Criteo, un gigante francés del marketing de vigilancia

Rastreo agresivo en todos tus dispositivos, una brecha de seguridad importante, doble discurso y ausencia de consentimiento, pero Criteo sigue impune

Publicado por Pixel de Tracking el 22 de mayo de 2020

Criteo, un gigante publicitario cuyo modelo de negocio se basa en tu vigilancia

Poco conocido por el público en general, Criteo es una historia de éxito francesa que ha logrado convertirse en líder mundial en reorientación. De acuerdo a LinkedIn, la empresa tiene más de 3000 empleados, también es cotiza en NASDAQ desde octubre de 2013.

¿Cómo funciona Criteo? Todo lo que necesito hacer es consultar un sitio de comercio electrónico asociado (ejemplo: Fnac), luego un sitio de medios (ejemplo: Lemonde.fr) ser bombardeado con anuncios que muestran productos vistos anteriormente, así como sugerencias:

ejemplo

Los anuncios de retargeting como los que ofrece Criteo son los más intrusivos de la web y te hacen darte cuenta de que tus hábitos de compra no tienen secretos para los anunciantes. Y si miramos la tipología de los actores publicitarios, Criteo es uno de los jugadores menos respetuosos con tu privacidad:

  • Criteo es una red publicitaria: cuanto más te conoce, más dinero gana.
  • Los datos recogidos por Criteo son muy personales: tus productos vistos y tus compras.
  • A diferencia de un minorista electrónico como Amazon, que tiene una tienda y una relación directa con sus clientes, Criteo opera de manera oculta. No sabes que te están persiguiendo, no lo elegiste.

Ingresos puestos en riesgo por los navegadores web

Entonces se podría decir que Criteo es una empresa de publicidad de la vieja escuela, una que creció cuando los dispositivos móviles aún no eran dominantes, cuando el retargeting se basaba únicamente en cookies de terceros.

Si no utilizas un adblocker, es muy probable que tu navegador ya esté bloqueando el seguimiento de Criteo: Safari con prevención de seguimiento inteligente, Firefox, Corajudo e incluso Borde Recientemente han tomado medidas enérgicas para combatir los trazadores. Chrome llega muy tarde, pero prohibirá las cookies de terceros en menos de 2 años. Y siempre puedes decidir eliminar las cookies de terceros a través de la configuración de tu navegador, para poder empezar de nuevo contra las empresas de tecnología publicitaria.

Estas medidas del navegador le protegen contra el seguimiento invasivo por parte de empresas de tecnología publicitaria, que ya no pueden identificarle correctamente. como explica Criteo a sus inversores (diapositiva 7):

Navegadores Criteo

Las protecciones implementadas por los navegadores son una excelente noticia para los usuarios, representan un peligro vital para Criteo, por lo que su I+D está invirtiendo en soluciones alternativas.

Un historial de elusión de las protecciones del navegador

Criteo no dice esto en su presentación para inversores, pero tiene experiencia en eludir las protecciones de los navegadores. Si volvemos a la primera versión de Safari Intelligent Tracking Prevention en septiembre de 2017, aquí está Comunicación de Criteo a los inversores en noviembre de 2017:

La función de Intelligent Tracking Prevention de Apple, o ITP, se lanzó para dispositivos móviles el 19 de septiembre de 2017. Creemos que nuestra solución para usuarios de Safari actualmente nos permite mitigar aproximadamente la mitad del impacto potencial de ITP. En el tercer trimestre, ITP tuvo un impacto negativo neto mínimo en nuestros ingresos ex-TAC ​​de menos de $1 millón. Dadas nuestras expectativas sobre el lanzamiento de iOS11 de Apple y nuestra cobertura de los usuarios de Safari, esperamos que ITP tenga un impacto negativo neto en nuestros ingresos ex-TAC ​​en el cuarto trimestre de entre 8% y 10% en relación con nuestras proyecciones de caso base para el trimestre. Continuaremos mejorando e implementando nuestra solución para los usuarios de Safari durante los próximos trimestres..

