Par une décision rendue le 4 mars 2026, le Conseil d’État a rejeté le recours formé par la société Criteo et confirmé définitivement la sanction de 40 millions d’euros prononcée par la CNIL en juin 2023. Cette décision marque un tournant pour l’ensemble du secteur de la publicité en ligne et du reciblage comportemental.
Une sanction fondée sur des manquements graves au RGPD
Criteo, spécialiste français du reciblage publicitaire, traite les données de navigation d’environ 370 millions de personnes en Europe. La CNIL avait relevé plusieurs violations du Règlement général sur la protection des données, notamment l’absence de preuve d’un consentement valide des personnes concernées. L’entreprise collectait massivement des données de navigation via des cookies déposés sur les sites partenaires, sans pouvoir démontrer que les internautes avaient été correctement informés ni qu’ils avaient donné leur accord de manière libre et éclairée, conformément aux articles 7 et 13 du RGPD.
Le Conseil d’État a également confirmé les manquements relatifs au droit d’accès (article 15 du RGPD) et au droit de retrait du consentement (article 7, paragraphe 3). Criteo ne fournissait pas aux personnes concernées un accès effectif à l’ensemble des données collectées à leur sujet.
Les données pseudonymisées restent des données personnelles
L’un des apports majeurs de cette décision concerne la qualification des données pseudonymisées. Criteo soutenait que les identifiants techniques (cookies ID) ne constituaient pas des données personnelles puisqu’ils ne permettaient pas une identification directe. Le Conseil d’État a fermement rejeté cet argument : les données de navigation et de profilage, même associées à un identifiant pseudonyme, demeurent des données à caractère personnel pleinement soumises au RGPD. Cette position renforce la portée de l’article 4 du RGPD qui définit largement les données personnelles.
Le droit de se taire ne s’applique pas aux contrôles de la CNIL
Autre enseignement notable : le Conseil d’État a précisé que le droit de garder le silence, protégé par l’article 6 de la Convention européenne des droits de l’homme, ne s’applique pas lors des vérifications préalables menées par la CNIL avant la notification formelle des griefs. Les entreprises contrôlées sont donc tenues de coopérer pleinement avec l’autorité de protection des données dès la phase d’enquête.
Conseils pratiques pour les professionnels de l’adtech
Cette décision définitive impose aux acteurs de la publicité en ligne de revoir leurs pratiques. Voici les mesures essentielles à mettre en place :
Documentez précisément la chaîne de consentement, du site éditeur jusqu’à votre plateforme. Vérifiez que vos partenaires éditeurs recueillent un consentement conforme aux exigences de l’article 7 du RGPD. Assurez-vous que les personnes concernées peuvent exercer leur droit d’accès de manière effective et obtenir l’intégralité de leurs données. Facilitez le retrait du consentement, qui doit être aussi simple que son octroi. Enfin, ne confondez pas pseudonymisation et anonymisation : un cookie ID reste une donnée personnelle au sens du RGPD.
L’affaire Criteo, initiée par les plaintes des associations noyb et Privacy International dès décembre 2018, s’achève donc définitivement. Elle constitue un précédent fort pour l’ensemble de l’écosystème publicitaire numérique européen.
Source : Décision n° 482872 du Conseil d’État, 4 mars 2026 ; Communiqué noyb
