Criteo, un géant du marketing de surveillance français

Pistage agressif sur tous vos appareils, faille de sécurité majeure, duplicité du discours et absence de consentement mais toujours l'impunité pour Criteo

Publié par Pixel de Tracking le 22 mai 2020

Criteo, un géant publicitaire dont le modèle économique est basé sur votre surveillance

Peu connu du grand public, Criteo est une success story française ayant réussi à devenir le leader mondial du retargeting. D'après LinkedIn, la société compte plus de 3000 employés, elle est également cotée au NASDAQ depuis octobre 2013.

Comment Criteo fonctionne-t-il ? Il suffit pour que je consulte un site d'e-Commerce partenaire (exemple : La Fnac), puis un site média (exemple: Lemonde.fr) pour être bombardé de publicités affichant les produits précédemment consultés ainsi que des suggestions :

Publicite Criteo

Les publicités de retargeting telles que proposées par Criteo sont les plus intrusives du web, elles vous font réaliser que vos habitudes d'achat n'ont aucun secret pour les publicitaires. Et si l'on regarde la typologie des acteurs publicitaires, Criteo fait partie des acteurs les moins respectueux de votre vie privée :

  • Criteo est un ad-network : plus il vous connaît, plus il gagne de l'argent.
  • Les données récoltées par Criteo sont très personnelles : vos produits consultés et vos achats.
  • À la différence d'un e-Commerçant tel qu'Amazon qui a pignon sur rue et une relation directe avec ses clients, Criteo opère de manière cachée. Vous ne savez pas que vous êtes traqué, vous ne l'avez pas choisi.

Des revenus mis en danger par les navigateurs web

Alors vous pourriez vous dire, Criteo est une société publicitaire à l'ancienne, qui s'est développée lorsque le mobile n'était pas encore dominant, lorsque le retargeting était uniquement basé sur les cookies tiers.

Si vous n'utilisez pas d'adblocker, il y a de fortes chances pour que votre navigateur bloque déjà le tracking de Criteo : Safari avec Intelligent Tracking Prevention, Firefox, Brave et même Edge ont récemment pris des mesures énergiques pour lutter contre les traceurs. Chrome est très en retard, mais il va interdire les cookies tiers dans moins de 2 ans. Et vous pouvez toujours décider de supprimer les cookies tiers via les paramètres de votre navigateur, afin de repartir à zéro vis à vis des sociétés de l'adtech.

Ces mesures des navigateurs vous protège contre le pistage invasif des sociétés de l'adtech, qui ne peuvent plus correctement vous identifier, comme l'explique Criteo à ses investisseurs (slide 7) :

Navigateurs Criteo

Les protections mises en place par les navigateurs sont une excellente nouvelle pour les utilisateurs, elles représentent un danger vital pour Criteo, sa R&D investit donc sur des solutions de contournement.

Un historique de contournement des protections des navigateurs

Criteo ne l'indique pas dans sa présentation aux investisseurs, mais il a de l'expérience dans le contournement des protections des navigateurs. Si l'on revient à la première release de Safari Intelligent Tracking Prevention en septembre 2017, voici la communication de Criteo aux investisseurs en novembre 2017 :

Apples’ Intelligent Tracking Prevention feature, or ITP, was released on mobile on September 19, 2017. We believe our solution for Safari users currently allows us to mitigate about half of the potential impact from ITP. In the third quarter, ITP had a minimal net negative impact on our Revenue ex-TAC of less than $1 million. Given our expectations of the roll out of Apple’s iOS11 and our coverage of Safari users, we expect ITP to have a net negative impact on our Revenue ex-TAC in the fourth quarter of between 8% and 10% relative to our base case projections for the quarter. We will continue to improve and deploy our solution for Safari users over the coming quarters.