Criteo ya había implementado una solución alternativa (explicada en Este artículo:

Lo que hemos desarrollado es un solución amigable con la privacidad, que se conecta a un identificador [no cookie] que permite la transferencia de información entre sitios web y nuestros servidores

Ten en cuenta lo "favorable a la privacidad" (!). Excepto que Apple reaccionó rápidamente para introducir una actualización de ITP a principios de diciembre de 2017, haciendo que el bypass de Criteo fuera inoperable. Así que aquí está el Nueva comunicación de Criteo a los inversores en diciembre de 2017:

A principios de este mes, Apple lanzó una nueva versión de su sistema operativo móvil, iOS 11.2, que desactiva la solución que algunas empresas del ecosistema publicitario, incluida Criteo, utilizan actualmente para llegar a los usuarios de Safari. As a result, we believe the projected 9%-13% ITP net negative impact on Criteo’s 2018 Revenue ex-TAC ​​relative to our pre-ITP base case projections, communicated on November 1, 2017, is no longer valid. Estamos enfocados en desarrollar una solución alternativa sustentable para el largo plazo., basado en nuestros mejores estándares de privacidad de usuario, alineando los intereses de los usuarios, editores y anunciantes de Apple. Esta solución aún está en desarrollo y su eficacia no puede evaluarse en esta etapa inicial. Si no mitiga ningún impacto del ITP, creemos que el impacto negativo neto del ITP en los ingresos de Criteo en 2018 ex-TAC, en relación con nuestras proyecciones de caso base anteriores al ITP, sería de aproximadamente el 22%.

Aquí debemos felicitar a Apple por mejorar periódicamente su solución ITP (el juego del gato y el ratón continuó después de 2017), estando ITP ahora a la cabeza. versión 2.3. Sin embargo, podemos sorprendernos de que Criteo nunca haya sido sancionada por sus elusiones y que lo comunique sin vergüenza.

Normativas para proteger mejor la privacidad de los internautas

Además, con las regulaciones evolucionando para proteger mejor la privacidad de los usuarios de Internet (RGPD, Y ePrivacidad en Europa, CCPA en California), Criteo se encuentra cada vez más bajo presión: una queja de Privacy International fue presentada contra Criteo, Quantcast y Tapad en noviembre de 2018 por violación del RGPD, la CNIL ha iniciado la investigación de la denuncia contra Criteo en marzo de 2020. Criteo también toma nota de estas regulaciones en su mazo de “Identificación” para inversores (diapositiva 8), sin insistir en los riesgos legales:

Regulación

La Bolsa no se equivoca: si Criteo todavía está valorada en 600 millones de euros, su valor ha caído drásticamente en los últimos cinco años:

Criteo Nasdaq

Criteo ha comprendido estas dos tendencias (técnica a través de los navegadores y regulatoria): ahora recurre a una vigilancia mucho más insidiosa y generalizada a través del “Criteo Shopper Graph” y aplica un doble rasero en materia de respeto a la vida privada.

Criteo Shopper Graph: la enorme base de datos de datos personales filtrada a Criteo

Siempre en su presentación “Identificación” para inversores (diapositiva 19), Criteo explica claramente su objetivo: identificarte sin necesidad de cookies de terceros. Hoy en día, el 50% de su negocio seguiría dependiendo de cookies de terceros:

Cookies de terceros

En su web, Criteo destaca “Gráfico de compradores de Criteo”, su base de datos de usuarios. ¿Cuántas personas hay en esta base de datos? A continuación presentamos algunas cifras propuestas por Criteo para presentar el “Criteo Shopper Graph”:

  • El 75% de los compradores online de todo el mundo.
  • Más de 1.900 millones de consumidores activos mensuales.
  • Más que 120 señales de compra diferentes.
  • 35 mil millones de eventos de navegación o compra cazado diariamente.
  • 800 mil millones de dólares en ventas anuales de comercio electrónico.
  • 1.500 millones de identificadores multidispositivo (Criteo te reconoce en varios de tus dispositivos).
  • 4,5 mil millones de productos.

