Le 15 juin 2023, la CNIL a infligé une sanction à CRITEO de 40 millions d’euros, CRITEO est spécialisée dans la publicité en ligne. Cette sanction découle notamment du fait que l’entreprise n’a pas vérifié si les personnes dont elle traitait les données avaient donné leur consentement.
La société CRITEO se spécialise dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes pour leur afficher des publicités personnalisées. Pour ce faire, elle collecte les données de navigation en utilisant son traceur (cookie) CRITEO, qui est déposé dans les terminaux des utilisateurs lorsqu’ils visitent certains sites web partenaires de CRITEO. Grâce à ce traceur, l’entreprise analyse les habitudes de navigation pour déterminer quelles publicités seraient les plus pertinentes pour chaque internaute, pour un annonceur et un produit donnés. Elle participe ensuite à une enchère en temps réel, et si elle remporte l’enchère, elle affiche la publicité personnalisée.
Suite à des plaintes déposées par les associations Privacy International et None of Your Business, la CNIL a effectué plusieurs missions de contrôle chez CRITEO. Lors de ces investigations, la CNIL a constaté plusieurs manquements, notamment l’absence de preuve du consentement des personnes pour le traitement de leurs données, le manque d’information et de transparence, ainsi que le non-respect des droits des individus. En conséquence, la formation restreinte de la CNIL a décidé d’infliger une amende de 40 millions d’euros à CRITEO.
Pour déterminer le montant de cette sanction, la CNIL a pris en compte plusieurs éléments. Tout d’abord, le traitement des données concernait un très grand nombre de personnes, car la société dispose de données sur environ 370 millions d’identifiants à travers l’Union européenne. De plus, CRITEO collecte une quantité considérable de données sur les habitudes de consommation des internautes. Même si la société n’a pas accès au nom des utilisateurs, la CNIL estime que les données peuvent être suffisamment précises pour permettre, dans certains cas, de relier les individus. La CNIL a également pris en compte le modèle économique de l’entreprise, qui repose entièrement sur sa capacité à afficher des publicités pertinentes pour promouvoir les produits de ses clients annonceurs. Pour cela, CRITEO doit collecter et traiter une immense quantité de données. Enfin, la CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement a permis à la société d’élargir indûment le nombre de personnes concernées par ses traitements, et ainsi d’accroître ses revenus en tant qu’intermédiaire publicitaire.
Selon le principe du guichet unique instauré dans le cadre du règlement général sur la protection des données (RGPD), cette décision a été transmise aux vingt-neuf autres autorités de contrôle européennes, qui sont toutes impliquées dans cette affaire transfrontalière, et qui l’ont toutes approuvée.
La CNIL a constaté cinq manquements au RGPD de la part de la société CRITEO. Le premier est le manquement à l’obligation de démontrer que la personne a donné son consentement. Selon la loi, le traceur (cookie) CRITEO ne peut être déposé sur le terminal de l’internaute sans son consentement. Bien que ce soit aux partenaires de la société de recueillir ce consentement, CRITEO doit vérifier et être en mesure de prouver que les utilisateurs ont donné leur accord. Cependant, il a été constaté que le traceur (cookie) était déposé par plusieurs partenaires sans le consentement des internautes. De plus, lors des investigations, il a été observé que la société n’avait pris aucune mesure pour s’assurer que ses partenaires obtenaient valablement le consentement des utilisateurs. Par exemple, les contrats passés avec les partenaires ne comportaient aucune clause les obligeant à fournir la preuve du consentement des internautes à CRITEO. CRITEO n’avait également pas effectué d’audit de ses partenaires avant que la CNIL n’engage la procédure. Depuis, les contrats conclus avec les partenaires incluent une clause exigeant la preuve du consentement.
Le deuxième manquement concerne l’obligation d’information et de transparence. La politique de confidentialité de la société n’était pas complète et ne mentionnait pas toutes les finalités du traitement. De plus, certaines finalités étaient formulées de manière vague, ce qui ne permettait pas aux utilisateurs de comprendre précisément quelles données personnelles étaient utilisées et dans quel but. Depuis, CRITEO a complété sa politique de confidentialité en y incluant les informations manquantes et en utilisant des termes simples et compréhensibles.
Le troisième manquement concerne le respect du droit d’accès. Lorsqu’une personne exerçait son droit d’accès, CRITEO lui transmettait seulement une partie des données extraites de sa base de données. Cependant, la CNIL a constaté que certaines données personnelles présentes dans d’autres parties de la base de données devaient également être communiquées aux personnes. De plus, lorsque CRITEO transmettait ces données, elle ne fournissait pas suffisamment d’informations pour permettre aux utilisateurs de comprendre leur contenu. CRITEO s’est engagée à fournir l’ensemble des données disponibles lorsqu’elle répond à une demande d’accès, et à compléter les explications fournies dans sa réponse.
Le quatrième manquement concerne le respect du droit de retrait du consentement et de l’effacement des données. Lorsqu’une personne demandait le retrait de son consentement ou l’effacement de ses données, le processus mis en place par CRITEO se contentait d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Cependant, la société ne supprimait pas l’identifiant attribué à la personne ni les données de navigation liées à cet identifiant. CRITEO a mis en place une procédure permettant aux personnes de retirer leur consentement en cliquant sur un bouton spécifique dans sa politique de confidentialité. Pour ce qui est de l’effacement des données, CRITEO invite les utilisateurs à adresser leur demande par courrier électronique au délégué à la protection des données. Pour chaque demande, CRITEO doit déterminer si des données relatives à l’utilisateur peuvent continuer à être traitées pour d’autres finalités, et sur quelle base légale ce traitement peut être effectué.
Enfin, le cinquième manquement concerne l’obligation de prévoir un accord entre responsables conjoints de traitement. L’accord conclu entre CRITEO et ses partenaires ne précisait pas certaines obligations respectives envers les responsables de traitement, comme l’exercice des droits des personnes concernées, l’obligation de notification en cas de violation de données à l’autorité de contrôle et aux personnes concernées, ainsi que la réalisation d’une étude d’impact conformément à l’article 35 du RGPD. Les accords avec les partenaires ont donc été modifiés pour mentionner les responsabilités conjointes requises par l’article 26 du RGPD.