Criteo avait déjà mis en place une solution de contournement (expliqué sur cet article :

What we’ve developed is a privacy-friendly solution, which is reliant on a [non-cookie] identifier that allows the transfer of information between websites and our servers

Notez le "privacy-friendly" (!). Sauf qu'Apple a rapidement réagi pour introduire début décembre 2017 une mise à jour d'ITP, rendant le contournement de Criteo inopérant. Voici donc la nouvelle communication de Criteo aux investisseurs en décembre 2017 :

Earlier this month, Apple launched a new version of its mobile operating system, iOS 11.2, which disables the solution that some companies in the advertising ecosystem, including Criteo, currently use to reach Safari users. As a result, we believe the projected 9%-13% ITP net negative impact on Criteo’s 2018 Revenue ex-TAC relative to our pre-ITP base case projections, communicated on November 1, 2017, is no longer valid. We are focused on developing an alternative sustainable solution for the long term, built on our best-in-class user privacy standards, aligning the interests of Apple users, publishers and advertisers. This solution is still under development and its effectiveness cannot be assessed at this early stage. Should it not mitigate any ITP impact, we believe the ITP net negative impact on Criteo’s 2018 Revenue ex-TAC, relative to our pre-ITP base case projections, would become approximately 22%.

Il faut ici féliciter Apple de régulièrement améliorer sa solution ITP (le jeu du chat et de la souris ayant continué après 2017), ITP étant maintenant à la version 2.3. On peut néanmoins s'étonner que Criteo n'ait jamais été sanctionné pour ses contournements, et qu'il communique sans honte dessus.

Des réglementations pour mieux protéger la vie privée des internautes

Aussi, avec les réglementations évoluant pour mieux protéger la vie privée des internautes (RGPD, et ePrivacy en Europe, CCPA en Californie), Criteo se retrouve de plus en plus sous pression : une plainte de Privacy International a été déposée contre Criteo, Quantcast et Tapad en novembre 2018 pour violation du RGPD, la CNIL a démarré l'instruction de la plainte contre Criteo en mars 2020. Criteo note aussi ces réglementations dans son deck "Identification" pour les investisseurs (slide 8), sans s'appesantir sur les risques légaux :

Reglementation

La bourse ne s'y trompe pas : si Criteo est encore valorisé à 600 millions d'euros, sa côte a chuté fortement ces 5 dernières années :

Criteo Nasdaq

Criteo a compris ces 2 tendances (technique via les navigateurs et règlementaire) : il se tourne maintenant vers une surveillance bien plus insidieuse et généralisée via le "Criteo Shopper Graph" et tient un double discours sur le respect de la vie privée.

Criteo Shopper Graph : la base de donnée massive des données personnelles fuitée vers Criteo

Toujours dans sa présentation "Identification" pour les investisseurs (slide 19), Criteo explique bien son but : vous identifier sans avoir besoin des cookies tiers. Aujourd'hui, 50% de son business serait toujours dépendant des cookies tiers :

Cookies tiers

Sur son site web, Criteo met en avant "Criteo Shopper Graph", sa base de données d'utilisateurs. Combien de personnes sont dans cette base de données ? Voici quelques chiffres avancés par Criteo pour présenter le "Criteo Shopper Graph" :

Par défaut, Criteo ne mélange pas les données personnelles collectées chez un de ses clients avec ses autres clients. Mais si un client souhaite accéder au Shopper Graph, il doit accepter ce mélange. Exemple : La Fnac souhaite accéder au Shopper Graph pour améliorer la rentabilité de ses campagnes publicitaires, elle devra accepter que Criteo mélange vos données personnelles captées sur le site de la Fnac avec vos données personnelles captées chez d'autres clients Criteo qui ont souscrit au Shopper Graph.

Et la proposition fonctionne bien, Criteo indique que 75% de ses clients participent :

Criteo Shopper Graph participation

Comment Criteo construit-il cette base massive de données personnelles ? Criteo offre des explications sur son site, le Shopper Graph agrège 3 sources de données :

Criteo Shopper Graph

  • L'identity Graph permet de vous reconnaître sur tous vos appareils.
  • L'interest Map permet de connaitre vos différentes intentions d'achat.
  • Le Measurement Data permet de collecter le détail de vos différents achats.

