24 mai 2020 ~ Licence

Ciblage publicitaire et irrespect de la vie privée des internautes : le modèle Criteo

Lors de ma veille quotidienne, je suis tombé sur cet article du site Pixeldetracking : Criteo, un géant du marketing de surveillance français.

Ce n’est pas la première fois que je lis un décryptage du modèle Criteo, mais c’est la première fois, à ma connaissance, qu’une étude aussi complète est réalisée.

Tout d’abord, bravo à l’auteur (ou l’autrice !) anonyme¹ pour ce travail !

À mes yeux, le droit à la vie privée est un de nos droits les plus essentiels, a fortiori sur Internet où il est souvent malmené.

L’article étant assez complexe à lire si vous ne travaillez pas dans le domaine du web marketing, je me suis basé sur ce travail de recherche (enrichi de mes recherches personnelles) pour en rédiger une version plus adaptée au grand public.

En tant que professionnel du web engagé – et en tant que citoyen – il me semble en effet important de contribuer à faire connaître les dérives de certaines entreprises et à démocratiser les solutions permettant de reprendre en mains notre vie privée sur Internet.

¹ Habituellement, je me méfie des articles rédigés anonymement, mais compte tenu de l’exhaustivité des recherches, de mes vérifications personnelles et du relais de cet article par des sources en qui j’ai confiance, j’estime que ce contenu peut être considéré comme fiable.

Qui est Criteo ?

Capture d'écran de la page d'accueil du site Criteo — *Capture d’écran d’une partie de la page d’accueil du site criteo.com*

Peu connue du grand public, la société fondée en 2005 à Paris est pourtant un des leaders mondiaux de ce que l’on appelle le « reciblage publicitaire » (ou retargeting en anglais – voir ci-après).

Sur son site Internet, elle indique disposer de 29 bureaux et employer 2 900 personnes dans le monde.

Côtée au NASDAQ depuis 2013, la société est souvent citée par les médias et les politiques comme un succès de la « French Tech », en témoigne les nombreuses visites de ministres.

Parmi ses clients, on peut citer : La Redoute, La Fnac, Danone, Sephora, Electrolux, Decathlon, Microsoft, Hewlett Packard, Deezer, BMW, AlloCine, Adidas, Pepsi…

Que propose cette société ?

Sans rentrer dans le détail de l’offre, Criteo propose un ensemble de solutions destinées aux professionnels du web marketing qui visent à :

générer du trafic sur un site internet
augmenter les ventes, dans le cas d’un site marchand

Jusqu’ici, rien de problématique ni d’anormal !

Après tout, c’est l’objectif de tout propriétaire de site de chercher à générer du trafic, et c’est normal de vouloir vendre quand on gère un site e-commerce !

Pour y arriver, Criteo utilise l’intelligence artificielle et plus particulièrement ce que l’on appelle le « machine learning » (ou « apprentissage automatique ») pour collecter et analyser un maximum de données sur un·e internaute, afin d’en savoir le plus possible sur qui il/elle est, quel est son profil et ses habitudes d’achats…

L’objectif ? Vous proposer des publicités toujours plus ciblées.

Ou, pour les citer :

Toucher les consommateurs ayant la plus forte propension à acheter vos produits.
(source : https://www.criteo.com/fr/products/criteo-customer-acquisition)

Dans son livre « On m’avait dit que c’était impossible : Le manifeste du fondateur de Criteo » ce dernier indique expliquer son métier à ses enfants de la façon suivante :

– Alors les filles, vous pouvez m’expliquer ce que fait Criteo ?
– C’est facile. Quand je vois une PlayStation sur le site de la FNAC, Criteo s’en souvient. Si après je quitte la Fnac, je vais revoir plus tard la PlayStation sur d’autres sites.
– C’est à peu près ça. Et comment on gagne de l’argent ?
– Tu gagnes de l’argent si je clique sur la bannière. […]
Source : Google Books

Un bel exemple de storytelling ! (Et, en passant, de conditionnement, mais je m’égare… 🤭)

Comment fonctionne la technologie Criteo ?

Rassurez-vous, je ne vais pas rentrer dans les détails techniques et je ne vais pas vous faire un cours de web marketing.

Il me semble toutefois important de vous expliquer comment fonctionnent ces technologies, pour que vous compreniez en quoi elles peuvent être dangereuses pour notre vie privée.

