En tant que société internationale dont le siège se trouve en Europe, Criteo bénéficie de solides connaissances sur les normes, réglementations et pratiques d’excellence du secteur. Nous sommes convaincus que la transparence, la cohérence autour des enjeux de confidentialité et de protection des données, sont aussi bénéfiques aux entreprises qu’à leurs clients. Par conséquent, Criteo s’engage à respecter les lois et réglementations en vigueur dans tous les pays où la société opère, notamment le Règlement général sur la protection des données (RGPD) qui harmonise les différentes lois relatives à la confidentialité dans les États membres de l’Union européenne, la Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA), ainsi que la Loi brésilienne sur la protection des données (Lei Geral de Proteção de Dados, LGPD).
Criteo s’engage aux côtés de ses clients annonceurs (ci-après « annonceurs ») et éditeurs partenaires, notamment en retail media (« éditeurs »), en partageant avec eux les directives et pratiques d’excellence essentielles pour respecter les lois et réglementations en vigueur.
1. Informations requises : les clients et partenaires de Criteo sont tenus d’informer les utilisateurs qui consultent leurs sites et applications
Vos sites et applications doivent informer vos utilisateurs de manière claire, exhaustive et facile d’accès sur la manière dont leurs données sont recueillies et utilisées.
Quelles informations fournir aux utilisateurs ?
Selon la réglementation sur la protection des données qui vous concerne, ces informations peuvent légèrement varier. Par exemple, en Europe, les informations suivantes sont obligatoires :
Votre identité
Raison sociale et adresse, entre autres.
Identité des contrôleurs et contrôleurs associés avec lesquels vous partagez vos données à caractère personnel
Finalités du traitement des données recueillies sur vos sites et applications
Les données collectées par Criteo, via les cookies et les technologies sans cookies, servent à créer des publicités ciblées, qui s’appuient sur la reconnaissance de l’appareil de l’utilisateur et la collecte d’informations sur son activité de navigation. Ces données servent à proposer à l’utilisateur des annonces sur des biens et services susceptibles de l’intéresser.
-
- Si vous êtes un annonceur : le traitement des données vous permet d’afficher auprès des utilisateurs des annonces mettant en avant vos produits et/ou services, sur des applications et sites web tiers.
- Si vous êtes un éditeur : le traitement des données permet aux marques, aux retailers et aux prestataires de services de commerce électronique d’afficher, sur votre site web, des publicités mettant en avant leurs produits et/ou services.
- Pour les annonceurs et les éditeurs partageant des données avec Criteo à des fins de liaison inter-appareils, comme les annonceurs en direct sur Criteo Shopper Graph : vous pouvez partager des données (telles que des identifiants techniques issus des informations d’enregistrement des utilisateurs sur votre site web ou votre système CRM) avec vos partenaires publicitaires. Ces derniers pourront ainsi faire le lien entre les différents appareils et navigateurs pour fournir aux utilisateurs une expérience fluide, dans les différents environnements qu’ils utilisent ou sont susceptibles d’utiliser.
Comment autoriser ou refuser les tags ?
Vous pouvez paramétrer vos choix sur votre outil de consentement aux cookies, par exemple.
Conséquences de l’acceptation ou du refus des tags par l’utilisateur
Si l’utilisateur accepte les tags Criteo, il bénéficiera de publicités personnalisées. Ses identifiants techniques serviront à faire le lien entre différents appareils et navigateurs. Il bénéficiera ainsi d’une expérience fluide dans les différents environnements qu’il utilise ou est susceptible d’utiliser.
Si l’utilisateur refuse les tags Criteo, il ne bénéficiera pas de publicités personnalisées en ligne.
Droit de l’utilisateur de retirer son consentement et modalités de retrait
L’utilisateur doit être informé des modalités de retrait du consentement précédemment accordé.
En ce qui concerne les services Criteo, l’utilisateur peut également revenir sur son consentement par le biais de la politique de confidentialité de Criteo.
Pour fournir ces informations à l’utilisateur, il est possible d’adopter une approche à plusieurs niveaux, qui consiste à lui indiquer les informations clés, ainsi que des liens vers des informations plus détaillées.
Quand et où ces informations doivent-elles être fournies ?
Les informations doivent :
- être fournies aux utilisateurs avant qu’ils ne se voient proposer le choix de donner (ou de refuser de donner) leur consentement, d’une manière visible et évidente ;
- être disponibles à tout moment à un emplacement permanent, par exemple sous la rubrique « Politique en matière de cookies » facilement accessible sur le site ou l’application.
Quel type de formulation utiliser ?