Étudions plus en détail l'identity Graph, le moteur de la surveillance de Criteo.

L'identity Graph, où comment Criteo vous reconnaît sur tous vos appareils

SI l'on repart du surf de l'utilisateur, la première étape est de vous identifier lors de votre surf sur des sites ou applis d'eCommerce. Criteo collecte les différents identifiants d'un même utilisateur selon l'appareil utilisé, il est alors capable de faire le lien entre eux pour déterminer qu'il s'agit d'un seule et même personne :

Identifiants

On voit ici que Criteo récupère plusieurs types d'identifiants et les associe au Criteo id pour mieux vous pister :

  • Un identifiant cookie pour chacun de vos navigateurs web ou mobile.
  • Un CRM id pour chacun des clients, lorsque vous êtes connecté chez le client.
  • Un identifiant mobile (IDFA sur Apple, Android Advertising Id sur Android).
  • Le hash de votre adresse e-mail (une empreinte unique, ne permettant pas à Criteo de retrouver l'adresse e-mail), lorsque le client ou le partenaire de Criteo fait passer l'information.

Cette surveillance est particulièrement invasive et irrespectueuse de votre vie privée car Criteo parvient à faire le lien entre vos différents identifiants ("Graph"), et il est difficile (identifiants mobile) voire quasiment impossible de réinitialiser certains de ces identifiants (CRM id, hash d'adresse e-mail). Un exemple parmi d'autres : l'application de La Fnac fuite le hash de votre adresse e-mail à Criteo, et ne fournit aucun moyen de refuser ce pistage.

Criteo vous a reconnu, la deuxième étape est de collecter toutes vos intentions d'achats (l'Interest Map) :

Intentions achat

Quel que soit l'appareil ou le site e-Commerce que vous consultez, Criteo va ainsi récupérer :

  • Les produits consultés.
  • Les produits ajoutés au panier.
  • Les produits achetés.

Les clients de Criteo peuvent également transmettre à Criteo leur propre liste de clients, via des adresses e-mails ou des identifiants utilisateurs tels que l'IDFA, l'Android Advertising ID ou le Criteo Id. Criteo indique alors le pourcentages des utilisateurs de la liste qui appartient déjà au Shopper Graph.

Ensuite, la 3ème étape est de vous reconnaître afin de vous cibler avec les fameuses publicités intrusives, lorsque vous surfez sur un site ou une appli media :

Editeur - publicite

Ici on peut noter que Criteo a des partenariats privilégiés avec de nombreux médias, ce qui lui permet souvent d'accéder à l'inventaire publicitaire de manière préférentielle (voir notamment son Direct Bidder) et aussi de récupérer des identifiants permanents (adresses e-mails, logins). Pour les médias avec lesquels Criteo n'a pas de partenariat privilégié, Criteo achète en RTB (programmatique) mais doit payer une taxe aux SSPs (intermédiaires).

La 4ème étape est de mesurer si vous cliquez sur la publicité (Criteo paye les éditeurs à chaque affichage publicitaire, il est payé par l'annonceur non pas à l'achat mais au clic sur la publicité), puis de mesurer si vous achetez chez l'annonceur (les Measurement Data). Mais le pistage ne s'arrête pas à votre comportement "online", Criteo peut également récupérer vos achats "offline" si ses clients lui font passer l'information :

Achats offline

Criteo n'en parle pas dans sa présentation du Shopper Graph, mais sa présentation Identification pour les investisseurs nous apprend qu'il récupère également vos données personnelles via des partenariats (slide 27) :

Data sources

Comme vous pouvez le voir, Criteo signale des partenariats avec Liveramp, Oracle ainsi que des éditeurs afin de récupérer des données d'identification. Vous pouvez en apprendre plus sur le partenariat avec Liveramp via cette vidéo commerciale. Si l'on regarde son site web, Criteo mentionne aussi d'autres partenariats lui permettant d'associer vos différents identifiants :

