Après avoir enquêté autour des agissements de Criteo, la Commission nationale de l’informatique et des libertés (CNIL) a décidé de la sanctionner le 15 juin 2023. La société spécialisée dans la publicité en ligne écope d’une amende de 40 millions d’euros.

Criteo n’a pas respecté le RGPD à plusieurs reprises

En novembre 2018, les associations Privacy International et None of Your Business ont porté plainte contre sept entreprises, dont Criteo, pour violations liées aux données personnelles. Seize mois plus tard, en mars 2020, la CNIL a lancé une enquête en s’appuyant sur cette plainte. Le régulateur français soupçonnait l’entité d’avoir enfreint à plusieurs reprises le règlement général sur la protection des données (RGPD).

Après avoir investigué, la CNIL a relevé un premier manquement à l’article 7.1 du RGPD. Il oblige les organismes à démontrer qu’une personne a donné son consentement afin de stocker et traiter ses données personnelles. Dans le cas de Criteo, la société n’aurait pas pris en compte le refus de certaines personnes et aurait tout de même conservé leurs données pour ses activités de reciblage publicitaire.

Outre ce manquement, la firme n’a pas respecté les articles 12 et 13 relatifs à l’obligation d’information et de transparence. La CNIL affirme que la politique de confidentialité de l’entreprise comprenait « des termes vagues et larges qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs ».

Enfin, une infraction concernait le droit d’accès, obligeant les entreprises à fournir l’ensemble des données dont elles disposent à un utilisateur si ce dernier leur demande. Criteo ne transmettait pas la totalité des données personnelles qu’ils possédaient, mais seulement une partie, alors qu’elle s’engageait à toutes les envoyer.

Préconisée à 60 millions d’euros, l’amende a été abaissée à 40 millions d’euros

Fondé en 2005, Criteo s’est très vite spécialisé dans l’affichage de publicités ciblées sur internet. Disposant des données d’environ 370 millions d’identifiants à travers l’Union européenne, la CNIL a précisé dans son communiqué que « ces informations étaient suffisamment précises pour permettre d’identifier à nouveau un internaute ».

À la vue de l’ensemble de ces manquements, le rapporteur du gendarme français des données personnelles avait préconisé une amende de 60 millions d’euros. Finalement, la formation restreinte, la branche de la CNIL chargée de prononcer les sanctions, s’est rabattue sur la somme de 40 millions d’euros. Pour déterminer ce montant, le régulateur « a pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes ».

Ryan Damon, directeur juridique de Criteo, s’est permis de commenter la décision de la CNIL. La société considère que « les allégations formulées par la CNIL n’impliquent aucun risque pour les personnes, ni de dommages causés à celles-ci, puisqu’elle ne s’appuie que sur des données pseudonymisées, non directement identifiantes et non sensibles dans le cadre de ses activités, est pleinement engagée dans la protection de la vie privée et des données des utilisateurs ». Il affirme qu’après avoir pris note de cette sanction, « l’entreprise entendait faire appel de cette décision auprès des autorités juridiques compétentes ».