Por defecto, Criteo no mezcla los datos personales recopilados de uno de sus clientes con los de sus otros clientes. Pero si un cliente quiere acceder a Shopper Graph, debe aceptar esta combinación. Ejemplo: Fnac desea acceder al Shopper Graph para mejorar la rentabilidad de sus campañas publicitarias, deberá aceptar que Criteo mezcle tus datos personales recopilados en el sitio de Fnac con tus datos personales recopilados de otros clientes de Criteo que se hayan suscrito al Shopper Graph.

Y la propuesta funciona bien, Criteo anotado que el 75% de sus clientes participen:

Participación en Criteo Shopper Graph

¿Cómo construye Criteo esta enorme base de datos de datos personales? Criteo ofrece explicaciones en su sitio web, Shopper Graph agrega 3 fuentes de datos:

Gráfico de compradores de Criteo

  • Identity Graph te permite ser reconocido en todos sus dispositivos.
  • El Mapa de Intereses te permite conocer tus diferentes intenciones de compra.
  • Los datos de medición te permiten recopilar detalles de sus diversas compras.

Echemos un vistazo más de cerca a Identity Graph, el motor de seguimiento de Criteo.

The Identity Graph, o cómo Criteo te reconoce en todos tus dispositivos

Si partimos de la navegación del usuario, el primer paso es identificarse cuando navega por sitios o aplicaciones de comercio electrónico. Criteo recopila los diferentes identificadores de un mismo usuario dependiendo del dispositivo utilizado, luego es capaz de realizar el vínculo entre ellos para determinar que se trata de la misma persona:

Identificadores

Vemos aquí que Criteo recopila varios tipos de identificadores y los asocia con el id de Criteo para rastrearte mejor:

  • Un identificador de cookies para cada uno de sus navegadores web o móviles.
  • Una identificación de CRM para cada cliente, cuando está conectado con el cliente.
  • Un identificador móvil (IDFA en Apple, ID de publicidad de Android en Android).
  • EL picadillo de su dirección de email (una impresión única, que no permite a Criteo encontrar la dirección de email), cuando el cliente o socio de Criteo transmite la información.

Este seguimiento es particularmente invasivo e irrespetuoso con tu privacidad porque Criteo logra establecer el vínculo entre sus diferentes identificadores ("Gráfico"), y es difícil (identificadores móviles) o casi imposible restablecer algunos de estos identificadores (CRM id, picadillo dirección de email). Un ejemplo entre otros: La aplicación Fnac filtra el hash de tu dirección de email a Criteoy no proporciona ninguna forma de optar por no participar en este seguimiento.

Criteo te ha reconocido, el segundo paso es recoger todas tus intenciones de compra (el Mapa de Intereses):

Intenciones de compra

Independientemente del dispositivo o sitio de comercio electrónico que consultes, Criteo recuperará:

  • Los productos consultados.
  • Productos añadidos al carrito.
  • Productos adquiridos.

Los clientes de Criteo también pueden transmitir su propia lista de clientes a Criteo, a través de direcciones de email o identificadores de usuario como IDFA, Android Advertising ID o Criteo Id. Criteo indica a continuación el porcentaje de usuarios de la lista que ya pertenecen al Shopper Graph.

Luego, el tercer paso es reconocerlo para dirigirle los famosos anuncios intrusivos cuando navega por un sitio o aplicación multimedia:

Redactora - publicidad

Aquí podemos observar que Criteo tiene asociaciones privilegiadas con numerosos medios, lo que a menudo te permite acceder de manera preferencial al inventario publicitario (ver en particular su Postor directo) y también para recuperar identificadores permanentes (direcciones de email, inicios de sesión). Para los medios con los que Criteo no tiene una asociación privilegiada, Criteo compra RTB (programático) pero debe pagar un impuesto a los SSP (intermediarios).