Identifiants Criteo partenaires

Criteo fuite les identifiants de son Shopper Graph à ses clients

Criteo ne se contente pas de pister 75% des acheteurs au monde, il propose gratuitement aux clients de son Shopper Graph (ceux qui acceptent de partager vos données personnelles) de récupérer les identifiants utilisateurs de ce graph (les Criteo Id) pour leurs propres comptes. Voici les options proposées par Criteo pour fuiter les données personnelles vers ses clients :

Partage Identifiant Criteo Id

On résume :

  • Depuis votre smartphone, vous avez vu une lampe sur le site web de l'e-Commerçant ABC.
  • Vous retournez sur le site web de l'e-Commerçant ABC, mais cette fois-ci sur votre ordinateur portable.

Criteo vous reconnaît, même si vous ne vous êtes pas connecté au site web de l'e-Commerçant ABC car vous vous êtes déjà connecté sur d'autres sites partenaires de Criteo, sur votre smartphone et sur votre ordinateur portable.

Et Criteo permet à l'e-Commerçant ABC de vous reconnaître également.

Criteo contourne encore les protections de votre navigateur... et introduit une faille de sécurité

Excepté Chrome, les navigateurs prennent des mesures pour vous protéger contre les traceurs. Aussi, de nombreux internautes installent des adblockers. Nous avons déjà vu que Criteo a une longue expérience de contournement des mesures prises par les navigateurs et continue d'agir en ce sens pour continuer de vous tracer malgré vous.

Une de ses dernières initiatives ? Pousser ses clients annonceurs et éditeurs à déléguer un sous-domaine à Criteo via la mise en place d'un CNAME (lisez à ce propos l'article détaillé de Romain Cointepas, co-fondateur de NextDNS, appli qui lutte efficacement contre ce pistage). Le CNAME permet de spécifier qu'un sous-domaine est un alias vers un autre domaine.

C'est une vieille technique utilisé par certains outils d'analytics, elle connait actuellement un regain d'intérêt, notamment auprès de sociétés françaises telles que Eulerian, AT Internet et donc Criteo. Voici la documentation de Criteo permettant aux annonceurs et éditeurs de mettre en place un CNAME. Et voici des exemples de clients ayant mis en place cette délégation :

  • Le nom de domaine xgctpf.allocine.fr est un alias vers dnsdelegation.io, qui pointe lui même vers gum.criteo.com
  • Le nom de domaine ddhhbh.alfaromeo.fr est aussi un alias vers dnsdelegation.io qui pointe également vers gum.criteo.com

Notez les sous-domaines avec des chaînes de caractères aléatoires : Criteo peut ainsi vous tracer de manière caché, et il est difficile pour les adbloqueurs de mettre à jour les domaines à bloquer (l'éditeur pouvant décider facilement de changer le CNAME d'une semaine sur l'autre). Firefox permet aux extensions de faire de la résolution de CNAME, ce qui permet à uBlock Origin sur Firefox de correctement bloquer ces appels, mais les autres navigateurs ne permettent pas cela.

Criteo gagne ainsi un accès à la plupart des utilisateurs ayant un adblocker (le sujet CNAME anime les communautés travaillant sur les adblockers) ou un navigateur paramétré pour bloquer les cookies tiers, ce qui lui permet de :

  • Pouvoir mesurer toutes les visites et conversions sur le site de l'annonceur.
  • Pouvoir vous recibler sur l'un de vos autres appareils (si vous n'avez pas d'adblocker sur tous vos appareils et si l'annonceur envoie à Criteo un identifiant permanent tel que votre adresse e-mail).
  • Pouvoir théoriquement vous identifier à travers différents sites via des techniques de fingerprinting : avec votre adresse IP voire avec des informations supplémentaires collectées sur votre navigateur. Je dis ici théoriquement car je n'ai pas de preuve que Criteo utilise des techniques de fingerprinting.

