The Criteo Shockwave: What's concretely changing for AdTech in 2026
L'amende de 40 millions d'euros infligée à Criteo par la CNIL — confirmée par le Conseil d'État — a envoyé un signal clair à tout l'écosystème AdTech : les zones grises, c'est fini. Données pseudonymes, responsabilité du consentement, droit à l'oubli, Retail Media… cet article décrypte ce qui change concrètement pour les startups et scaleups qui opèrent dans la publicité digitale, et les chantiers prioritaires à engager dès maintenant.
Si vous suivez de près l'actu AdTech, vous savez que l'affaire Criteo n'est plus seulement un feuilleton juridique, c'est devenu une véritable boussole pour nos métiers. En tant que Privacy Officer chez Adequacy, je vois passer beaucoup d'inquiétudes sur la manière dont une startup ou une scaleup peut encore opérer sereinement dans la publicité digitale après une telle déflagration.
L'amende de 40 millions d'euros infligée par la CNIL (et confirmée par le Conseil d'État) n'est pas juste une punition financière pour un géant. C'est un message envoyé à tout l'écosystème : les zones grises, c'est fini.
Voici l'analyse de ce qui change concrètement pour vous, au-delà du jargon juridique.
L'illusion de la donnée "anonyme" a volé en éclats
Pendant longtemps, beaucoup de boîtes du secteur se sont rassurées en se disant : "On ne manipule pas de noms ou d'emails, seulement des ID techniques et des cookies, donc c'est de la donnée pseudonyme, on est tranquilles."
Le verdict Criteo vient doucher cet espoir. À partir du moment où vous pouvez isoler un utilisateur pour lui proposer une chaussure de sport plutôt qu'une perceuse, vous faites du traitement de données personnelles. Peu importe que vous ignoriez son identité civile.
Le conseil que je donne à nos clients : arrêtez de chercher des failles sémantiques. Partez du principe que 100% de vos trackers sont soumis au RGPD. Ça évite de construire une stack technique sur du sable.
La responsabilité du consentement : on ne peut plus rejeter la faute sur l'éditeur
C'est sans doute le point le plus dur à avaler pour les plateformes programmatiques. Criteo expliquait qu'en tant qu'intermédiaire, c'était aux sites médias (les éditeurs) de récolter le consentement. Logique, non ?
Pas pour la CNIL. En tant que responsable de traitement, c'est à vous de prouver que le consentement a été donné.
Prenons un exemple concret : si vous êtes une scaleup et que vous diffusez des campagnes via un réseau de 500 sites partenaires, vous devez être capable de produire les preuves de consentement (les fameux logs de la CMP) si on vous les demande. La confiance aveugle en vos partenaires est devenue un risque juridique majeur.
C'est ici que la jurisprudence Criteo frappe fort également dans le Retail Media : l'enseigne (l'annonceur) et la plateforme technique sont co-responsables. Si la plateforme ne peut pas prouver que l'utilisateur a accepté le dépôt du cookie tiers sur le site de l'éditeur final, toute la chaîne s'effondre. Si vous brassez les données de millions de porteurs de cartes, vous devez être capable de produire les preuves de consentement pour chaque transaction publicitaire.
Le droit à l'oubli : l'opt-out ne suffit plus
Une autre erreur relevée dans l'affaire : quand un utilisateur demandait à ne plus être ciblé, Criteo arrêtait de lui envoyer des pubs, mais gardait ses identifiants en base "au cas où".
Pour la CNIL, c'est non. Si un utilisateur retire son consentement, vous devez tout supprimer ou anonymiser de façon irréversible. Faire le mort sur la donnée en espérant qu'elle serve plus tard, c'est s'exposer à une sanction immédiate.
Comment avancer : trois chantiers prioritaires
On ne va pas se mentir, le climat est tendu, mais c'est aussi une opportunité de nettoyage du marché. Pour tirer votre épingle du jeu, il y a trois chantiers prioritaires :
- La transparence by design : vos API doivent intégrer la gestion du consentement nativement. Si vos clients sentent que votre solution est "privacy-safe", vous gagnez un avantage compétitif énorme
- Le pivot vers le Retail Media : la donnée captée directement sur le site d'un marchand est beaucoup plus solide juridiquement que le tracking tiers qui traverse tout le web
- L'audit contractuel : revoyez vos contrats avec les éditeurs. Ne vous contentez plus d'une ligne disant qu'ils respectent le RGPD. Demandez des garanties techniques
L'AdTech de 2026 ne sera pas moins performante, elle sera juste plus propre. C'est peut-être la meilleure nouvelle de l'année pour ceux qui veulent construire des boîtes pérennes.
Retail Media au scanner de la CNIL : trois cas concrets
Pour les acteurs de la grande distribution et les spécialistes de l'activation en point de vente, les enjeux sont démultipliés. Voici trois scénarios qui illustrent les nouveaux risques.