El cuarto paso es medir si hace clic en el anuncio (Criteo paga a los editores por cada visualización del anuncio, el anunciante paga no por la compra sino por el clic en el anuncio), luego medir si le compra al anunciante (Datos de medición). Pero el seguimiento no se limita a tu comportamiento "online": Criteo también puede recuperar tus compras "offline". si sus clientes le pasan la información:

Compras sin conexión

Criteo no habla de ello en su presentación del Shopper Graph, pero su ponencia Identificación para inversores nos dice que también recopila tus datos personales a través de asociaciones (diapositiva 27):

Fuentes de datos

Como puede ver, Criteo informa asociaciones con Liveramp, Oracle y editores para recuperar datos de identificación. Puede obtener más información sobre la asociación con Liveramp a través de este video comercial. si miramos su sitio web, Criteo también menciona otras asociaciones que te permiten asociar sus diferentes identificadores:

Identificadores de socios de Criteo

Criteo filtra los identificadores de su Shopper Graph a sus clientes

Criteo no solo rastrea al 75% de los compradores del mundo, sino que también ofrece a los clientes de su Shopper Graph (aquellos que aceptan compartir tus datos personales) la posibilidad de recuperar de forma gratuita identificadores de usuario de este gráfico (los Criteo Ids) para sus propias cuentas. Estas son las opciones que ofrece Criteo para filtrar datos personales a sus clientes:

Compartir ID de Criteo

Resumimos:

  • Desde su teléfono inteligente, vio una lámpara en el sitio web del minorista electrónico ABC.
  • Regresa al sitio web de ABC e-Retailer, pero esta vez en tu ordenador portátil.

Criteo te reconoce, incluso si no te has conectado al sitio web de ABC e-Retailer porque ya te has conectado a otros sitios asociados de Criteo, en tu teléfono inteligente y en tu computadora portátil.

Y Criteo también permite que el minorista electrónico ABC lo reconozca.

Criteo vuelve a burlar las protecciones de tu navegador... e introduce una vulnerabilidad de seguridad

A excepción de Chrome, los navegadores toman medidas para protegerlo de los rastreadores. Además, muchos usuarios de Internet instalan adblockers. Ya hemos visto que Criteo ha una larga experiencia de elusión medidas tomadas por los navegadores y continúa actuando en esta dirección para continuar rastreándolo a pesar de usted mismo.

¿Una de sus últimas iniciativas? Aliente a sus clientes publicitarios y editores a delegar un subdominio a Criteo configurando un CNAME (lea sobre esto el artículo detallado de Romain Cointepas, cofundador de NextDNS, aplicación que lucha eficazmente contra este seguimiento). EL CNAME te permite especificar que un subdominio es un alias de otro dominio.

Se trata de una técnica antigua utilizada por determinadas herramientas de análisis y que actualmente suscita un renovado interés, en particular por parte de empresas francesas como Eulerian, AT Internet y por tanto Criteo. Aquí está Documentación Criteo permitiendo a los anunciantes y editores configurar un CNAME. Y aquí tienes ejemplos de clientes que han implementado esta delegación:

  • El nombre de dominio xgctpf.allocine.fr es un alias para dnsdelegation.io, que a su vez apunta hacia chicle.criteo.com
  • El nombre de dominio ddhhbh.alfaromeo.fr También es un alias para dnsdelegation.io que también apunta a chicle.criteo.com

Ten en cuenta los subdominios con cadenas de caracteres aleatorias: Criteo puede así rastrearte de forma oculta y a los adblockers les resulta difícil actualizar los dominios que deben bloquearse (el editor puede decidir fácilmente cambiar el CNAME de una semana a otra). Firefox permite extensiones para hacer resolución CNAME, que permite uBlock Origen en Firefox para bloquear correctamente estas llamadas, pero otros navegadores no lo permiten.