Ciblage et reciblage publicitaire

Comme son nom le laisse supposer, le ciblage publicitaire consiste à utiliser un certain nombre de critères (démographiques, géographique, climatiques…) pour cibler au mieux les internautes qui verront une publicité.

Ainsi, au lieu d’envoyer une bouteille à la mer, l’annonceur s’assure que sa publicité est vue par des internautes qui sont supposé·es faire partie de sa cible.

Afin d’être encore plus précis dans la qualification de l’internaute et d’augmenter les points de contact avec celui-ci, le reciblage publicitaire a été inventé.

Rendu possible par les technologies web, le principe est simple, et je suis persuadé que vous avez déjà rencontré ce type de technique lors de votre navigation :

Vous vous rendez sur un site web (majoritairement les sites qui ont quelque chose à vous vendre en ligne) ;
Vous manifestez de l’intérêt pour un produit ou un service, mais ne l’achetez pas ;
Vous quittez le site et continuez votre navigation ;
Si vous visitez un site web utilisant le même programme publicitaire que le premier site (ou un programme partenaire), vous verrez une belle publicité faisant la promotion du produit ou service pour lequel vous avez manifesté de l’intérêt.

Des pubs de ce style :

Source : site internet de Criteo

Source : site internet de Criteo

À noter que les pubs sont présentées ici sous format vidéo pour simuler l’interactivité, mais ce n’est pas le cas en conditions « réelles ».

Comment est-ce que cela fonctionne ?

La technologie de base utilisée est celle du cookie informatique (aussi appelé témoin informatique).

(Pour savoir ce qu’est un cookie informatique et comment cette technologie fonctionne, je vous invite à lire mon article sur les cookies et la législation relative à ces derniers)

Ce qu’il est important d’avoir en tête c’est qu’il existe deux types de cookies :

Les cookies dits « first party » qui sont installés par le site visité ;
Les cookies dits « third party » (ou cookies tiers) qui sont installés par des services tiers, et qui transmettent des données à ces services.

Par exemple, si un site utilise un service d’analyse de visites comme Matomo ou Google Analytics, ces outils installent des témoins informatiques qui leur envoient des données.

Pour déclencher l’installation de cookies par des services tiers, le site web a dû implémenter ce que l’on appelle un « tag » (ou marqueur, en français). Il s’agit d’un petit morceau de code fourni par la société éditrice de la solution et qui est placé dans le code source du site web.

Cette distinction entre cookies « first party » et « third party » est importante pour comprendre comment fonctionne la technologie Criteo.

Pendant longtemps, Criteo fonctionnait uniquement grâce aux cookies tiers.

Or, avec l’avènement des bloqueurs de publicités, et le blocage par défaut des cookies tiers par les principaux navigateurs (tous sauf Google Chrome…) cette technologie n’était plus viable.

Le problème avec les outils de protection de la vie privée, c’est qu’ils n’aident pas ceux qui gagnent de l’argent avec nos données personnelles ! 😬😁

Criteo a donc commencé à jouer au chat et à la souris avec les navigateurs, cherchant constamment à contourner les moyens de protection mis en place.

Pour cela, les éditeurs de sites qui utilisent la solution Criteo devaient faire une manipulation, présentée par les équipes commerciales de l’entreprise comme étant une simple mise à jour du tag « qui prend 2 minutes ».

Les cookies tiers n’étant plus efficaces, la société a fait évoluer sa technologie pour éluder les limitations des navigateurs. L’idée était de les tromper en faisant croire que les contenus installés étaient des cookies « first party » et non plus des cookies tiers.

Comme le montre cette copie d’un mail envoyé par Criteo à un client, celui-ci est fortement incité à faire la manipulation sous peine de voir son trafic et ses ventes baisser, chiffres à l’appui.

*Source : Twitter (oui Twitter peut parfois être une source fiable ^^)*

Petite parenthèse « psychologie et manipulation » : ce mail a recours à des techniques fréquemment utilisées en web marketing pour inciter l’internaute a faire une action :

La peur (d’avoir de mauvais résultats) : « si tu ne fais pas telle ou telle action, tes ventes vont baisser de XX % ».
Qui a envie de voir ses ventes baisser de plus de 11 % (surtout quand on s’appelle La Fnac ou La Redoute !)
Petite astuce : cette méthode fonctionne encore mieux si on cite des chiffres suffisamment élevés pour inquiéter, mais pas trop gros non plus pour ne pas paraître faux.
Surtout ne pas préciser d’où viennent ces chiffres ni comment ils ont été obtenus, sinon ce n’est pas drôle ! 😋
La preuve sociale : « Tu vois, XXX l’a fait, et c’était super rapide. »
Sous-entendu : si XXX y est arrivé, il n’y a pas de raisons que tu n’y arrives pas !
Idéalement, citer un nom de grosse entreprise, ou d’un concurrent, histoire de faire encore plus peur…
L’urgence : « Dépêche-toi, sinon tu vas perdre du trafic (et nous de l’argent !) »

Ici encore ce n’est pas la méthode le problème (même si pour ce type de demande, elle peut être discutable), mais la finalité.

