Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Criteo

Que fait Criteo ?

Criteo est une société française d'adtech cotée au Nasdaq (CRTO) dont le siège est à Paris, leader européen du reciblage programmatique. Son tag OneTag dépose des cookies tiers pour suivre les utilisateurs entre sites et diffuser de la publicité personnalisée. Criteo a été condamné par la CNIL à 40 millions d'euros en juin 2023 pour manquements au RGPD, ce qui en fait l'un des sous traitants les plus à risque sans flux de consentement strictement conforme.

Présentation de Criteo

Criteo S.A. est une société française d''adtech cotée au Nasdaq (CRTO) fondée en 2005 à Paris et longtemps leader européen du reciblage personnalisé et du commerce media. Son tag OneTag est déployé chez plus de 20 000 e commerçants dans le monde pour reconnaître les visiteurs entre éditeurs et diffuser des bannières dynamiques liées aux produits récemment consultés. Criteo est vendeur IAB TCF v2.2 enregistré (vendor ID 91) et opère du programmatique via les partenaires de l''écosystème Open RTB.

Cookies et données collectés

Criteo dépose des cookies tiers sur criteo.com et criteo.net : uid (12 mois) est l''identifiant inter sites, optout (5 ans) stocke le signal de refus, tid (1 mois) le contexte de ciblage et dyn_user_match (6 mois) gère le cookie syncing avec les partenaires bidders. Criteo lit également les événements de navigation produit (ID, catégorie, prix, devise), les recherches et les conversions, et les combine avec les signaux des éditeurs via le cookie syncing. Avec la fin annoncée des cookies tiers, Criteo s''appuie aussi sur son First Party Universal Token, sur l''e mail haché SHA256 et sur les API Privacy Sandbox de Google.

La sanction CNIL de 40 M EUR (2023)

En juin 2023, la CNIL a condamné Criteo à 40 millions d''euros pour défaut de démonstration du consentement, manquement à la transparence, atteinte partielle aux droits des personnes (accès, retrait, effacement) et insuffisance des contrats de sous traitance avec ses partenaires e commerçants (délibération SAN 2023 009). La décision applique la doctrine stricte de la CNIL selon laquelle le responsable de traitement ne peut pas se reposer sur la chaîne IAB TCF seule pour prouver le consentement et doit conserver sa propre preuve. Tout site embarquant le OneTag doit donc être capable de démontrer, visiteur par visiteur, que le consentement a été donné avant le déclenchement du tag.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Conformité RGPD et ePrivacy

Le tag OneTag et les cookies qu''il pose relèvent strictement de l''article 5(3) de la directive ePrivacy et nécessitent un consentement préalable explicite au titre de l''article 6(1)(a) RGPD. L''intérêt légitime de l''article 6(1)(f) n''est pas disponible pour la publicité comportementale inter sites, comme l''ont confirmé le CEPD et la CNIL. La CMP doit bloquer le OneTag avant consentement, configurer la catégorie publicité en opt in, conserver la preuve du consentement pendant au moins 13 mois et transmettre la chaîne IAB TCF v2.2 à Criteo. Le bouton refuser doit avoir le même poids visuel que le bouton accepter.

Mise en oeuvre pratique

Pilotez le tag Criteo OneTag via une CMP qui bloque les scripts tiers avant consentement (CookieFirst, Didomi, Iubenda, Axeptio, Cookiebot, Usercentrics, Klaro). Activez le vendeur IAB TCF v2.2 numéro 91 dans la CMP, transmettez la chaîne TCF à Criteo, conservez la preuve du consentement pendant au moins 13 mois et documentez l''analyse de mise en balance dans le registre des traitements. Pour les déploiements server side, utilisez l''API Conversions de Criteo en n''envoyant que les événements avec consentement et en transmettant le signal de consentement dans chaque payload.

Categorie de consentement RGPD

Marketing

Les sites web utilisant Criteo doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legalePrior explicit consent under Article 6(1)(a) GDPR and Article 5(3) ePrivacy Directive. Criteo retargeting relies on cross site behavioural advertising cookies and cannot rely on legitimate interest. The CNIL fined Criteo 40 million euros in June 2023 for failing to demonstrate consent, lack of transparency and partial breach of data subject rights.

Niveau de risquehigh

Reglementations applicablesGDPR, ePrivacy Directive 2002/58/EC, French CNIL guidelines and 2023 sanction, German TDDDG, Spanish LSSI, IAB TCF v2.2, EDPB guidelines on dark patterns and consent

Considerations AIPD

Le reciblage Criteo est un traitement à risque élevé au sens de l'article 35 RGPD et de la liste du CEPD : suivi à grande échelle du comportement entre sites, partage transfrontalier dans la chaîne programmatique et profilage publicitaire susceptible d'affecter les personnes. Une AIPD est fortement recommandée ; documentez la mise en balance de l'intérêt légitime (non applicable au cookie mais éventuellement au profilage avant consentement), la preuve du consentement, l'inscription IAB TCF v2.2 du vendeur 91 et le contrat avec Criteo S.A.

