La Commission nationale de l'information et des libertés (CNIL) a Criteo dans son viseur depuis maintenant plus de deux ans. Le 3 août 2022, l'autorité a publié un rapport mettant en avant plusieurs violations du RGPD par Criteo et a proposé de sanctionner financièrement la firme par une amende de 60 millions d'euros.

Privacy International estime que Criteo a violé le RGPD à plusieurs reprises

Dès 2018, l'organisation non gouvernementale (ONG) britannique Privacy International, attaquait en justice plusieurs entreprises, dont la société française Criteo, spécialisée dans le reciblage publicitaire sur internet. À cette époque, l'ONG estime que ces sociétés, dont Criteo, ne disposent d'aucune base légale pour ce qui est du traitement des données personnelles alors que le RGPD vient tout juste d'entrer en vigueur.

Cette plainte de l'ONG va susciter un vif intérêt de la CNIL qui va, début 2020, s'emparer du dossier. Quelques mois plus tôt, les autorités irlandaises et britanniques de protection des données personnelles s'étaient également penchées sur le cas Criteo. La CNIL lance alors une enquête dont l'objectif est « de vérifier si le traitement et l’agréation des données personnelles aux fins de profilage et leur utilisation sont conformes aux dispositions pertinentes du règlement général pour la protection des données personnelles ».

La CNIL prévoit de sanctionner Criteo à hauteur de 60 millions d'euros

Deux ans plus tard, bien que la CNIL n'ait pas encore rendu son verdict final dans cette affaire, elle a apporté quelques précisions quant à l'enquête qu'elle est en train de mener à l'ONG britannique, mais aussi à Criteo. Les deux organismes n'ont pas manqué de réagir, chacune à leur manière, sur ces éléments nouveaux.

Privacy International a communiqué via un tweet en expliquant que « près de quatre ans après notre plainte et deux après le début de leur enquête, la CNIL constate des manquements dans les activités de Criteo, et propose une amende de 60 millions d’euros ». Criteo a publié un communiqué où l'on peut lire que « le 3 août 2022, le rapporteur a publié un rapport faisant état de diverses violations du RGPD et incluant une proposition de sanction financière contre Criteo de 60,0 millions d’euros (65,4 millions de dollars) ».

Si Privacy Internationel semble plutôt satisfait, Criteo n'a pas hésité à montrer sa désapprobation. La firme annonce être « fortement en désaccord avec les conclusions du rapport » et le directeur juridique de l'entreprise, Ryan Damon, affirme que « les sanctions proposées sont incompatibles avec les actions présumées non conformes ». Criteo contestera vivement cette décision si elle venait à se confirmer.

Pour ce qui est de la décision finale, celle-ci est attendue mi-2023, le temps qu'une audition devant la formation restreinte de la CNIL puisse se dérouler. Elle proposera un projet de décision définitive qui sera analysée puis validée ou modifiée après consultation.