Criteo consigue así acceder a la mayoría de usuarios con un adblocker (el tema CNAME anima a las comunidades que trabajan con adblockers) o un navegador configurado para bloquear las cookies de terceros, lo que te permite:

  • Ser capaz de medir todas las visitas y conversiones en el sitio del anunciante.
  • Poder reorientarlo en uno de sus otros dispositivos (si no tiene un adblocker en todos sus dispositivos y el anunciante envía a Criteo un identificador permanente, como su dirección de email).
  • En teoría, poder identificarse en diferentes sitios mediante técnicas de identificación. fingerprinting: con su dirección IP o incluso con información adicional recopilada en tu navegador. Digo teóricamente aquí porque no tengo pruebas de que Criteo utilice técnicas de fingerprinting.

Una palabra adicional sobre las huellas dactilares, claramente Criteo está interesado en el tema como se indica este artículo del blog de Criteo I+D, detallando un artículo de investigación En el seguimiento basado en direcciones IP:

Durante los últimos años, los navegadores web han limitado cada vez más la persistencia de los identificadores (cookies), lo que dificulta el seguimiento de los usuarios. Un ejemplo revelador es la Intelligent Tracking Prevention de Safari. Este documento presenta una manera inteligente de superar la falta de identificadores persistentes sin infringir la privacidad del usuario, es decir, sin utilizar huellas digitales del navegador. Consiste en utilizar la detección de comunidades en el Device Graph para detectar cohortes estables (agrupación a nivel de persona o de hogar). Luego es posible encontrar las direcciones IP asociadas con la cohorte a lo largo del tiempo y así definir una ID persistente basada en estas direcciones IP. Esta técnica se llama relleno de gráficos. Esta técnica llega a sus límites cuando muchas personas utilizan la misma IP o en el caso de IP dinámicas. Por eso funciona a las mil maravillas en Estados Unidos, pero es más difícil de aplicar en China.

Monitoreo de IP

CNAME es una de las técnicas (junto con los inicios de sesión y los correos electrónicos) que permiten a Criteo alardear ante los inversores (diapositiva 15) tener acceso "de primera persona" a los sitios web consultados por los usuarios de Internet (no es necesario que cookies de terceros recopilen tus datos personales):

Criteo 1ª parte

Aquí está el email enviado por Criteo a sus clientes y socios (vía f_to_k):

Enviar un email a Criteo CNAME

Este email parece inofensivo, pero la técnica CNAME lo es mucho menos. Introduce una vulnerabilidad de seguridad si el sitio asociado no ha tomado precauciones: Criteo puede entonces leer las cookies colocadas en el dominio del sitio asociado. Estudiemos un ejemplo navegando. allocine.fr con Safari y la herramienta Charles Proxy:

Galletas Criteo Allocine

Como podemos ver, xgctpf.allocine.fr (también conocido como Criteo) recupera las cookies colocadas en allocine.fr (que no están destinadas a él):

  • Cookies identificadoras colocadas por Google Analytics: _ga, _gat, _gid, _gads
  • Una cookie de identificación de Facebook: _fbp
  • Cookies que almacenan su geolocalización: geocode, geolevel1, geolevel2, geolevel3
  • Tus cookies de autenticación en Allocine (estaba conectado): ACAUTH, ACCT, ACID, GraphToken

A través de los distintos identificadores "robados", Criteo puede enriquecer su Shopper Graph, pero esto no es lo más grave porque, a través de sus cookies de autenticación, Criteo puede conectarse a su propia cuenta de Allociné. Estos son los pasos para comprobarlo:

  • Recuperar cookies de autenticación de Allocine a través de Safari y Charles Proxy.
  • Ir a allocine.fr desde Chrome, asegúrese de haber cerrado sesión.
  • Utilice la extensión de Chrome Editar esta cookie para crear sus cookies de autenticación.
  • Actualiza la página, ¡estás conectado!

Criteo conecta Regalo: Allociné no ofrece una versión segura de su sitio web, por lo que Criteo no es el único que puede interceptar sus cookies de autenticación. Su ISP y las máquinas ubicadas entre tu dispositivo y los servidores de Allociné también pueden conectarse por usted.