Un mot supplémentaire sur le fingerprinting, clairement Criteo s'intéresse au sujet comme l'indique cet article du blog R&D de Criteo, détaillant un article de recherche sur la surveillance basée sur l'adresse IP :

For the past few years, web browsers have increasingly limited the persistence of identifiers (cookies), making user tracking more difficult. A revealing example is Safari’s Intelligent Tracking Prevention. This paper presents a clever way to overcome the lack of persistent identifiers without infringing on user privacy, that is without using browser fingerprinting. It consists of using community detection in the Device Graph to detect stable cohorts (person or household level grouping). It is then possible to find the IP addresses that are associated with the cohort over time and thus defining a persistent ID based on these IP addresses. This technique is called Graph backfilling. This technique reaches its limits when many people use the same IP or in the case of dynamic IPs. This is why it works like a charm in the US, but is more difficult to apply in China.

Surveillance IP

Le CNAME est une des techniques (avec les logins et e-mails) qui permettent à Criteo de se vanter auprès des investisseurs (slide 15) d'avoir un accès "1st party" aux sites web consultés par les internautes (il n'a pas ici besoin de cookies tiers pour collecter vos données personnelles) :

Criteo 1st party

Voici l'e-mail envoyé par Criteo à ses clients et partenaires (via f_to_k) :

Email Criteo CNAME

Cet e-mail parait anodin mais la technique du CNAME l'est beaucoup moins. Elle introduit une faille de sécurité si le site partenaire n'a pas pris ses précautions : Criteo peut alors y lire les cookies déposés sur le domaine du site partenaire. Étudions un exemple en surfant sur allocine.fr avec Safari et l'outil Charles Proxy :

Criteo Allocine Cookies

Comme on le voit, xgctpf.allocine.fr (alias Criteo) récupère les cookies déposés sur allocine.fr (qui ne lui sont pas destinés) :

  • Des cookies d'identifiants déposés par Google Analytics : _ga, _gat, _gid, _gads
  • Un cookie d'identifiant Facebook : _fbp
  • Des cookies stockant votre géolocalisation : geocode, geolevel1, geolevel2, geolevel3
  • Vos cookies d'authentification à Allocine (j'étais connecté) : ACAUTH, ACCT, ACID, GraphToken

Via les différents identifiants "volés", Criteo peut enrichir son Shopper Graph, mais ce n'est pas le plus grave car via vos cookies d'authentification, Criteo peut se connecter à votre propre compte Allociné ! Voici les étapes pour le vérifier :

  • Récupérez les cookies d'authentification à Allocine via Safari et Charles Proxy.
  • Allez sur allocine.fr depuis Chrome, assurez-vous que vous êtes bien déconnecté.
  • Utilisez l'extension Chrome EditThisCookie pour créer vos cookies d'authentification.
  • Rafraichissez la page, vous êtes connecté !

Criteo connecte Cadeau : Allociné ne propose pas de version sécurisée de son site web, donc Criteo n'est pas le seul à pouvoir intercepter vos cookies d'authentifications. Votre FAI et les machines situées entre votre appareil et les serveurs d'Allociné peuvent aussi se connecter à votre place.

Cette importante faille de sécurité est probablement présente sur de nombreux sites partenaires car Criteo a déjà réussi à convaincre plus de 10.000 partenaires d'installer un CNAME (Allociné était un exemple bénin, la plupart des partenaires sont des sites d'e-Commerce qui peuvent détenir des informations bien plus sensibles comme votre carte bleue).

Lisez à ce propos cette conversation sur le channel Reddit r/adops, ajouter un CNAME est loin d'être anodin comme le laisse entendre l'e-mail de Criteo. Comment éviter cette fuite d'informations tout en utilisant le CNAME de Criteo ? En ne permettant pas aux sous-domaines de lire les cookies du domaine (lire par exemple la documentation de Mozilla, "Portée des cookies").

