La Cnil sanctionne Criteo d'une amende de 40 millions d'euros
L'autorité reproche à l'adtech plusieurs manquements lors du traitement des données des internautes dans ses activités de reciblage. Criteo a déjà indiqué son intention de faire appel.
La décision a été communiquée à Criteo mercredi 21 juin et rendue publique ce 22 juin matin : la Cnil sanctionne l'adtech d'une amende de 40 millions d'euros "notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement", indique l'autorité française dans un communiqué. La procédure concerne l'activité de reciblage de l'adtech et fait suite aux plaintes déposées en 2018 par Privacy International et None of Your Business. Criteo a déjà indiqué que la société va faire appel de cette décision.
Dans sa plainte déposée en novembre 2018, l'association Privacy International, basée à Londres, soutenait que Criteo ne respectait pas les principes de collecte et utilisation de données personnelles établis dans l'article 5 du RGPD (comme la transparence, la loyauté, l'existence de finalités déterminées, etc.). None of Your Business, basée en Autriche, a quant à elle saisi la Cnil en décembre de la même année pour se plaindre du fait qu'il était très contraignant pour l'internaute de retirer auprès de Criteo un consentement au traitement de ses données. La Cnil a procédé à plusieurs missions de contrôle entre 2019 et 2022.
Dans sa décision rendue publique ce 22 juin, et ce malgré la demande faite par Criteo à l'autorité de ne pas la rendre publique, la Cnil déclare avoir relevé plusieurs manquements lors de ses investigations. En particulier : l'absence de preuve du consentement des personnes au traitement de leurs données, un manquement à l'obligation d'information et de transparence et le manquement à l'obligation de répondre au droit de retrait du consentement et de l'effacement des données des internautes qui le demandent. La Cnil reproche également à Criteo de ne pas avoir prévu dans les contrats signés avec ses partenaires responsables conjoints du traitement des données certaines obligations vis-à-vis d'exigences contenues dans le RGPD.
"Afin de déterminer le montant de la sanction, la Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d'identifiants à travers l'Union européenne)", indique l'autorité au sujet de Criteo. "Si la société ne dispose pas du nom de l'internaute, la Cnil a estimé que les données étaient suffisamment précises pour permettre, dans certains cas, de réidentifier les personnes". La Cnil considère également que "le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d'augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu'elle tire de son rôle d'intermédiaire publicitaire".
Contactée ce matin, Criteo déclare qu'elle entend faire appel de cette décision de sanction de la Cnil auprès des autorités juridiques compétentes. "Bien que la Cnil ait réduit la sanction finale de 60 millions d'euros, montant initialement proposé, à 40 millions d'euros, la sanction reste largement disproportionnée au vu des manquements allégués et est sans commune mesure avec la pratique générale dans ce domaine", estime Ryan Damon, directeur juridique de Criteo, via une déclaration envoyée à la presse. "En outre, nous estimons qu'un certain nombre d'interprétations et d'applications du RGPD faites par la Cnil ne sont cohérentes ni avec la jurisprudence de la Cour de Justice de l'Union européenne ni avec les propres lignes directrices et recommandations de la Cnil".
Et il poursuit : "Nous considérons que les allégations formulées par la Cnil n'impliquent aucun risque pour les personnes, ni de dommages causés à celles-ci. Criteo, qui s'appuie uniquement sur des données pseudonymisées, non directement identifiantes et non sensibles dans le cadre de ses activités, est pleinement engagée dans la protection de la vie privée et des données des utilisateurs". Le juriste rappelle que cette décision porte sur des faits passés et ne comporte aucune obligation pour Criteo de modifier ses pratiques actuelles : "Nous continuons à respecter les normes les plus strictes dans ce domaine et à mener une activité globale totalement transparente et conforme à la réglementation."
Criteo peut faire appel de cette décision devant le Conseil d'État dans un délai de deux mois à compter de sa notification.