Le 15 juin 2023, la Cnil a sanctionné la société Criteo, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, en particulier pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement. Criteo annonce qu’il va faire appel de la décision de la Cnil et qu’il va régler l’amende.
Globalement, il est reproché à Criteo d’avoir miser sur la bonne foi de ses partenaires sans les avoir contraints par des contrats écrits aux clauses plus explicites les obligeant à rendre des comptes. De plus, la Cnil estime que l’on pouvait identifier certains internautes à partir de la masse de données collectées même si Criteo ne dispose pas des noms des personnes. En filigrane, Criteo est plus ou moins sur la sellette à cause de son modèle économique reposant uniquement sur la publicité digitale.
Des plaintes déposées par Privacy International et None of Your Business
La Cnil a procédé à plusieurs missions de contrôle auprès de Criteo à la suite de plaintes déposées par les associations Privacy International et None of Your Business (NYOB). La Cnil a relevé plusieurs manquements concernant l’absence de preuve du consentement des personnes au traitement de leurs données, l’information et la transparence ainsi que le respect des droits des personnes. Dès lors, la Cnil a prononcé une amende de 40 millions d’euros à l’encontre de Criteo.
Criteo collecte les données de navigation grâce à un cookie Criteo déposé dans les terminaux sur certains sites web partenaires
Via ce traceur, Criteo détermine quelle publicité il serait pertinent d’afficher, à la demande d’un annonceur ou pour un produit. Criteo participe ensuite à une enchère en temps réel (« real time bidding ») puis, si il remporte l’enchère, il affiche la publicité personnalisée. La Cnil explique le montant de la sanction par le nombre important de personnes impactées. La Cnil déclare que le traitement en cause concernait un très grand nombre de personnes. La Cnil indique que Criteo dispose de données relatives à 370 millions d’identifiants à travers l’Union européenne. De plus, il est reproché à Criteo de collecter une très grande quantité de données relatives aux habitudes de consommation des internautes.
La Cnil reconnaît que Criteo n’a pas le nom de l’internaute
La Cnil reconnait que Criteo ne dispose pas du nom de l’internaute. Mais elle estime que les données collectées sont suffisamment précises pour permettre, dans certains cas, de ré-identifier les personnes. La Cnil semble également remettre en cause le modèle économique de Criteo. Elle considère que Criteo dépend exclusivement de son aptitude à collecter et à traiter une immense quantité de données, car cela lui permet d’afficher aux internautes les publicités les plus pertinentes pour promouvoir les produits de ses clients annonceurs.
Criteo a augmenté indûment le nombre de personnes concernées par ses traitements
La Cnil a retenu cinq manquements de Criteo au RGPD. Premier manquement, il y a l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD). Selon la loi, le traceur (cookie) de Criteo utilisé pour cibler les publicités ne peut être déposé sur le terminal de l’internaute sans son consentement. Le recueil de ce consentement incombe aux partenaires de la société, qui sont en contact direct avec les internautes.
Criteo doit démonter que l’internaute a donné son consentement
Cependant, la Cnil estime que cela ne dispense pas Criteo de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement. Or, la Cnil a constaté que le traceur (cookie) Criteo était déposé par plusieurs de ses partenaires dans le terminal des internautes sans le consentement de ces derniers. La Cnil souligne qu’au moment des investigations, Criteo n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données.
Les contrats passés avec les partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes à Criteo
Autre manquement reproché, il y a l’obligation d’information et de transparence (articles 12 et 13 du RGPD). Il est reproché à Criteo une politique de confidentialité qui ne comportait pas l’ensemble des finalités poursuivies par le traitement. De plus, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs. La Cnil indique que depuis, Criteo a complété sa politique de confidentialité afin d’y inclure les mentions manquantes et d’employer des termes simples et compréhensibles.
Des données incomplètes et peu compréhensibles
La Cnil reproche par ailleurs un manquement au respect du droit d’accès à ses données par les utilisateurs (article 15.1 du RGPD). La Cnil indique que lorsqu’une personne exerçait son droit d’accès, Criteo lui transmettait, sous forme de tableaux, les données extraites de trois des six tables composant sa base de données. La Cnil a relevé que les données personnelles contenues dans deux des trois autres tables devaient être aussi communiquées aux personnes. En outre, Criteo ne fournissait pas d’informations suffisantes pour permettre de comprendre les contenus transmis.
Criteo se voit aussi reprocher un manquement au respect du droit de retrait du consentement de l’internaute et de l’effacement de ses données
Criteo ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant. Criteo a mis en place une procédure pour exercer son droit au retrait du consentement directement en cliquant sur un bouton « Désactiver les services Criteo » présent dans la politique de confidentialité de la société. Côté effacement des données, Criteo demande à l’utilisateur d’adresser sa demande par email au délégué à la protection des données (DPD, ou DPO).
Conclure des accords entre les responsables conjoints de traitement
Pour chaque demande, la Cnil indique qu’il appartient à Criteo de déterminer et de justifier si des données concernant l’utilisateur peuvent continuer à être traitées pour d’autres finalités et sur quelle base légale ce traitement peut être fondé. Dernier manquement de Criteo, cela concerne l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD).
L’accord conclu par Criteo avec ses partenaires ne précisait pas certaines obligations des responsables de traitements vis-à-vis du RGPD. Cela concerne l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD. Les accords conclus avec les partenaires ont été complétés en matière de responsabilité conjointe pour y inclure les mentions requises par l’article 26.