Néanmoins, Criteo évolue encore en toute impunité : la technique du CNAME a fait l'objet d'un article sur le journal du net dans lequel Criteo, ID5 et Prisma Media justifient la pratique du CNAME. Le responsable programmatique de Prisma Media accuse même les navigateurs d'outrepasser leurs rôles en voulant protéger la vie privée des internautes :

C'est franchement problématique qu'un navigateur décide de ce qui est juste ou non en prétextant protéger la vie privée des utilisateurs, alors que c'est le rôle de la gestion des consentements. Si la personne ne donne pas son consentement, bien sûr que nous ne déposons pas de cookie.

Pour Criteo aussi, le navigateur ne devrait pas "prendre des décisions" à la place de l'internaute, qui doit pouvoir consentir (ou non) à la surveillance publicitaire de lui-même. Mais comment se situe Criteo par rapport à la nécessité d'obtenir le consentement de l'utilisateur avant de le pister ?

Pour le recueil du consentement, Criteo se décharge sur les annonceurs et éditeurs partenaires

La page de Criteo expliquant l'utilisation des données personnelles donne une bonne idée de l'étendue des données personnelles collectées et de l'utilisation qui en est faite. La base légale avancée par Criteo pour justifier cet accaparement de vos données personnelles tout en respectant le RGPD est le consentement. Mais pour Criteo, l'obtention de celui-ci incombe uniquement à ses partenaires, annonceurs et éditeurs :

Les opérations de traitement de Criteo respectent les réglementations en vigueur, dans les pays exigeant le consentement des utilisateurs pour l’utilisation de cookies ou de toute autre technologie similaire. Ce consentement est recueilli sur les sites Web et les applications mobiles des Annonceurs et des Éditeurs.

Criteo appuie sur ce point dans sa politique de confidentialité :

Notez que l’utilisation des technologies Criteo est régie par les politiques de confidentialité publiées sur les sites web et les applications mobiles de nos partenaires. Ces derniers sont tenus de fournir des informations complètes et appropriées et, dans la mesure où la loi l’impose, d’obtenir votre consentement avant de communiquer toute donnée personnelle à votre sujet.

Criteo indique même exiger contractuellement de ses annonceurs et éditeurs partenaires qu'ils obtiennent le consentement des utilisateurs avant la mise en place de traceurs :

Criteo exige contractuellement que les Annonceurs et Éditeurs respectent sa Charte éditoriale générale et sa Charte dédiée aux partenaires, ainsi que les différentes réglementations en vigueur sur la protection des données personnelles, en particulier le RGPD. En utilisant les services Criteo, ils s’engagent, dans la mesure où la réglementation l’impose : [...] à obtenir le consentement des utilisateurs avant de mettre en place des cookies ou autres technologies similaires, dans le but de diffuser des annonces personnalisées.

Cependant, Criteo ne fait rien pour faire respecter ce contrat, comme on peut le voir avec l'exemple de La Fnac. Obtenir un vrai consentement de l'utilisateur avant de pouvoir l'identifier équivaudrait pour Criteo à mettre la clé sous la porte, d'où son double discours.

Criteo tord la définition du consentement

Criteo est un habitué du double discours. Ainsi d'un côté il va expliquer aux utilisateurs dans sa politique de confidentialité qu'il respecte la notion de consentement et demande contractuellement à ses partenaires de l'appliquer. D'un autre côté, il indique à ses partenaires qu'ils n'ont pas besoin de récolter un consentement explicite des utilisateurs.

Dans ses "Directives de confidentialité de Criteo pour les clients et partenaires éditeurs", Criteo conseille ses clients sur les clauses d'information à inclure dans leurs politiques de confidentialité. Aussi, Criteo indique de nouveau aux clients qu'ils ont l'obligation d'obtenir le consentement des utilisateurs au sein de l'UE. Mais que veux dire consentement pour Criteo ? La définition s'apparente plutôt à une simple obligation d'information :

En particulier, conformément aux lois de l’UE, la demande de consentement est considérée comme valide lorsque : Les utilisateurs sont informés sur l’utilisation des cookies et des technologies autres que les cookies par Criteo dans le but de proposer de la publicité ciblée au moment de donner leur consentement.

