L'onde de choc Criteo : ce qui change concrètement pour l'AdTech en 2026

Si vous suivez de près l'actu AdTech, vous savez que l'affaire Criteo n'est plus seulement un feuilleton juridique, c'est devenu une véritable boussole pour nos métiers. En tant que Privacy Officer chez Adequacy, je vois passer beaucoup d'inquiétudes sur la manière dont une startup ou une scaleup peut encore opérer sereinement dans la publicité digitale après une telle déflagration.

‍

L'amende de 40 millions d'euros infligée par la CNIL (et confirmée par le Conseil d'État) n'est pas juste une punition financière pour un géant. C'est un message envoyé à tout l'écosystème : les zones grises, c'est fini.

‍

Voici l'analyse de ce qui change concrètement pour vous, au-delà du jargon juridique.

‍

‍

L'illusion de la donnée "anonyme" a volé en éclats

‍

‍

Pendant longtemps, beaucoup de boîtes du secteur se sont rassurées en se disant : "On ne manipule pas de noms ou d'emails, seulement des ID techniques et des cookies, donc c'est de la donnée pseudonyme, on est tranquilles."

‍

Le verdict Criteo vient doucher cet espoir. À partir du moment où vous pouvez isoler un utilisateur pour lui proposer une chaussure de sport plutôt qu'une perceuse, vous faites du traitement de données personnelles. Peu importe que vous ignoriez son identité civile.

‍

Le conseil que je donne à nos clients : arrêtez de chercher des failles sémantiques. Partez du principe que 100% de vos trackers sont soumis au RGPD. Ça évite de construire une stack technique sur du sable.

‍

‍

La responsabilité du consentement : on ne peut plus rejeter la faute sur l'éditeur

‍

‍

C'est sans doute le point le plus dur à avaler pour les plateformes programmatiques. Criteo expliquait qu'en tant qu'intermédiaire, c'était aux sites médias (les éditeurs) de récolter le consentement. Logique, non ?

‍

Pas pour la CNIL. En tant que responsable de traitement, c'est à vous de prouver que le consentement a été donné.

‍

Prenons un exemple concret : si vous êtes une scaleup et que vous diffusez des campagnes via un réseau de 500 sites partenaires, vous devez être capable de produire les preuves de consentement (les fameux logs de la CMP) si on vous les demande. La confiance aveugle en vos partenaires est devenue un risque juridique majeur.

‍

C'est ici que la jurisprudence Criteo frappe fort également dans le Retail Media : l'enseigne (l'annonceur) et la plateforme technique sont co-responsables. Si la plateforme ne peut pas prouver que l'utilisateur a accepté le dépôt du cookie tiers sur le site de l'éditeur final, toute la chaîne s'effondre. Si vous brassez les données de millions de porteurs de cartes, vous devez être capable de produire les preuves de consentement pour chaque transaction publicitaire.

‍

‍

Le droit à l'oubli : l'opt-out ne suffit plus

‍

‍

Une autre erreur relevée dans l'affaire : quand un utilisateur demandait à ne plus être ciblé, Criteo arrêtait de lui envoyer des pubs, mais gardait ses identifiants en base "au cas où".

‍

Pour la CNIL, c'est non. Si un utilisateur retire son consentement, vous devez tout supprimer ou anonymiser de façon irréversible. Faire le mort sur la donnée en espérant qu'elle serve plus tard, c'est s'exposer à une sanction immédiate.

‍

‍

Comment avancer : trois chantiers prioritaires

‍

‍

On ne va pas se mentir, le climat est tendu, mais c'est aussi une opportunité de nettoyage du marché. Pour tirer votre épingle du jeu, il y a trois chantiers prioritaires :

‍

• La transparence by design : vos API doivent intégrer la gestion du consentement nativement. Si vos clients sentent que votre solution est "privacy-safe", vous gagnez un avantage compétitif énorme
• Le pivot vers le Retail Media : la donnée captée directement sur le site d'un marchand est beaucoup plus solide juridiquement que le tracking tiers qui traverse tout le web
• L'audit contractuel : revoyez vos contrats avec les éditeurs. Ne vous contentez plus d'une ligne disant qu'ils respectent le RGPD. Demandez des garanties techniques

‍

L'AdTech de 2026 ne sera pas moins performante, elle sera juste plus propre. C'est peut-être la meilleure nouvelle de l'année pour ceux qui veulent construire des boîtes pérennes.

‍

‍

Retail Media au scanner de la CNIL : trois cas concrets

‍

‍

Pour les acteurs de la grande distribution et les spécialistes de l'activation en point de vente, les enjeux sont démultipliés. Voici trois scénarios qui illustrent les nouveaux risques.

‍

Le ciblage panier (lookalike et upsell)

Imaginez une solution qui analyse le panier d'un client sur un site de Drive pour lui proposer un coupon de réduction immédiat sur une marque concurrente.

‍

Le risque : si le consentement recueilli au moment de l'inscription au programme de fidélité n'est pas explicite sur le partage de ces données avec des régies tierces, l'activation est illégale. L'utilisateur doit savoir que son achat de "yaourts bio" va servir à le cibler ailleurs.

