Par Haas Avocats
La CNIL sanctionne la société CRITEO d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.
La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 40 millions d'euros à Criteo, spécialisée dans la publicité en ligne, pour des violations liées aux données personnelles.
Fondée en 2005 en France, CRITEO est spécialisée dans l’affichage de publicités ciblées sur le web. En 2022, le groupe CRITEO employait environ 3 000 employés et avait réalisé un chiffre d'affaires global d'environ 1,9 milliard d'euros pour un résultat net de 10 millions d’euros environ. La société met en œuvre des traitements de données dits de " reciblage publicitaire ", qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.
Pour cela, CRITEO collecte les données de navigation des internautes en utilisant un traceur appelé cookie CRITEO, déposé dans leurs terminaux lorsqu'ils visitent certains sites web partenaires de CRITEO. À l'aide de ce traceur, la société analyse les habitudes de navigation afin de déterminer quel annonceur et quel produit seront les plus pertinents pour afficher une publicité personnalisée à un internaute spécifique. Ensuite, CRITEO participe à une enchère en temps réel et, s'il remporte l'enchère, affiche la publicité personnalisée.
La sanction de la CNIL fait suite à une plainte déposée en novembre 2018 par l'association Privacy International et à une autre plainte déposée par None of Your Business en décembre de 2018. Ces plaintes visaient les pratiques de collecte et d'utilisation des données personnelles par Criteo.
Dans sa délibération n° SAN-2023-009 du 15 juin 2023 , la CNIL reproche à Criteo plusieurs manquements lors du traitement des données des internautes dans ses activités de reciblage publicitaire.
En particulier, la société n'a pas vérifié si les personnes concernées avaient donné leur consentement pour le traitement de leurs données. De plus, Criteo n'a pas respecté l'obligation d'information et de transparence envers les utilisateurs et n'a pas répondu de manière adéquate aux demandes de retrait du consentement et de suppression des données. La CNIL souligne également que Criteo n'a pas inclus certaines obligations vis-à-vis des partenaires responsables conjoints du traitement des données dans ses contrats, ce qui constitue un manquement aux exigences du Règlement général sur la protection des données (RGPD).
Remarquons que dans sa décision, et ceci a été un facteur déterminant dans le montant de l'amende, la CNIL prend en compte le fait que le traitement des données en question concerne un très grand nombre de personnes, avec environ 370 millions d'identifiants à l'échelle mondiale.
Notons que malgré la demande de Criteo à la formation restreinte de ne pas rendre publique sa décision. Cette dernière a estimé que la publicité de la décision se justifie au regard de la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées. En outre, elle relève que cette mesure permettra d’informer les personnes concernées de l’existence du traitement mis en œuvre par Criteo et du fait que celle-ci a pu traiter leurs données à leur insu, voire en dépit de leur absence de consentement leur permettant, le cas échéant, de faire valoir leurs droits Informatique et Libertés auprès de la société. Enfin, elle considéré que la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
Soulignons que Criteo a déjà annoncé son intention de faire appel de cette décision de la CNIL. À suivre…
***
Le Cabinet HAAS avocats, spécialisé en droit de la propriété intellectuelle et des nouvelles technologies accompagne régulièrement les Directions des Ressources Humaines de ses clients du secteur privé comme du secteur public concernant la gestion des problématiques liées au RGPD (formation, politique de gestion des droits, cartographie des risques, consultations stratégiques…). Pour en savoir plus vous pouvez nous contacter en cliquant ICI.
Source :Les Echos : « Données personnelles : la CNIL inflige une amende de 40 millions d'euros à Criteo https://www.lesechos.fr/tech-medias/hightech/donnees-personnelles-criteo-ecope-dune-amende-de-40-millions-deuros-; https://www.lefigaro.fr/societes/donnees-personnelles-la-cnil-inflige-une-amende-de-40-millions-d-euros-a-criteo-20230622; https://www.lemonde.fr/international/article/2023/06/22/donnees-personnelles-la-cnil-inflige-une-amende-de-40-millions-d-euros-a-criteo_6178714_3210.html
[ Source : Site officiel de la CNIL - "Sanctions" - https://www.cnil.fr /fr/thematique/cnil/sanctions Délibération de la formation restreinte n° SAN-2023-009 du 15 juin 2023 concernant la société CRITEO