européenne ». L’harmonisation de la majorité numérique en Europe ne semble pas prévue, le règlement général sur la protection des données (RGPD) laissant le loisir aux Etats membres de fixer cette majorité numérique entre 13 et 16 ans (1). Cette vérification de l’âge viendra donc s’ajouter à l’obtention du consentement de l’enfant « e-majeur » ou d’un parent pour le traitement des données à caractère personnel – cette obligation concernant la protection de la vie privée étant déjà en vigueur. Pour l’accès aux réseaux sociaux, ce n’est qu’à compter de la date de promulgation de la loi « Majorité numérique » que les plateformes numériques (YouTube, Instragram, WhatsApp, TikTok, Facebook, Google Actualités, …), ainsi que les sites pornographiques premiers visés (2), disposeront de deux ans pour vérifier l’âge de leurs utilisateurs. C’est le président de l’Arcom qui est chargé de veiller à ce que les plateformes numériques mettent en œuvre une « solution technique certifiée pour vérifier l’âge des utilisateurs finaux et l’autorisation de l’un des titulaires de l’autorité parentale de l’inscription des mineurs de moins de quinze ans ».
Au préalable, l’Arcom devra établir un « référentiel » validé par la Cnil (3), auquel les « solutions techniques » devront être conformes. Or la Cnil, qui a préconise depuis juin 2021 le mécanisme de « double anonymat » (4) préféré à la carte d’identité, n’a toujours pas rendu public le bilan du test mené par un laboratoire de l’Ecole polytechnique et le Pôle d’expertise de la régulation numérique (PEReN) de Bercy. @

L’Italie bouscule la France en interdisant ChatGPT

Publié le par

En fait. Le 31 mars, la « Cnil » italienne – la GPDP – a adopté une décision à l’encontre de la société américaine OpenAI, éditrice de l’intelligence artificielle ChatGPT, en interdisant temporairement ce robot conversationnel. En France, la Cnil a finalement reçu début avril deux plaintes contre cette IA.

En clair. Edition Multimédi@ relève que la Commission nationale de l’informatique et des libertés (Cnil) a eu – lors de sa séance plénière du 9 février – une démonstration de ChatGPT (1). Depuis, c’était « silence radio ». Jusqu’à cette décision du 31 mars dernier de son homologue italienne, la GPDP, interdisant dans la péninsule le robot conversationnel de la société californienne OpenAI, laquelle a jusqu’au 20 avril pour « se conformer à l’ordonnance, sinon une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total pourra être imposée » (2).
En France, la Cnil est donc sortie de son silence : « Sur les bases d’apprentissage et les IA génératives, l’objectif de la Cnil est de clarifier le cadre légal dans les prochains mois », a-t-elle indiqué le 1er avril à Marc Rees, journaliste juriste à L’Informé. L’autorité française de la protection des données lui a précisé ce jour-là qu’elle « n’a pas reçu de plainte » contre ChatGPT et n’a « pas de procédure similaire en cours » (3). Mais le 5 avril, deux premières plaintes contre OpenAI sont révélées (4). La Cnil dit « s’[être] rapprochée de son homologue italienne afin d’échanger sur les constats qui ont pu être faits ». Elle n’est bien sûr pas la seule, d’autant que toutes les « Cnil » des Vingt-sept sont compétentes pour « instruire » le cas ChatGPT. « OpenAI n’a pas d’établissement dans l’Union européenne ; donc le mécanisme du guichet unique ne lui est pas applicable. Il n’y a de ce fait pas d’autorité cheffe de file », indique à Edition Multimédi@ le Comité européen de la protection des données (EDPB) – réunissant à Bruxelles les « Cnil » des Vingt-sept sous la houlette de la Commission européenne. Il nous a répondu que son programme de travail 2023-2024 prévoit des « lignes directrices sur l’interaction entre le règlement sur l’IA [Artificial Intelligence Act, ndlr] et le RGPD [règlement général sur la protection des données] » (5).
L’AI Act devrait être voté d’ici fin avril par Parlement européen (6), d’après le commissaire européen au Marché intérieur, Thierry Breton, qui est intervenu le 3 avril sur Franceinfo. « Tout ce qui sera généré par l’IA devra obligatoirement être signalé comme étant fait par une intelligence artificielle », a-t-il prévenu. L’Europe, elle, n’a d’ailleurs pas de champion de l’IA générative. Une nouvelle colonisation numérique… @

L’adtech Criteo, toujours 3e éditeur de logiciels français, va réaliser la moitié de son activité sans cookies

Publié le par

Société française de ciblage publicitaire sur Internet, fondée en 2005 (à Paris) et cotée depuis dix ans au Nasdaq (à New-York), Criteo accélère dans le « retail media » (publicité « personnalisée » au plus près des consommateurs), mettant fin aux cookies. L’adtech parisienne pourrait être la cible d’un acquéreur.