Comme le démontre l’article de Pixeldetracking, cette intervention, en plus de tromper le navigateur et les bloqueurs de publicités (et donc l’internaute !), présente des problèmes de sécurité si elle est mal effectuée.

En effet, en effectuant « bêtement » la manipulation demandée par Criteo, toutes les données collectées par les cookies « first party » leur sont envoyées, y compris les plus sensibles comme des données de connexions à un espace personnel.

Sur un site mal sécurisé, Criteo pourrait donc simuler une connexion à votre compte et donc obtenir des données confidentielles sur vous.

Attention toutefois : le fait que cette action soit possible ne signifie pas que Criteo l’utilise !

Que fait Criteo de toutes ces données ?

L’entreprise se sert de ces données pour créer ce qu’ils appellent le « Criteo Shopper Graph ».

Il s’agit d’une immense base de données d’utilisateurs, la plus large au monde d’après Criteo.

Voici quelques chiffres, assez impressionnants, issus de leur site Internet :

Cette base de données permet d’exploiter les données de 75 % des acheteurs et acheteuses du monde entier ;
Elle traite chaque mois les données de plus d’1,9 milliards de consommateurs et consommatrices actives représentant chaque année plus de 800 milliards de dollars de ventes e-commerce ;
Criteo analyse plus de 120 signaux d’achats différents, représentant chaque jour plus de 35 milliards de données d’historique de navigation et d’évènements transactionnels

Sources : https://www.criteo.com/insights/explained-criteo-shopper-graph/?slide=2 (en anglais) et https://www.criteo.com/fr/technology/shopper-graph/

Elle regroupe donc tout ce que Criteo sait sur vous : votre profil d’internaute, vos habitudes de navigation et de consommation… et ce quel que soit le support utilisé (ordinateur, smartphone, tablette…). Criteo pouvant en effet vous suivre partout.

Comme le relève Pixeldetracking, par défaut la société ne croise pas les données personnelles collectées sur des sites différents. Toutefois, pour participer au programme Shopper Graph, le site doit accepter de mutualiser les données collectées avec les autres sites.

La promesse marketing est belle : en participant au programme, j’ai accès à l’ensemble des données dont dispose Criteo sur un·e internaute, et pas seulement celles que je collecte ! Magique !

Les données sont donc plus qualifiées, faisant miroiter une meilleure rentabilité des actions marketing.

En ce sens, Criteo agit en quelque sorte comme un courtier de nos données personnelles.

Officiellement, ces données sont anonymes. En effet, pour connecter toutes les données collectées entre elle, Criteo utilise ce que l’on appelle une empreinte numérique. Il s’agit d’un identifiant qui est propre à l’internaute, basé sur l’adresse e-mail chiffrée, dans le cas de Criteo.

Sauf que rien ne prouve que l’adresse e-mail est effectivement chiffrée, comme le prétend Criteo. Sans être parano, il est assez fréquent que des entreprises tiennent un double discours : rassurant envers les internautes, permissif auprès des annonceurs.

En outre, personne n’est à l’abri d’un « bug » ou d’une erreur. Twitter stockait bien des mots de passe en clair !

De plus, le suivi de Criteo ne se limite pas aux sites web et applications pour smartphones et tablettes. Il est en effet possible pour un client de transmettre ses données hors-ligne afin de les croiser avec les données collectées en ligne, et donc ~~pister~~ suivre le consommateur ou la consommatrice dans tous ses achats.

En résumé, grâce à sa technologie, la société peut collecter et analyser l’ensemble de l’historique de visite d’un·e internaute sur un ensemble de sites donnés et de ses actes d’achats.
Cela sur l’ensemble de vos appareils. Sans que vous en soyez informé·e ni conscient·e… Et surtout sans votre consentement.

En quoi cette technologie est-elle problématique pour notre vie privée ?