Este importante fallo de seguridad probablemente esté presente en muchos sitios asociados porque Criteo ya ha conseguido convencer más de 10.000 socios instalar un CNAME (Allociné fue un ejemplo benigno, la mayoría de los socios son sitios de comercio electrónico que pueden contener información mucho más confidencial, como su tarjeta de crédito).

leer sobre esto esta conversación en el canal Reddit r/adops, agregar un CNAME está lejos de ser trivial, como sugiere el email de Criteo. ¿Cómo evitar esta filtración de información al utilizar Criteo CNAME? Al no permitir que los subdominios lean cookies del dominio (por ejemplo, leer Documentación de Mozilla, “Alcance de las cookies”).

Sin embargo, Criteo sigue evolucionando con total impunidad: la técnica CNAME ha sido objeto de un artículo en el periódico de internet en el que Criteo, ID5 Y Prisma Media justificar la práctica de CNAME. El gestor programático de Prisma Media incluso acusa a los navegadores de extralimitarse en sus funciones al querer proteger la privacidad de los internautas:

Es francamente problemático que un navegador decida qué es justo o no afirmando que protege la privacidad de los usuarios, cuando esa es la función de la gestión del consentimiento. Si la persona no da su consentimiento, por supuesto no colocamos ninguna cookie.

Para Criteo también, el navegador no debe "tomar decisiones" en lugar del internauta, que debe poder dar su consentimiento (o no) a que se le vigile su publicidad. Pero, ¿cómo se compara Criteo con la necesidad de obtener el consentimiento del usuario antes de rastrearte?

Para recopilar el consentimiento, Criteo confía en anunciantes y editores asociados

La página de Criteo Explicar el uso de los datos personales da una buena idea del alcance de los datos personales recopilados y del uso que se les da. La base jurídica invocada por Criteo para justificar esta monopolización de tus datos personales respetando RGPD es el consentimiento. Pero para Criteo, obtenerlo es responsabilidad exclusiva de sus socios, anunciantes y editores:

Las operaciones de procesamiento de Criteo cumplen con la normativa vigente en los países que requieren el consentimiento del usuario para el uso de cookies o cualquier otra tecnología similar. Este consentimiento se recopila en los sitios web y apps móviles de Anunciantes y Editores.

Criteo enfatiza este punto en su política de privacidad:

Ten en cuenta que el uso de las tecnologías de Criteo se rige por las políticas de privacidad publicadas en los sitios web y apps móviles de nuestros socios. Deben proporcionar información completa y adecuada y, en la medida que lo exija la ley, obtener su consentimiento antes de revelar cualquier dato personal sobre usted.

Criteo incluso indica que exige contractualmente a sus anunciantes y editores asociados obtener el consentimiento del usuario antes de implementar rastreadores:

Criteo exige contractualmente que los Anunciantes y Editores respeten su Carta Editorial general y su Carta dedicada a los socios, así como las diversas normativas vigentes en materia de protección de datos personales, en particular el RGPD. Al utilizar los servicios de Criteo, se comprometen, en la medida en que la normativa lo requiera: [...] a obtener el consentimiento de los usuarios antes de implementar cookies u otras tecnologías similares, con el fin de mostrar anuncios personalizados.

Sin embargo, Criteo no hace nada para hacer cumplir este contrato, como se puede ver con el ejemplo de Fnac. Obtener el consentimiento real del usuario antes de poder identificarlo equivaldría a que Criteo cerrara, de ahí su doble discurso.

Criteo tuerce la definición de consentimiento

Criteo no es ajeno al doble discurso. Así, por un lado, explicará a los usuarios en su política de privacidad que respeta la noción de consentimiento y pide contractualmente a sus socios que la apliquen. Por otro lado, les dice a sus socios que no necesitan obtener el consentimiento explícito de los usuarios.

En su "Directrices de privacidad de Criteo para clientes y socios editores", Criteo asesora a sus clientes sobre las cláusulas de información a incluir en sus políticas de confidencialidad. Además, Criteo vuelve a indicar a sus clientes que tienen la obligación de obtener el consentimiento de los usuarios dentro de la UE. Pero, ¿qué significa el consentimiento para Criteo? La definición se asemeja más a una simple obligación de información:

En particular, según la legislación de la UE, la solicitud de consentimiento se considera válida cuando: Los usuarios son informados sobre el uso de cookies y tecnologías distintas de las cookies por parte de Criteo con el fin de ofrecer publicidad dirigida cuando dan su consentimiento.