Le vocabulaire utilisé doit être simple et clair. Les formulations complexes, techniques ou purement juridiques sont à éviter.
Que faire si le GDPR ne s’applique pas à mon entreprise, ni à mes sites/applications ?
Au-delà des lois qui s’appliquent à votre entreprise, Criteo juge essentiel d’adopter des pratiques transparentes pour instaurer un climat de confiance au sein des services et de l’économie digitale dans sa globalité. La transparence, c’est informer l’utilisateur, de manière exhaustive et compréhensible, sur la manière dont les données sont utilisées, et par qui. C’est pourquoi Criteo recommande vivement à ses partenaires d’inclure dans leurs politiques de confidentialité un message sur la collecte des données visant à proposer des publicités personnalisées.
2. Obligation de consentement : lorsque la loi l’exige, vous devez recueillir le consentement sur l’ensemble de vos sites et applications pour pouvoir utiliser les services Criteo
Conformément aux conditions générales de Criteo, dans tous les pays où l’obtention du consentement est obligatoire pour l’utilisation de nos services, il est de la responsabilité de nos clients et de nos partenaires éditeurs de recueillir le consentement éclairé de leurs utilisateurs avant l’activation de tags de Criteo. En effet, vous avez un accès direct aux utilisateurs et vous maîtrisez les mécanismes de choix proposés sur vos sites et applications pour recueillir le consentement ou non des utilisateurs, pour la mise en œuvre de différents tags tiers.
Quelles conditions remplir pour que le consentement soit valable ?
Selon la législation européenne, le consentement est jugé valable s’il est donné librement, s’il est spécifique,, éclairé et sans équivoque.
Que signifient les termes « donné librement » et « spécifique » ?
L’utilisateur doit pouvoir donner son consentement ou refuser de le donner pour chaque finalité de traitement de ses données. Il est également possible de proposer des options d’acceptation « globale » et de refus « global » qui s’appliqueront à plusieurs finalités.
Que signifie le terme « éclairé » ?
Il implique qu’avant de donner son consentement, l’utilisateur doit disposer de toutes les informations relatives à l’utilisation de cookies et de technologies sans cookies par Criteo, dans le but de diffuser des publicités ciblées (voir section 1 ci-dessus).
Que signifie « sans équivoque » ?
Le consentement doit être donné par une affirmation positive. Le fait de poursuivre la navigation, de faire défiler des pages ou d’utiliser un site web ou une application n’est pas considéré comme un consentement valable. L’utilisation de cases pré-cochées ne constitue pas non plus un consentement valable.
L’absence d’action de la part d’un utilisateur ne peut être interprétée comme un consentement valable.
Dois-je autoriser les utilisateurs à refuser de donner leur consentement ?
Oui. Les utilisateurs doivent pouvoir refuser l’utilisation des tags Criteo aussi facilement qu’ils doivent pouvoir donner leur consentement.
Par exemple, si les utilisateurs peuvent donner leur accord pour plusieurs finalités à la fois, ils doivent pouvoir les refuser tout aussi facilement.
Dois-je autoriser les utilisateurs à retirer le consentement précédemment accordé ?
Oui. Les utilisateurs doivent pouvoir revenir sur leur consentement à tout moment, quelle qu’en soit la raison. Les moyens de le faire doivent être faciles d’accès. Le fait de retirer son consentement doit être aussi simple que de le donner.
Puis-je me fier aux paramètres du navigateur pour recueillir le consentement ?
Non. Les autorités chargées de la protection des données estiment que les paramètres du navigateur ne permettent pas de recueillir un consentement valable.
Combien de temps dois-je conserver les choix des utilisateurs ?
Le choix des utilisateurs doit être conservé au moins pendant la durée de la navigation ou de l’utilisation du site ou de l’application. La durée maximale de conservation doit être adaptée à la nature du site ou de l’application ainsi qu’à son audience.
Dois-je garder une trace du consentement donné par les utilisateurs ?
Oui. Vous devez être en mesure de prouver, à tout moment, que vous avez recueilli un consentement valable. Vous devez être en mesure de fournir à Criteo, à sa demande, le consentement que vous avez recueilli pour chaque utilisateur.
Pour plus d’informations sur le RGPD et son application aux annonceurs et éditeurs :
Lignes directrices de l’EDPB sur le consentement au sens du RGPD (2020)
Article 29 de la directive de protection des personnes sur la transparence en vertu du RGPD (2018)
Notez que les informations fournies dans cet article ne constituent pas un avis juridique, et ne sont nullement destinées à créer ou à atteindre le niveau d’une relation avocat-client. Si nécessaire, adressez-vous à un conseiller juridique.
Dernière mise à jour : 05/01/2021.