Si vous êtes arrivé jusqu’ici (ce dont je vous remercie !), je pense que vous commencez à avoir une bonne idée de ce qui peut poser problème.

Au-delà de l’aspect éthique qui – par définition – est personnel, attardons-nous sur l’aspect légal, notamment en ce qui concerne le RGPD (Règlement Général sur la Protection des Données) qui régit la collecte de données personnelles en Europe et notamment l’installation des cookies.

Le RGPD impose que tout site web doit recueillir le consentement positif, explicite et éclairé de l’internaute. L’internaute doit donc avoir pleinement conscience de ce qu’implique l’acceptation ou le refus du témoin informatique avant que celui-ci soit installé.

Comme le démontre Pixeldetracking dans son article, Criteo tiens ici un double discours qui sème le doute.

Pour le grand public : la page Politique de confidentialité indique exiger contractuellement des annonceurs qu’ils respectent les différentes réglementations en vigueur, en particulier le RGPD.

Lors de la rédaction de cet article, le 23 mai 2020, le texte exact est le suivant :

*Source : Politique de confidentialité de Critéo*

Retranscription du contenu textuel de l’image :

Criteo exige contractuellement que les Annonceurs et Éditeurs respectent sa Charte éditoriale générale et sa Charte dédiée aux partenaires, ainsi que les différentes réglementations en vigueur sur la protection des données personnelles, en particulier le RGPD.
En utilisant les services Criteo, ils s’engagent, dans la mesure où la réglementation l’impose :
• à faire apparaître sur leurs sites Web et applications mobiles les notifications et informations appropriées, permettant aux utilisateurs d’en savoir plus sur nos services et de s’y opposer ;
• à obtenir le consentement des utilisateurs avant de mettre en place des cookies ou autres technologies similaires, dans le but de diffuser des annonces personnalisées.
Pour aider ses partenaires à respecter leurs obligations légales et contractuelles, Criteo les informe régulièrement des meilleures pratiques du secteur.

Pour les annonceurs : les recommandations sont plus floues, erronées, voire en infraction avec le RGPD.

Je ne suis pas juriste ni spécialiste du RGPD, je peux donc me tromper (n’hésitez pas à me le signaler si c’est le cas), mais voici les incohérences que j’ai pu relever sur la page du site Criteo destinée aux recommandations pour ses clients :

Une des obligations du RGPD est d’indiquer quels sont les destinataires des données. Ici, Critéo conseille de ne mentionner que Critéo.
Or, comme le démontre Pixeldetracking, n’importe quel client utilisant le programme Shopper Graph peut accéder aux données collectées par l’ensemble du réseau. À mon sens, cette information est donc erronée.

*Source : Directives de confidentialité de Criteo pour les clients et partenaires éditeurs au 23 mai 2020*

Criteo semble avoir sa propre définition du consentement que la société limite à un simple devoir d’information et non à un véritable recueil du consentement. Cette information est donc incomplète.

L’entreprise va plus loin en proposant un exemple de texte, qui est en totale violation du RGPD :

Pour savoir en quoi cette tournure de phrase n’est pas conforme, je vous invite à consulter mon article « Cookies informatiques, comment être (vraiment) en conformité avec la législation ? ».

Spoiler : le fait de naviguer sur un site ne vaut pas pour consentement.

Dans son article, Pixeldetracking fait également état d’autres infractions et mensonges manifestes.

Si un double discours n’est pas une preuve que Criteo fait n’importe quoi avec nos données personnelles, ce genre de pratique sème le doute sur les données collectées, comment elles sont collectées, avec qui elles sont partagées et comment elles sont utilisées.

Comme dit le dicton :

Quand c’est flou, c’est qu’il y a un loup !

La société, comme d’autres spécialistes du pistage publicitaire, fait d’ailleurs l’objet d’une plainte (document en anglais) de l’organisation Privacy International.

À noter qu’il est impossible pour des entreprises comme Criteo de respecter le RGPD car c’est tout leur modèle économique qui est remis en cause. Elles se contentent donc d’avoir des doubles discours et de jouer avec les limites de la loi.

Comment limiter la collecte des données par Criteo

Le RGPD était censé mettre fin à ce genre de pratiques en donnant un cadre juridique stricte à la collecte et à l’utilisation des données personnelles.

En théorie, c’est le cas. La réalité est plus complexe.

En effet, les instances chargées de veiller à l’application des textes manquent de moyens humains et techniques, les procédures sont longues et – sans vouloir paraître complotiste – il est plus facile politiquement et en termes de communication de taper sur des géants étranger que sur des « pépites » nationales.