Criteo va même jusqu'à suggérer d'utiliser la faille introduite par la CNIL qui permet encore à la quasi totalité du web français de considérer que la poursuite de la navigation sur un site (simple scroll ou clic sur une nouvelle page) vaut consentement :

Suggestion d’avis de cookies pour les pays où le consentement est obligatoire En continuant à naviguer sur notre site, vous acceptez l’utilisation de cookies et de technologies autres que les cookies pour vous fournir des contenus et publicités personnalisés à travers les sites.

Comme l'indique le Comité Européen de la Protection des Données, organe européen indépendant dont les objectifs sont de garantir l’application cohérente du RGPD et de promouvoir la coopération entre les autorités de protection des données de l'UE, le consentement doit être clair, affirmatif et non ambigu. Les dernières lignes directrices ont été publiées le 4 mai, on peut par exemple y lire que scroller ne vaut pas consentement :

scroll RGPD consentement

Dans un article intitulé "RGPD : Criteo est prêt à relever le défi", Criteo détaille sa vision du consentement, considérant qu'il n'a pas besoin d'obtenir un consentement explicite de l'utilisateur :

Le RGPD établit une distinction claire entre consentement non-ambigu et consentement explicite. Le consentement explicite implique un choix exprès de la part de l’utilisateur. Ceci s’applique par exemple pour la collecte de données sensibles telles que la race, la religion, l’orientation sexuelle, l’affiliation politique et la santé. En revanche, en tant que tels les dispositifs de suivi en ligne (par exemple, les cookies) sont catégorisés comme simple données personnelles. Aussi, selon le nouveau règlement, un opt-in exprès n’est pas requis en ce qui concerne les cookies de retargeting classique qui ne collectent pas de données sensibles.

Sauf que ce comportement est bien en violation du RGPD, qui requiert un consentement clair, affirmatif et non ambigu de l'utilisateur. La CNIL doit d'ailleurs avancer pour mettre sa doctrine en accord avec le RGPD : elle a démarré les démarches en juillet 2019, mais elle prétexte maintenant la crise du coronavirus pour mettre en pause cette nécessaire adaptation.

Criteo a même écrit un livre blanc sur le RGPD, détaillant ses arguments fallacieux, il n'en reste qu'un seul point : Criteo ne pourrait survivre s'il s'appuyait sur un consentement véritable de l'utilisateur. Il se sent donc obligé de tordre la définition du consentement.

Les mensonges de Criteo dans sa politique de confidentialité

Dans sa politique de confidentialité, Criteo indique ne pas recevoir de données à caractère personnel :

Aucune donnée à caractère personnel (nom, prénom, adresse postale, adresse e-mail non cryptée ou autres) ne nous est communiquée.

Ceci est faux, les clients de Criteo peuvent bien communiquer à Criteo votre adresse e-mail en clair comme l'indique cette page support pour "créer une audience" :

Un fichier CRM d'adresses e-mails contenant des adresses complètes, des adresses e-mails chiffrées par hachage MD5 ou SHA256 de MD5 (adresses complètes>MD5>SHA256).

Si le client envoie des adresses e-mails en clair, Criteo indique les chiffrer avant de les stocker, vous devez donc lui faire confiance.

Toujours dans sa politique de confidentialité, Criteo avoue que les données qui ne seraient pas à caractère personnel (les pseudonymes) sont bien considérées comme données personnelles dans l'Union Européenne et en Californie :

Ces informations sont toutefois considérées comme des données personnelles par le règlement général de l’UE sur la protection des données (RGPD) ainsi que par la loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Autre mensonge, dans la section "Engagements de Criteo", on peut lire :

Les annonces Criteo n’impliquent en aucun cas de recueillir les données suivantes : [...] identifiants persistants, tels que les identifiants des appareils que vous utilisez (UDID, adresse MAC, etc.)

