Publicité personnalisée : CRITEO sanctionné d’une amende de 40 millions d’euros

22 juin 2023

Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

Le contexte

La société CRITEO est spécialisée dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.

Infographie - Fonctionnement de CRITEO. 1-Criteo dépose un cookie sur un site de e-commerce pour collecter des données personnelles d'un internaute et connaître son comportement d'achat. 2- Un autre site web partenaire, journalenligne.fr, met un espace publicitaire aux enchères. 3- Si CRITEO gagne, il propose des espaces personnalisés à l'internaute dont il a connecté les données.

À la suite de plaintes déposées par les associations Privacy International et None of Your Business, la CNIL a procédé à plusieurs missions de contrôle auprès de la société CRITEO.

Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, l’absence de preuve du consentement des personnes au traitement de leurs données, l’information et la transparence ainsi que le respect des droits des personnes.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 40 millions d’euros à l’encontre de CRITEO. 

Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et  qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes. Si la société ne dispose pas du nom de l’internaute, la CNIL a estimé que les données étaient sufisamment précises pour permettre, dans certains cas, de réidentifier les personnes. la CNIL a également pris en compte le modèle économique de la société qui repose exclusivement sur sa capacité à afficher aux internautes les publicités les plus pertinentes pour promouvoir les produits de ses clients annonceurs et donc sur son aptitude à collecter et à traiter une immense quantité de données. Enfin, la CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire.

En application du guichet unique mis en place par le règlement général sur la protection des données (RGPD), cette décision a été transmise à l’ensemble des vingt-neuf autres autorités de contrôle européennes, étant toutes concernées par ce dossier transfrontalier, et qui l’ont toutes approuvée.

Les manquements sanctionnés

La CNIL a retenu cinq manquements au RGPD à l’encontre de la société CRITEO.

Un manquement à l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)

D’après la loi, le traceur (cookie) CRITEO utilisé pour cibler les publicités ne peut être déposé sur le terminal de l’internaute sans son consentement. Le recueil de ce consentement incombe aux partenaires de la société, qui sont en contact direct avec les internautes. Cependant, cela ne dispense pas la société CRITEO de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement. Or, il a été constaté que le traceur (cookie) CRITEO était déposé par plusieurs partenaires de la société dans le terminal des internautes sans le consentement de ces derniers.

La formation restreinte a également relevé qu’au moment des investigations, la société n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. En ce sens, elle a notamment relevé que les contrats passés avec les partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes à CRITEO. En outre, la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL.

Les contrats conclus avec les partenaires incluent désormais une clause relative à la preuve du consentement selon laquelle le partenaire s’engage à « fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu ».

Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.

Depuis, la société a complété sa politique de confidentialité afin d’y inclure les mentions manquantes et d’employer des termes simples et compréhensibles.

Un manquement au respect du droit d’accès (article 15.1 du RGPD)

Lorsqu’une personne exerçait auprès d’elle son droit d’accès, la société lui transmettait, sous forme de tableaux, les données extraites de 3 des 6 tables composant sa base de données. La formation restreinte a pourtant relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. En outre, lorsque la société transmettait ces tableaux, elle ne leur fournissait pas d’informations suffisantes pour leur permettre de comprendre leur contenu.

La société s’est engagée à fournir l’ensemble des données dont elle dispose dans le cadre de ses réponses à des demandes d’accès et à compléter les explications qu’elle transmet dans sa réponse à des demandes d’accès.

Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.

S’agissant des modalités d’exercice des droits, la société a mis en place une procédure pour permettre aux personnes d’exercer leur droit au retrait du consentement directement en cliquant sur un bouton « Désactiver les services Critéo » présent dans la politique de confidentialité de la société.

Pour ce qui concerne l’effacement des données, la société invite l’utilisateur à adresser sa demande par courriel au délégué à la protection des données (DPD, ou DPO en anglais). Pour chaque demande, il appartient à la société de déterminer et de justifier si des données concernant l’utilisateur peuvent continuer à être traitées pour d’autres finalités et sur quelle base légale ce traitement peut être fondé.

Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.

Les accords conclus avec les partenaires ont été complétés en matière de responsabilité conjointe pour y inclure les mentions requises par l’article 26.