En attendant, c’est à vous, avec l’aide des navigateurs, de vous protéger.

Pour cela, je ne peux que vous conseiller de :

Vous renseigner. Ne me croyez pas sur parole, faites-vous votre propre opinion !
Pour enrichir vos connaissances sur le sujet, des sites comme Pixeldetracking, des expertes comme Rayna Stamboliyska ou Esther Onfroy, des organismes comme la Quadrature du Net ou le collectif Antipub font un travail formidable de sensibilisation et de défense de nos droits ;
Vous protéger. Pour cela, il existe différents outils qui vont vous aider à limiter votre exposition aux publicités et aux pisteurs.
Sensibilisez autour de vous. La grande majorité des internautes n’a pas conscience de ces techniques. Il est donc important de sensibiliser un maximum de personnes pour espérer voire les choses évoluer et bénéficier d’un web plus sain.

Voici quelques recommandations, simples à mettre en place :

Privilégiez un navigateur comme Firefox, Brave ou Safari à un navigateur comme Chrome. En effet, Chrome étant un produit de Google, dont le métier principal est de vendre de la publicité, il est plus permissif que ses concurrents sur le respect de notre vie privée ;
Activez la fonctionnalité Do not track de votre navigateur. Celle-ci indique que vous ne souhaitez pas être pistés à des fins publicitaires. Par contre, il s’agit juste d’un indicateur et non d’une obligation. Le site que vous visitez n’est donc pas obligé de respecter cette demande ;
Installez un bloqueur de publicités
Videz vos cookies régulièrement.
Utilisez des moteurs de recherche ou des services respectueux de la vie privée.

Focus sur les bloqueurs de publicités

Présentés sous forme d’extension à votre navigateur, ces outils vous protègent des publicités et des scripts de pistage.

Les plus connus sont AdBlock Plus et UBlock Origin (le site est en anglais, mais l’extension est traduite en français).

Toutefois, AdBlock Plus propose un programme appelé « Publicités acceptables » dont fait partie Criteo et qui consiste à payer pour voir sa publicité acceptée, si elle respecte certains critères.

Bien que plus complexe à prendre en main, UBlock Origin est moins permissif.

Les utilisateurs et utilisatrices plus expertes pourront aller plus loin dans leur contrôle des mouchards en installant des extensions comme Ghostery ou Privacy Badger.

J’insiste sur le côté « expert » de la démarche car l’utilisation de ces extensions peut empêcher certains sites de fonctionner correctement (notamment pour le paiement en ligne). Il sera donc nécessaire d’activer les scripts nécessaires un par un. Encore faut-il pouvoir les identifier et savoir ce qu’on fait, sous peine de limiter les effets de ces extensions.

Vous pouvez également bloquer les publicités sur votre smartphone ou tablette avec l’application Blokada pour Android ou AdGuard sur iOS.

Enfin, toujours sur Android, l’application Exodus Privacy vous sensibilise sur les mouchards installés par vos applications.

En rebondissant sur l’article de Pixeldetracking et en prenant l’exemple de Criteo, j’ai voulu expliquer et analyser le fonctionnement de ce type d’entreprise. Toutefois, Criteo est loin d’être la seule société à agir de la sorte. L’immense majorité des entreprises qui vendent des solutions publicitaires fonctionnent sur ce principe.

En outre, si on élargit la réflexion, ces sociétés n’existent que parce que la publicité est essentielle dans de nombreux modèles économiques et elles contribuent à nourrir cette croyance que sur le web, sans publicités, point de visibilité ni de rentabilité.

Certains, comme le site Arrêt sur Images, ont choisi de dire « Merde à la pub ! » et s’en sortent bien. C’est le cas aussi pour Wikipédia qui est devenu un des sites les plus visités au monde sans tout miser sur la publicité.

Il existe également des régies publicitaires alternatives, comme OkoClick ou PubEthique, qui se prétendent éthiques et solidaires. Je n’ai pas creusé la question, mais j’ai peur qu’il y ait beaucoup de fausses promesses dans ce genre d’offres.

Je ne dis pas qu’il faudrait supprimer totalement la publicité. Elle peut être utile pour faire connaître des contenus ou des services de qualité. À mon sens, elle l’est beaucoup moins quand elle pousse à la sur-consommation ou promeut des contenus racoleurs et inutiles !

La technologie n’est pas le problème, c’est l’usage que l’on en fait !