Sauf que le hash de votre adresse e-mail est bien un identifiant persistant. Aussi, cet "engagement" est en contradiction avec le deck "Online identification at Criteo" pour les investisseurs. Sur le slide 16, Criteo indique que 96% des "identités" (= utilisateurs) de son "Identity Graph" contient au moins un identifiant persistant :

Identity Graph Criteo - identifiants persistants

Sur le slide 22, Criteo indique aussi faire appel à des tiers pour obtenir d'avantages d'identifiants persistants, et ainsi ne plus être dépendant des cookies :

partenaires identifiants persistants

La duplicité de Criteo est flagrante : engagement auprès des internautes de ne recueillir "en aucun cas" des identifiants persistants d'un côté, mais facilitation de la collecte de ces identifiants persistants auprès des annonceurs et éditeurs partenaires (pour rappel, la page support indiquant comment envoyer à Criteo une liste d'e-mails), et communication sur ces identifiants persistants auprès des investisseurs de l'autre côté.

Désactiver les services Criteo sur les applications mobiles ne fonctionne pas

Comme vu avec l'exemple de La Fnac sur iOS, Criteo continue de collecter un hash de votre adresse e-mail, même lorsque vous avez désactivé le suivi publicitaire :

Suivi publicitaire limite

Pourtant sa page "Désactiver les services Criteo sur les applications mobiles" indique :

Criteo retrait consentement

Nous retrouvons ici un double mensonge de Criteo : mon e-mail (ou même un hash de mon e-mail) est un identifiant persistant, pourtant Criteo le collecte bien (premier mensonge), même si je désactive le suivi publicitaire (deuxième mensonge).

Des abus répétés et documentés, mais toujours pas de sanction

Cela fait longtemps que les pratiques peu éthiques de Criteo sont détaillées et dénoncées, voici quelques éléments :

  • La plainte de Privacy International contre Criteo, Quantcast et Tapad pour violation du RGPD date de novembre 2018, il aura fallu 16 mois à la CNIL pour réagir et démarrer l'instruction.
  • La technique du CNAME n'est qu'un élément parmis d'autres mis au point par Criteo pour contourner les protections mis à en place par les navigateurs, l'EFF a documenté les précédentes tentatives de Criteo pour contourner ITP de Safari.
  • Ces techniques ont été détaillés par Gotham City Research LLC dans un rapport dédié.
  • Autre rapport de Gotham City Research LLC dénonçant la fraude généralisée sur l'inventaire géré par Criteo. À noter que les rapports n'étaient pas désintéressés car Gotham spéculait ouvertement à la baisse sur le cours de Criteo, il n'empêche que les pratiques dénoncées étaient avérées.
  • Criteo fait partie du comité d'Acceptable Ads, une initiative créée par Adblock Plus, permettant à Criteo d'afficher des publicités même si vous avez installé Adblock Plus ou d'autres adblockers supportant l'initiative (ces publicités sont "adaptées" : elles prennent un peu moins de place que les publicités traditionnelles Criteo). Choquant car les publicités Criteo sont particulièrement intrusives, mais "Acceptable Ads" ne se base "que" sur la pollution visuelle.

Pourtant, rien ne se passe. Vu l'historique de la CNIL, il est permis de douter de l'hypothèse de réelles sanctions contre un champion du numérique français ayant un poids économique et politique important comme le démontre la visite de Bruno Le Maire pour les 1 ans du laboratoire d'intelligence artificielle de Criteo, en octobre dernier. Pour Bruno Le Maire, Criteo est "l'une des grandes réussites françaises de ces 15 dernières années" :

Tweet Bruno Le Maire - Criteo

Que faire alors ? Malheureusement, en attendant une vraie ambition politique, les solutions restent individuelles et techniques : utiliser un adblocker tel que uBlock Origin combiné à Firefox sur le web (ou d'autres navigateurs respectueux de la vie privée tels que Brave et Safari), passer par des applis telles que DNSCloak, Adguard ou NextDNS sur iOS, voire installer Pi-hole sur un Raspberry Pi si vous avez le goût de la technique.