(Privacy International, ayant porté plainte en 2018 contre l’adtech, indique que la Cnil a auditionné le 16 mars Criteo qui risque une amende de 60 millions d’euros)

Le « retail media » est la nouvelle planche de salut de Criteo, le spécialiste français de la publicité ciblée et boostée à l’intelligence artificielle. En exploitant les quantités de données transactionnelles et commerciales (1) des internautes, que les marques et annonceurs veulent attirer avec des promotions et fidéliser, Criteo s’affranchit de plus en plus des cookies (2). Et ce, depuis que Google et Apple ont décidé de bannir ces mouchards pour préserver la vie privée de leurs utilisateurs (3). Il s’agit pour l’adtech parisienne devenue internationale de passer du seul re-ciblage publicitaire (retargeting) – nécessitant le dépôt controversé de cookies dans le navigateur du visiteur de sites web ou d’applications mobiles – à des solutions non-reciblées autour de sa plateforme Commerce Media. « Au cours de l’exercice 2022, nos solutions non-retargeting représentaient déjà près de 37 % de l’ensemble de nos activités (…), dont 47 % au quatrième trimestre de 2022. Nous investissons dans la croissance de ces solutions non reciblées et nous nous attendons à ce qu’elles représentent près de 50 % de l’ensemble de nos activités en 2023, y compris l’intégration d’Iponweb », indique la société cotée à la Bourse de New-York depuis 2013, dans son rapport financier 2022 publié le 24 février dernier. Iponweb est une adtech russo-britannique rivale rachetée en août 2022 pour 250 millions de dollars à son fondateur russe Boris Mouzykantskii, devenu architecte en chef de Criteo. Dernière acquisition en date que l’adtech française a annoncée le 7 mars : l’australien Brandcrush, lui aussi spécialiste du retail media.

Le « retail media » sans cookies fait recette
Sorte de marketing-direct en ligne, le retail media consiste à faire de la publicité en ligne personnalisée – voire de l’ultra-personnalisation – au plus près de l’acte d’achat des consommateurs sur les sites ou applis de e-commerce ou en magasins connectés, chez le détaillant ou à proximité. Ce nouveau canal publicitaire en pleine croissance permet aux marques, commerçants et sites web (de e-commerce et de média) de stimuler les ventes de produits, de services ou d’applications auprès du client ciblé – appelé « shopper » – en fonction de ses intérêts, de ses goûts et de ses emplettes. Les plateformes de e-commerce, les boutiques en lignes et les hypermarchés (comme E.Leclerc, Auchan, Boulanger ou Fnac Darty, clients de Criteo en France) deviennent ainsi des « médias commerciaux », qui, grâce à des adtech comme l’icône de la French Tech, peuvent monétiser leur inventaire publicitaire et augmenter leurs revenus.

