Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.
Le contexte
La société CRITEO est spécialisée dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.
À la suite de plaintes déposées par les associations Privacy International et None of Your Business, la CNIL a procédé à plusieurs missions de contrôles auprès de la société CRITEO.
Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, l’absence de preuve du consentement des personnes au traitement de leurs données, l’information et la transparence ainsi que le respect des droits des personnes.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 40 millions d’euros à l’encontre de CRITEO.
Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes. Si la société ne dispose pas du nom de l’internaute, la CNIL a estimé que les données étaient sufisamment précises pour permettre, dans certains cas, de réidentifier les personnes. la CNIL a également pris en compte le modèle économique de la société qui repose exclusivement sur sa capacité à afficher aux internautes les publicités les plus pertinentes pour promouvoir les produits de ses clients annonceurs et donc sur son aptitude à collecter et à traiter une immense quantité de données. Enfin, la CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire.
En application du guichet unique mis en place par le règlement général sur la protection des données (RGPD), cette décision a été transmise à l’ensemble des vingt-six autres autorités de contrôle européennes, étant toutes concernées par ce dossier transfrontalier, et qui l’ont toutes approuvée.