Dans une décision du 15 juin 2023[1], la CNIL a prononcé une sanction de 40 millions d’euros à l’encontre de la société Criteo pour ne pas avoir obtenu le consentement des destinataires de de ses publicités ciblées.
La société Criteo est spécialisée dans la publicité en ligne et plus particulièrement dans le « reciblage publicitaire ». A cette fin la société Criteo suit les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des internautes.
Suite à deux plaintes d’associations à l’encontre de Criteo déposées fin 2018, la CNIL a ouvert une instruction et a mené plusieurs contrôles en ligne, sur place et interrogations auprès de la société Criteo et ses partenaires afin de vérifier le respect de la Loi Informatique et Libertés et du Règlement européen relatif à la protection des données (dit “RGPD”).
A l’issue de cette phase d’instruction, la CNIL a relevé plusieurs manquements à la règlementation applicable, à savoir :
- La société Criteo n’est pas en mesure d’apporter la preuve du consentement des internautes qui ont été concernées par les publicités ciblées de la société. En l’espèce des cookies Criteo étaient déposés sur les terminaux des internautes par plusieurs partenaires de la société Criteo sans le consentement des internautes. Or, la CNIL a considéré que la société Criteo avait pour obligation de vérifier auprès de ses partenaires le recueil du consentement des internautes, et en obtenir la preuve. En effet, la société Criteo n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. De même, les contrats passés avec ses partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes et la société Criteo n’avait envisagé aucun audit de ses partenaires.
- La société Criteo a manqué à ses obligations d’information et de transparence. En l’espèce la politique de confidentialité de la société Criteo était incomplète et pas suffisamment claire et précise, notamment s’agissant des finalités. De sorte que, selon la CNIL, les internautes ne pouvaient comprendre aisément les objectifs des traitements de données réalisés par la société Criteo.
- La société Criteo a en outre manqué au respect du droit d’accès des internautes. La CNIL a relevé, à travers ses contrôles, que la société Criteo ne fournissait pas la totalité des données personnelles qu’elle détenait aux personnes qui souhaitaient exercer leur droit d’accès, mais surtout les extraits de ses bases de données n’étaient accompagnés d’aucune explication ni information pour comprendre leur contenu.
- La société Criteo ne respectait pas également le droit de retrait du consentement et d’effacement des données des internautes. En effet, elle ne procédait à aucun effacement des données de navigation ou d’identification, seul l’affichage de publicité ciblée était arrêté en cas de demande des internautes.
- Enfin, la société Criteo a manqué à son obligation de prévoir un accord entre responsables conjoints. A cet égard les contrats passés entre la société Criteo et ses partenaires ne prévoyaient pas les stipulations et obligations respectives des parties, en leur qualité de responsables conjoints, qui sont imposées par le RGPD.
Pour l’ensemble de ces manquements, la société Criteo a été condamnée à une amende de 40 millions d’euro. Ce montant tient compte du nombre très important de personnes concernées et de la grande quantité de données collectées relatives aux habitudes de consommation des internautes.
La société Criteo a d’ores et déjà pris acte de cette décision en mettant à jour notamment sa politique de confidentialité et ses contrats avec ses partenaires.
[1] Délibération SAN-2023-009 du 15 juin 2023 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063
