Le 15 juin 2023, la Commission nationale de l’Informatique et des Libertés a sanctionné la société Criteo d’une amende de 40 millions d’euros. Spécialisée dans la publicité en ligne, il est reproché à la société, notamment, de ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

A la suite des plaintes déposées par des associations, les investigations de la Commission nationale de l’Informatique et des Libertés ont révélé plusieurs manquements au Règlement Général sur la Protection des Données dont l’absence de preuve de consentement des personnes concernées, le manque de transparence du traitement ainsi que le non-respect des droits des personnes concernées.

Criteo : comment ça marche ?

Criteo est un traceur développé par la société du même nom qui lui permet de recueillir les informations de navigation des utilisateurs. Ces traceurs sont déposés sur les terminaux des utilisateurs lors de la navigation sur certains sites web partenaires de Criteo.

Le traceur permet ainsi à l’entreprise d’analyser les schémas de navigation et de déterminer quelle publicité d’un annonceur spécifique pour quel produit serait la plus pertinente pour un utilisateur donné. Il est réalisé par la suite une enchère à l’issue de laquelle la société gagnante, en l’occurrence Criteo, affiche la publicité personnalisée sur le dispositif de la personne concernée.

Des plaintes aux investigations de la Cnil.

En novembre et décembre 2018, deux associations militant pour la protection de la vie privée (Privacy International [1] & None Of Your Business - NOYB [2]), ont déposé une plainte auprès de la Commission nationale de l’Informatique et des Libertés (ci-après, la « Cnil ») contre Criteo. Les deux associations déploraient le non-respect, par Criteo, du droit de l’utilisateur de pouvoir retirer à tout moment son consentement.

Les contrôles [3] effectués par la Cnil auprès de Criteo ont révélé l’existence des faits reprochés ainsi que d’autres manquements au Règlement Général sur la Protection des Données (ci-après, le « RGPD ») tels que le manque d’information des personnes concernées ainsi que le non-respect de leurs droits.

Par conséquent, la Cnil a prononcé, le 15 juin 2023, une amende de 40 millions d’euros à l’encontre de Criteo. Le montant de l’amende a été déterminé notamment par le volume très important des personnes concernées, le nombre de données collectées sur les habitudes de consommation des internautes, la possibilité pour Criteo de réidentifier les personnes concernées et l’augmentation indue des revenus de Criteo du fait de ses manquements.

Les manquements aux exigences du RGPD par Criteo.

Lors de ses investigations, la Cnil a relevé cinq manquements au RGPD à l’encontre de Criteo.

1. Un manquement relatif à la preuve du consentement.

L’article 7.1 [4] du RGPD dispose que :

« dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Ainsi, le traceur Criteo ne peut être déposé sur le terminal des internautes sans leur consentement. Or, en l’espèce, il s’avère que plusieurs partenaires de la société ont déposé le Cookie Criteo sur le terminal des internautes sans leur consentement. De plus, la société n’avait fait aucune obligation à ses partenaires de demander et de documenter la preuve du consentement des personnes concernées.

2. Un manquement à l’obligation d’information et de transparence.

Conformément aux articles 12 et 13 [5] du RGPD, le responsable du traitement a le devoir d’informer les personnes concernées au sujet du traitement les concernant de manière concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. Cette information doit notamment comporter l’identité et les coordonnées du responsable du traitement, la base légale du traitement ainsi que toutes les finalités poursuivies par le traitement.

En l’espèce, la Cnil a constaté que la politique de confidentialité [6] de la société n’était pas complète car ne comportant pas toutes les finalités poursuivies par le traitement. L’autorité de contrôle a également constaté que certaines finalités étaient peu compréhensibles.

3. Un manquement au respect du droit d’accès.

Selon, l’article 15.1 [7] du RGPD,

« la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ».

En l’espèce, la formation restreinte a constaté que lorsqu’une personne exerçait son droit d’accès, la société ne transmettait pas à la personne concernée toutes les données la concernant faisant l’objet du traitement.

Autrement dit, les informations transmises n’étaient pas suffisantes pour permettre à l’internaute de comprendre le traitement.

4. Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données.

L’article 7.3 [8] du RGPD dispose que : « la personne concernée a le droit de retirer son consentement à tout moment ». Or, il semble que lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement, la démarche de la société consistait uniquement à arrêter l’affichage de publicités personnalisées à l’internaute et non à supprimer l’identifiant ainsi que les événements liés à cet identifiant.

5. Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement.

Selon l’article 26 [9] du RGPD, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement. Ils définissent de manière transparente leurs obligations respectives notamment en ce qui concerne l’exercice des droits de la personne concernée.

En l’espèce, Criteo avait établi des contrats avec ses partenaires. Cependant, ces contrats ne précisaient pas les obligations respectives des parties vis-à-vis des exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification de violation de données à l’autorité de contrôle, ou le cas échéant, aux personnes concernées.

Après avoir constaté l’ensemble de ces manquements dans le cadre de ses investigations, elle a appliqué l’article 83 du RGPD [10] en prononçant cette amende [11] de 40 millions d’euros à la société Criteo.

Tout en assurant la publicité de la décision sur son site internet, la Cnil [12] a pris le soin de préciser que la société Criteo a, depuis, satisfait à certaines exigences du RGPD, telles que la mise à jour des contrats avec les partenaires, la mise à jour de sa politique de confidentialité et la mise en place d’une procédure pour la gestion des droits des personnes concernées.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail : [->debora.cohen@dcavocat.com] Site : https://www.dcavocat.com/