Exemple de texte de consentement

Nous utilisons Criteo pour vous proposer de la publicité personnalisée fondée sur votre navigation. Criteo, société française cotée, dépose des cookies tiers qui identifient votre navigateur entre sites et permettent de constituer un profil publicitaire. Criteo n'est activé qu'après votre acceptation de la catégorie publicité et vous pouvez retirer votre consentement à tout moment.

Details techniques

Methode de suiviJavaScript loader (OneTag) and pixel from static.criteo.net. Sets third party cookies for cross site retargeting (uid, tid, dyn_user_match). Server side conversion API and Commerce Growth audience matching. IAB TCF v2.2 vendor (vendor ID 91).

Localisation des serveursEuropean Union and United States. Criteo S.A. is headquartered in Paris (France), with data centers in Paris, Amsterdam, Hong Kong, Tokyo, New York. Programmatic bid stream uses Equinix LD5 (London) and AMS9 (Amsterdam) for the EU traffic.

Suivi sans cookie disponibleOui

Donnees transferees hors UEAlthough Criteo is a French company headquartered in Paris, the global programmatic bid stream means that bid requests containing user signals can be processed by partners outside the EEA. Criteo has been sanctioned by the CNIL (40 million euros in June 2023) for failing to demonstrate consent and to ensure data subject rights. Standard Contractual Clauses must be in place.

Domaines tiers contactes

static.criteo.netsslwidget.criteo.comdis.criteo.comdis.eu.criteo.com

Cookies deposes

Nom	Type	Duree	Finalite
uid	third_party	12 months	Unique cross site identifier assigned by Criteo. Used to recognise the browser across publishers in the programmatic ecosystem and to build the retargeting profile.
tid	third_party	1 month	Targeting context cookie storing the latest browsed product and campaign signals to compute the optimal ad to display.
dyn_user_match	third_party	6 months	Cookie syncing identifier shared with bidding partners (Open RTB) to align user IDs across DSPs and SSPs in real time auctions.
optout	third_party	5 years	Stores the user opt out preference. Set when the visitor uses the IAB TCF opt out signal or the Criteo specific opt out page.

Criteo utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Quels cookies Criteo dépose t il ?

Criteo dépose des cookies tiers sur criteo.com et criteo.net : uid (12 mois) identifiant inter sites, tid (1 mois) contexte de ciblage, dyn_user_match (6 mois) pour le cookie syncing avec les bidders et optout (5 ans) pour le signal de refus. Sans ces cookies, le reciblage Criteo ne peut fonctionner.

Faut il recueillir le consentement pour Criteo ?

Oui, un consentement préalable explicite au titre de l'article 6(1)(a) RGPD et de l'article 5(3) ePrivacy est requis. Les cookies Criteo sont de pures cookies publicitaires de reciblage inter sites et ne peuvent reposer sur l'intérêt légitime, comme l'ont confirmé la CNIL et le CEPD.

Quelle est la base légale pour utiliser Criteo ?

Uniquement le consentement (article 6(1)(a) RGPD). La délibération CNIL SAN 2023 009 de juin 2023 a confirmé que le reciblage Criteo exige un consentement explicite et démontrable, et a sanctionné Criteo à 40 millions d'euros pour défaut de preuve du consentement et atteinte aux droits des personnes.

Criteo transfère t il des données aux États Unis ?

Criteo est basée à Paris mais opère une infrastructure programmatique mondiale. Les bid requests contenant des signaux utilisateurs peuvent être traités par des partenaires hors EEE. Les clauses contractuelles types sont signées et le Data Privacy Framework UE Etats Unis est référencé lorsque c'est applicable, mais une analyse d'impact transfert Schrems II est recommandée.

Une AIPD est elle requise pour Criteo ?

Oui. Le reciblage Criteo est un traitement à risque élevé (suivi comportemental à grande échelle, profilage, partage transfrontalier) et une AIPD est fortement recommandée par la CNIL et le CEPD. Documentez le flux de consentement, l'inscription IAB TCF vendeur 91, le contrat avec Criteo S.A. et la conservation de 13 mois de la preuve.

Comment implémenter Criteo correctement ?

Bloquez le tag Criteo OneTag dans une CMP, activez le vendeur IAB TCF v2.2 numéro 91, transmettez la chaîne TCF à Criteo, conservez la preuve du consentement au moins 13 mois, configurez le bouton refuser au même poids visuel et utilisez l'API Conversions côté serveur uniquement avec consentement. Documentez la mise en balance dans le registre des traitements.

Quelles sont les alternatives à Criteo ?

Alternatives programmatiques européennes : RTB House (Pologne), AdUp (Allemagne, contextuel), Smartclip (Allemagne), et plateformes contextuelles comme Seedtag (Espagne) et Outbrain Engage (Israël). Alternatives privacy first : reciblage first party côté serveur via une CDP (Snowflake, Twilio Segment) combiné au reciblage par e mail.

Comment maintenir ma politique cookies à jour pour Criteo ?

Citez Criteo explicitement comme sous traitant publicitaire dans votre politique cookies, renvoyez à la politique Criteo à https://www.criteo.com/privacy, déclarez l'inscription IAB TCF vendeur 91, documentez le mécanisme de transfert vers pays tiers et mettez à jour la politique à chaque évolution de la liste de cookies ou de domaines Criteo.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min