Transformation de Criteo, avant vente ?
Le groupe Criteo, dirigé depuis trois ans et demi par la Nouvelle-zélandaise Megan Clarken (photo de Une) basée à Paris (4), surfe ainsi sur ce marché prometteur du retail media au sens large, qui devrait atteindre un potentiel mondial de 290 milliards de dollars en dépenses publicitaires d’ici 2025 (5). Rien qu’en France, sur 2022, les recettes publicitaires du retail media ont atteint 887 millions d’euros (6). Avec un bond annuel de 30 %, le milliard devrait être dépassé cette année sur ce segment dynamique du marché français de la publicité en ligne. Criteo, qui revendique plus de 22.000 clients (marques, détaillants, …) dans le monde, dont 37 % venant d’agences (publicitaires, marketing, …), poursuit sa transformation engagée en 2018 (7).
Considéré encore l’an dernier comme le troisième éditeur de logiciels français (8) – derrière Dassault Systèmes et Ubisoft –, la Big Tech française a publié le 8 février ses résultats pour l’exercice 2022 : 2 milliards de dollars de chiffre d’affaires, en baisse de 11 % sur un an, pour un bénéfice net de 11 millions de dollars, en chute de 92 %. Entre la transformation de son modèle économique et le contexte économique international, Criteo traverse une passe difficile. Non seulement les solutions marketing classiques (notamment basées sur le retargeting et les cookies) ont vu leurs revenus baisser l’an dernier de -12 % à 1,7 milliard de dollars, mais aussi les solutions de retail marketing ont aussi reculé de -18 % à 202,3 millions de dollars. « Les revenus du retail media ont diminué de 21 % (…), en raison de l’incidence de la migration continue des clients vers la plateforme de la société [Commerce Media, ndlr] », explique la direction de Criteo dans son rapport d’activité.
En revanche, « la contribution du retail media [au résultat d’exploitation] a augmenté de 19 %, en raison de la vigueur soutenue du retail media onsite [à savoir les recettes publicitaires générées sur le propre site de e-commerce du commerçant détaillant, par opposition à l’”Internet ouvert” ou offsite, ndlr], de l’intégration de nouveaux clients et des effets de réseau croissants de la plateforme ». Criteo a l’ambition de tripler son activité retail media d’ici 2025. Quant au chiffre d’affaires de l’adtech Iponweb nouvellement intégrée, il n’a été consolidé que sur les trois derniers mois de l’année 2022 pour un montant de 52,1 millions de dollars (avant d’être entièrement consolidée sur 2023). Criteo employait au 31 décembre 2022 un effectif de 3.716 employés (41 % de femmes), dont 1.053 en France. Si le nombre de ces salariés a augmenté ces dernières années, une vague de licenciements ont eu lieu mi-février, selon des informations diffusées sur des réseaux sociaux et relayées par Thelayoff et Digiday. Certaines sources anonymes évoquent la suppression de jusqu’à 8 % des effectifs du groupe – ce qui reviendrait à près de 300 postes en moins – et même la fermeture du bureau dans le centre de Londres. « Nous ne sommes pas habilités à commenter cette actualité », a répondu une porte-parole à Edition Multimédi@. Criteo ne serait pas la première Big Tech à supprimer des emplois, d’autres l’ayant déjà fait depuis le début de l’année (Amazon, Meta/Facebook, Alphabet/Google, Twitter, Snap, Yahoo, …). L’ex-licorne française cofondée par Jean-Baptiste Rudelle, qui en fut le PDG (9) jusqu’au à sa passation de pouvoirs à Megan Clarken en février 2020, ne réduit-elle pas sa masse salariale afin de mieux se vendre ?
Ce n’est pas exclu, d’autant que l’agence Reuters a révélé le 7 février la mission confiée par Criteo à la banque Evercore pour trouver un repreneur (10), information non démentie. Ce n’est pas la première fois que l’adtech française est à vendre, l’agence Bloomberg en avait fait état en 2021. Sa capitalisation boursière est passée ces derniers temps sous la barre de 2 milliards de dollars, à 1,7 milliard (au 10 mars) – loin des 2,6 milliards de fin 2016. Au-delà de fonds d’investissement susceptibles d’être intéressés, des noms de repreneurs potentiels circulent tels que le canadien Shopify, les californiens Adobe et The Trade Desk, ou encore le français Publicis, lequel a déjà fait les acquisitions du texan Epsilon en 2019 et de l’australien CitrusAd en 2021, spécialisés dans le retail media. Criteo a d’ailleurs vu Carrefour le quitter l’an dernier pour rejoindre Publicis pour créer en 2023 « une joint-venture détenue à 51 % par Carrefour ». Mais Publicis n’est pas le plus grand rival de Criteo.

Un ex-Microsoft au conseil d’administration
Les GAFAM lui mènent la vie dure, ce qui a amené l’adtech française à obtenir en juin 2022 des engagements de Meta/Facebook devant l’Autorité de la concurrence, clôturant ainsi une procédure antitrust unique au monde (11). Sont aussi ses rivaux : The Trade Desk, Viant Technology, Magnite, PubMatic, voire Adobe, Oracle ou encore Salesforce. Lors de sa prochaine assemblée annuelle des actionnaires, prévue en juin, Criteo fera entrer dans son conseil d’administration (12) le Néerlandais Rik van der Kooi qui a passé 22 ans chez Microsoft, notamment pour en faire un géant mondial de la publicité en ligne. Il s’agit de faire de « Commerce Media » une plateforme mondiale. @

Charles de Laubier