‍

L'extension d'audience (off-site)

Une enseigne de grande distribution souhaite recibler ses clients "fidèles" lorsqu'ils naviguent sur des sites de cuisine ou d'actualité.

‍

Le risque : c'est ici que la jurisprudence Criteo frappe fort. L'enseigne (l'annonceur) et la plateforme technique sont co-responsables. Si la plateforme ne peut pas prouver que l'utilisateur a accepté le dépôt du cookie tiers sur le site de l'éditeur final, toute la chaîne s'effondre.

‍

Le couponing prédictif

Une scaleup propose une technologie qui prédit le prochain achat en fonction de l'historique de navigation.

‍

Le risque : le droit à l'oubli. Si un client demande la suppression de ses données "fidélité" à l'enseigne, cette suppression doit se répercuter instantanément sur l'algorithme de la scaleup. Garder un "profil fantôme" pour l'entraînement de l'IA est désormais une faute lourde.

‍

‍

Checklist contractuelle : cinq clauses indispensables après l'affaire Criteo

‍

‍

La clause de garantie de collecte

Ne laissez pas l'éditeur dire qu'il fait son affaire du consentement. Il faut être précis :

‍

• L'obligation de moyen renforcée : l'éditeur doit s'engager à utiliser une CMP homologuée par l'IAB (TCF v2.2 ou plus) ou une solution reconnue par la CNIL
• Le détail des finalités : le contrat doit lister exactement pour quoi le consentement est recueilli (ex : reciblage publicitaire, mesure d'audience, personnalisation de contenu). Si l'éditeur oublie une case dans sa bannière, votre donnée est illégale

‍

Le droit d'audit technique

C'est là que Criteo a péché. Vous devez pouvoir vérifier que vos partenaires ne vous racontent pas de craques :

‍

• Accès aux logs : prévoyez une clause vous permettant de demander, sur simple requête, les preuves de consentement (le "consent string") pour un échantillon d'utilisateurs
• Délai de réponse : le partenaire doit pouvoir vous fournir ces preuves sous 48h ou 72h. En cas de contrôle CNIL, c'est le délai qu'on vous donnera

‍

La gestion de la chaîne de retrait

C'est le point le plus complexe techniquement, mais indispensable juridiquement :

‍

• Répercussion de l'opt-out : si un utilisateur retire son consentement sur le site de l'éditeur, comment l'info remonte-t-elle chez vous en temps réel ?
• Engagement de suppression : le contrat doit stipuler qu'en cas de retrait, vous vous engagez à supprimer (et pas juste "ne plus cibler") les données liées à cet ID sous un délai X

‍

La responsabilité conjointe

Depuis l'affaire Criteo, on ne peut plus vraiment dire "je ne suis que sous-traitant" :

‍

• L'accord de joint controllership : il faut définir noir sur blanc qui fait quoi. Qui répond à l'utilisateur s'il exerce son droit d'accès ? (en général, c'est celui qui collecte la donnée en premier, donc l'éditeur, mais vous devez être en back-up)

‍

La clause de résiliation "flash"

Si vous réalisez qu'un partenaire a un taux d'erreur de consentement trop élevé ou qu'il ne répond pas à vos demandes de preuves :

‍

• Sortie sans préavis : prévoyez de pouvoir couper les flux de données immédiatement et de résilier le contrat sans indemnités si la conformité n'est plus assurée. La santé de votre boîte passe avant leur inventaire

‍

‍

FAQ - questions fréquentes sur la conformité RGPD après l'affaire Criteo

‍

‍

Qu'est-ce que l'affaire Criteo et pourquoi est-elle importante pour l'AdTech ?

La CNIL a infligé une amende de 40 millions d'euros à Criteo, confirmée par le Conseil d'État, pour des manquements au RGPD liés à la collecte de consentement, au traitement de données pseudonymes et au non-respect du droit à l'oubli. Cette décision fait jurisprudence pour l'ensemble de l'écosystème publicitaire digital.

‍

Un cookie ou un identifiant technique est-il considéré comme une donnée personnelle au sens du RGPD ?

Oui. L'affaire Criteo l'a confirmé : dès lors qu'un identifiant technique permet d'isoler un utilisateur pour lui adresser un ciblage personnalisé, il constitue une donnée personnelle soumise au RGPD — même en l'absence de nom ou d'adresse e-mail.

‍

Qui est responsable de la collecte du consentement dans une chaîne programmatique ?

Chaque responsable de traitement est tenu de prouver que le consentement a bien été recueilli. En tant que plateforme ou annonceur, vous ne pouvez pas vous reposer uniquement sur vos partenaires éditeurs. Vous devez être en mesure de produire les preuves de consentement (logs CMP) à tout moment.

‍

Que doit-il se passer quand un utilisateur retire son consentement ?

Le retrait du consentement impose la suppression complète des données liées à cet utilisateur — et non leur simple mise en veille. Conserver des identifiants "au cas où" après un opt-out est une faute caractérisée au regard du RGPD.

‍

Le Retail Media est-il concerné par la jurisprudence Criteo ?

Oui, et de façon particulièrement directe. Les enseignes, annonceurs et plateformes techniques sont co-responsables de traitement dans les dispositifs de Retail Media. Toute la chaîne doit pouvoir prouver la validité du consentement, y compris pour les activations off-site.