Criteo llega incluso a sugerir el uso el defecto introducido por la CNIL lo que todavía permite que casi toda la web francesa considere que continuar navegando en un sitio (simplemente desplazándose o haciendo clic en una nueva página) constituye un consentimiento:

Aviso de cookies sugerido para países donde se requiere consentimiento Al continuar navegando en nuestro sitio, acepta el uso de cookies y tecnologías distintas de las cookies para proporcionarle contenido y publicidad personalizados en todos los sitios.

Como se indica en el Consejo Europeo de Protección de Datos, un organismo europeo independiente cuyos objetivos son garantizar la aplicación coherente del RGPD y promover la cooperación entre las autoridades de protección de datos de la UE, el consentimiento debe ser claro, afirmativo e inequívoco. Las últimas directrices se publicaron el 4 de mayo., podemos leer, por ejemplo, que el desplazamiento no constituye consentimiento:

desplazarse consentimiento RGPD

En un artículo titulado "GDPR: Criteo está listo para asumir el desafío", Criteo detalla su visión del consentimiento, considerando que no necesita obtener el consentimiento explícito del usuario:

El RGPD establece una clara distinción entre consentimiento inequívoco y consentimiento explícito. El consentimiento explícito implica una elección expresa por parte del usuario. Esto se aplica, por ejemplo, a la recopilación de datos sensibles como raza, religión, orientación sexual, afiliación política y salud. Por el contrario, los dispositivos de seguimiento en línea (por ejemplo, las cookies) se clasifican como simples datos personales. Además, según la nueva normativa, no se requiere una aceptación expresa para las cookies de retargeting clásicas que no recopilan datos sensibles.

Excepto que este comportamiento viole el RGPD, que requiere un consentimiento claro, afirmativo e inequívoco por parte del usuario. La CNIL también debe avanzar para adaptar su doctrina al RGPD: ha inició el proceso en julio de 2019, pero ahora usa la crisis del coronavirus como excusa detener esta necesaria adaptación.

Criteo incluso escribió un Libro blanco del RGPD, detallando sus argumentos falaces, sólo queda un punto: Criteo no podría sobrevivir si dependiera del consentimiento genuino del usuario. Por tanto, se siente obligado a tergiversar la definición de consentimiento.

Las mentiras de Criteo en su política de privacidad

en su política de privacidad, Criteo indica que no recibe datos personales:

No se nos comunica ningún dato personal (apellido, nombre, dirección postal, dirección de email no cifrada u otros).

Esto es falso, los clientes de Criteo pueden comunicar su dirección de email a Criteo en texto claro. como se indica en esta página de soporte para “crear una audiencia”:

Un archivo de direcciones de email de CRM que contiene direcciones completas, direcciones de email cifradas mediante hash MD5 o SHA256 de MD5 (direcciones completas>MD5>SHA256).

Si el cliente envía direcciones de email sin cifrar, Criteo dice que las cifra antes de almacenarlas, por lo que debes confiar en él.

siempre en su política de privacidad, Criteo admite que los datos que no sean de carácter personal (seudónimos) se consideran datos personales en la Unión Europea y California:

Sin embargo, esta información se considera datos personales según el Reglamento general de protección de datos de la UE (GDPR), así como la Ley de privacidad del consumidor de California (CCPA).

Otra mentira, en el apartado “Compromisos de Criteo”, podemos leer:

Los anuncios de Criteo no implican en ningún caso recopilar los siguientes datos: [...] identificadores persistentes, como los identificadores de los dispositivos que utiliza (UDID, dirección MAC, etc.)

