La Cnil poursuit sur sa lancée en termes de répression à l'encontre d'entreprises prises en défaut de respect du droit et des règlements en matière de protection des données personnelles. Après une année 2022 particulièrement riche en la matière, c'est le spécialiste du reciblage publicitaire Criteo qui a été cette fois épinglé par le régulateur français. « Le 15 juin 2023, la Cnil a sanctionné la société Criteo spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement », a fait savoir l'organisme de contrôle. Cette amende fait suite à une enquête de la Cnil menée sur la base de plaintes déposées par les associations Privacy International et None of Your Business. La société a d'ores et déjà annoncé faire appel de cette décision « auprès des autorités juridiques compétentes ».
En tout, cinq manquements au titre du RGPD ont été retenus à l'encontre de l'éditeur français. Ces derniers sont relatifs à l'obligation de vérification du consentement des internautes relatif au traitement de leurs données personnelles par ses partenaires (article 7.1 du RGPD), d'information et de transparence (articles 12 et 13), du respect du droit d'accès (article 15.1) mais aussi du droit de retrait du consentement et de l'effacement des données personnelles (articles 7.3 et 17.1). Enfin, la Cnil a aussi retenu un manquement à l'obligation de prévoir un accord entre responsables conjoints de traitement (article 26).
Criteo vent debout contre la décision de la Cnil
« Bien que la Cnil ait réduit la sanction finale de 60 millions d'euros, montant initialement proposé, à 40 millions d'euros, la sanction reste largement disproportionnée au vu des manquements allégués et est sans commune mesure avec la pratique générale dans ce domaine. En outre, nous estimons qu'un certain nombre d'interprétations et d'applications du RGPD faites par la Cnil ne sont cohérentes, ni avec la jurisprudence de la Cour de Justice de l’Union Européenne, ni avec les propres lignes directrices et recommandations de la Cnil », a fait savoir Ryan Damon, directeur juridique de Criteo, dans un communiqué. « nous considérons que les allégations formulées par la Cnil n'impliquent aucun risque pour les personnes, ni de dommages causés à celles-ci. Criteo, qui s'appuie uniquement sur des données pseudonymisées, non directement identifiantes et non sensibles dans le cadre de ses activités, est pleinement engagée dans la protection de la vie privée et des données des utilisateurs. La décision porte sur des faits passés et ne comporte aucune obligation pour Criteo de modifier ses pratiques actuelles ».
« Afin de déterminer le montant de la sanction, la Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes », explique la formation restreinte. Elle a aussi estimé que les données personnelles recueillies par Criteo étaient suffisamment précises pour réidentifier les personnes et que « le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire ».
Cette décision tombe dans un contexte délicat pour Criteo qui doit - au même titre que beaucoup d'autres acteurs du web - se préparer à l'annonce de la suppression des cookies tiers dans Chrome au cours du second semestre 2024 au profit d'une « privacy sandbox » également intégrée à Android.