Le ciblage panier (lookalike et upsell)
Imaginez une solution qui analyse le panier d'un client sur un site de Drive pour lui proposer un coupon de réduction immédiat sur une marque concurrente.
Le risque : si le consentement recueilli au moment de l'inscription au programme de fidélité n'est pas explicite sur le partage de ces données avec des régies tierces, l'activation est illégale. L'utilisateur doit savoir que son achat de "yaourts bio" va servir à le cibler ailleurs.
L'extension d'audience (off-site)
Une enseigne de grande distribution souhaite recibler ses clients "fidèles" lorsqu'ils naviguent sur des sites de cuisine ou d'actualité.
Le risque : c'est ici que la jurisprudence Criteo frappe fort. L'enseigne (l'annonceur) et la plateforme technique sont co-responsables. Si la plateforme ne peut pas prouver que l'utilisateur a accepté le dépôt du cookie tiers sur le site de l'éditeur final, toute la chaîne s'effondre.
Le couponing prédictif
Une scaleup propose une technologie qui prédit le prochain achat en fonction de l'historique de navigation.
Le risque : le droit à l'oubli. Si un client demande la suppression de ses données "fidélité" à l'enseigne, cette suppression doit se répercuter instantanément sur l'algorithme de la scaleup. Garder un "profil fantôme" pour l'entraînement de l'IA est désormais une faute lourde.
Checklist contractuelle : cinq clauses indispensables après l'affaire Criteo
La clause de garantie de collecte
Ne laissez pas l'éditeur dire qu'il fait son affaire du consentement. Il faut être précis :
- L'obligation de moyen renforcée : l'éditeur doit s'engager à utiliser une CMP homologuée par l'IAB (TCF v2.2 ou plus) ou une solution reconnue par la CNIL
- Le détail des finalités : le contrat doit lister exactement pour quoi le consentement est recueilli (ex : reciblage publicitaire, mesure d'audience, personnalisation de contenu). Si l'éditeur oublie une case dans sa bannière, votre donnée est illégale
Le droit d'audit technique
C'est là que Criteo a péché. Vous devez pouvoir vérifier que vos partenaires ne vous racontent pas de craques :
- Accès aux logs : prévoyez une clause vous permettant de demander, sur simple requête, les preuves de consentement (le "consent string") pour un échantillon d'utilisateurs
- Délai de réponse : le partenaire doit pouvoir vous fournir ces preuves sous 48h ou 72h. En cas de contrôle CNIL, c'est le délai qu'on vous donnera
La gestion de la chaîne de retrait
C'est le point le plus complexe techniquement, mais indispensable juridiquement :
- Répercussion de l'opt-out : if a user withdraws their consent on the publisher's site, how does that information reach you in real-time?
- Deletion Commitment: the contract must stipulate that in the event of withdrawal, you commit to deleting (and not just "no longer targeting") the data linked to that ID within X timeframe
Joint Responsibility
Since the Criteo case, you can no longer truly say "I am only a data processor":
- The Joint Controllership Agreement: you need to define clearly, in writing, who does what. Who responds to the user if they exercise their right of access? (generally, it's the one who first collects the data, i.e., the publisher, but you must be prepared to act as a backup)
The Immediate Termination Clause
If you realize that a partner has too high a consent error rate or does not respond to your requests for proof:
- Termination Without Notice: plan to be able to cut off data flows immediately and terminate the contract without compensation if compliance is no longer ensured. Your company's health takes precedence over their inventory
FAQ - Frequently Asked Questions about GDPR Compliance after the Criteo Case
What is the Criteo case and why is it important for AdTech?
The CNIL fined Criteo €40 million, a decision upheld by the Conseil d'État (French Council of State), for GDPR violations related to consent collection, processing of pseudonymized data, and failure to respect the right to be forgotten. This ruling sets a legal precedent for the entire digital advertising ecosystem.
Is a cookie or a technical identifier considered personal data under the GDPR?
Yes. The Criteo case confirmed it: as soon as a technical identifier allows a user to be isolated for personalized targeting, it constitutes personal data subject to the GDPR — even in the absence of a name or email address.
Who is responsible for consent collection in a programmatic chain?
Each data controller is required to prove that consent has been properly obtained. As a platform or advertiser, you cannot rely solely on your publisher partners. You must be able to produce proof of consent (CMP logs) at any time.
What should happen when a user withdraws their consent?
Withdrawing consent requires the complete deletion of data related to that user — not just its deactivation. Retaining identifiers "just in case" after an opt-out is a clear violation under the GDPR.
Is Retail Media affected by the Criteo ruling?
Yes, and in a particularly direct way. Retailers, advertisers, and technical platforms are joint data controllers in Retail Media setups. The entire chain must be able to prove the validity of consent, including for off-site activations.