Excepto que el picadillo de su dirección de email es de hecho un identificador persistente. Además, este "compromiso" está en contradicción con La plataforma “Identificación online en Criteo” para inversores. En la diapositiva 16, Criteo indica que el 96% de las “identidades” (= usuarios) en su “Gráfico de identidad” contienen al menos un identificador persistente:

Criteo de gráfico de identidad: identificadores persistentes

En la diapositiva 22, Criteo también indica que utiliza terceros para obtener las ventajas de los identificadores persistentes y así dejar de depender de las cookies:

socios identificadores persistentes

La duplicidad de Criteo es flagrante: compromiso con los usuarios de Internet de no recopilar "bajo ninguna circunstancia" identificadores persistentes, por un lado, sino facilitar la recopilación de estos identificadores persistentes de anunciantes y editores asociados (como recordatorio, la página de soporte que muestra cómo enviar a Criteo una lista de correos electrónicos), y comunicar estos identificadores persistentes a los inversores del otro lado.

Desactivar los servicios de Criteo en apps móviles no funciona

Como se ve con el ejemplo de Fnac en iOS, Criteo continúa recopilando un hash de tu dirección de email, incluso cuando hayas desactivado el seguimiento de anuncios:

Limitar el seguimiento publicitario

Sin embargo, su página "Desactivar los servicios de Criteo en apps móviles" anotado:

Consentimiento de retirada de Criteo

Aquí encontramos una doble mentira por parte de Criteo: mi email (o incluso un picadillo de mi email) es un identificador persistente, pero Criteo lo recopila (primera mentira), incluso si desactivo el seguimiento de anuncios (segunda mentira).

Abusos repetidos y documentados, pero aún sin sanción

Las prácticas poco éticas de Criteo han sido detalladas y denunciadas durante mucho tiempo, aquí hay algunos elementos:

  • La denuncia de Privacy International contra Criteo, Quantcast y Tapad por violación del RGPD data de noviembre de 2018, la CNIL tardó 16 meses en reaccionar y iniciar instrucción.
  • La técnica CNAME es sólo un elemento entre otros desarrollados por Criteo para eludir las protecciones establecidas por los navegadores, según ha informado la EFF. documentado Los intentos previos de Criteo por eludir Safari ITP.
  • Estas técnicas fueron detalladas por Gotham City Research LLC en un informe dedicado.
  • Información adicional de Gotham City Research LLC denunciando un fraude generalizado en el inventario gestionado por Criteo. Ten en cuenta que los informes no fueron desinteresados ​​porque Gotham especuló abiertamente a la baja sobre el precio de Criteo, lo cierto es que las prácticas denunciadas fueron probadas.
  • Criteo es parte de la Comité de publicidad aceptable, a iniciativa creada por Adblock Plus, permitiendo a Criteo mostrar anuncios incluso si tienes instalado Adblock Plus u otros adblockers que apoyan la iniciativa (estos anuncios están "adaptados": ocupan un poco menos de espacio que los anuncios tradicionales de Criteo). Impactante porque los anuncios de Criteo son particularmente intrusivos, pero los “Anuncios Aceptables” se basan “sólo” en la contaminación visual.

Sin embargo, no pasa nada. Dada la historia de la CNIL, es razonable dudar de la hipótesis de sanciones reales contra un campeón digital francés con un importante peso económico y político, como se demuestra la visita de Bruno Le Maire con motivo del 1er aniversario del laboratorio de inteligencia artificial Criteo, el pasado mes de octubre. Para Bruno Le Maire, Criteo es "uno de los grandes éxitos franceses de los últimos 15 años":

Tweet Bruno Le Maire - Criteo

¿Qué hacer entonces? Desafortunadamente, a la espera de una verdadera ambición política, las soluciones siguen siendo individuales y técnicas: utilizar un bloqueador de publicidad como uBlock Origin combinado con Firefox en la web (u otros navegadores que respetan la privacidad como Brave y Safari), acceda a aplicaciones como DNSCloak, AdGuard O NextDNS en iOS, o incluso instalar agujero pi en un Frambuesa Pi si tienes gusto por la tecnología.