CRITEO sanctionné d’une amende de 40 millions d’euros par la CNIL

La Commission Nationale de l'Informatique et des Libertés (CNIL) a récemment rendu une décision importante concernant la société CRITEO SA, spécialisée dans l’affichage de publicités ciblées sur le web. Cette décision, datée du 15 juin 2023 et référencée sous le numéro SAN-2023-009, met en lumière des manquements significatifs de CRITEO aux obligations imposées par le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne.

Publié le 12/07/2023

CRITEO SA, une entreprise française fondée en 2005 et opérant dans le secteur du reciblage publicitaire, est reconnue pour son modèle d’affaires basé sur le suivi des habitudes de navigation des internautes pour leur présenter des publicités personnalisées. Employant environ 3 000 personnes et générant un chiffre d’affaires d’environ 1,9 milliard d’euros en 2022, l’entreprise joue un rôle majeur dans l’écosystème publicitaire numérique.

La procédure engagée par la CNIL à l’encontre de CRITEO fait suite à plusieurs plaintes, notamment de l’association Privacy International et de None of Your Business (NOYB), soulignant que la société ne traitait pas les données des internautes en conformité avec le RGPD. Après investigation, la CNIL a identifié plusieurs manquements aux principes fondamentaux de la protection des données.

Comment fonctionne le système CRITEO ?

Lorsque les internautes visitent des sites web partenaires de CRITEO, un cookie est déposé dans leur navigateur. Ce cookie enregistre diverses informations relatives à leur navigation, comme les pages consultées, les produits visualisés ou ajoutés au panier, et les achats réalisés. CRITEO utilise ensuite ces données pour créer des profils d’utilisateurs, attribuant à chaque navigateur un identifiant unique, le Criteo ID.

Lorsque l’utilisateur visite un autre site partenaire, CRITEO analyse ces profils pour déterminer quelles publicités seraient les plus pertinentes à lui afficher, basées sur ses habitudes de navigation antérieures. Le système participe ensuite à des enchères en temps réel pour l’espace publicitaire disponible sur le site de l’éditeur. Si CRITEO remporte l’enchère, la publicité sélectionnée est affichée à l’utilisateur, dans l’objectif de le ramener sur le site de l’annonceur pour finaliser un achat.

Ce processus permet aux annonceurs de cibler plus efficacement les consommateurs susceptibles d’être intéressés par leurs produits, tout en offrant aux éditeurs une source de revenus via la valorisation de leurs espaces publicitaires.

Manquements de CRITEO au RGPD

Absence de consentement valide

La CNIL a constaté que CRITEO n’était pas en mesure de démontrer que les internautes avaient donné leur consentement au traitement de leurs données pour l’affichage de publicités personnalisées. De plus, il a été établi que des données étaient traitées sans consentement valable, voire en dépit de l’opposition des internautes.

Pour être valide, le consentement des personnes doit être libre, éclairé, spécifique et univoque. De plus, les organismes doivent garder une preuve du consentement.

Information et transparence

La société n’a pas fourni aux internautes une information complète et intelligible sur les finalités du traitement de leurs données et sur la base juridique de ce traitement. La CNIL a souligné le caractère vague et imprécis des informations communiquées par CRITEO, rendant difficile pour les utilisateurs la compréhension de l’utilisation de leurs données.

Chaque traitement de donnée doit avoir une finalité claire. Il faut donc indiquer de manière exhaustive toutes les données collectées et traitées ainsi que le but de chaque collecte.

Droit d’accès, de retrait du consentement et d’effacement

CRITEO a été reproché de ne pas traiter correctement les demandes d’accès aux données, de retrait de consentement et d’effacement. Les utilisateurs qui demandaient l’effacement de leurs données voyaient simplement l’affichage des publicités personnalisées cesser, sans que leurs données soient effectivement supprimées.

Accord entre responsables conjoints de traitement

La société n’avait pas mis en place un accord conforme avec ses partenaires, également responsables conjoints du traitement, définissant clairement les obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes concernées.

Sanction et implications

Face à ces manquements, la CNIL a imposé à CRITEO SA une amende administrative de 40 millions d’euros, en considérant la gravité, la durée des violations, et l’ampleur du traitement concerné qui impliquait un nombre significatif d’internautes. Cette sanction reflète l’importance accordée par la CNIL à la conformité au RGPD et souligne la nécessité pour les entreprises opérant dans le domaine du numérique de respecter scrupuleusement les droits des utilisateurs en matière de données personnelles.

La décision de la CNIL à l'encontre de CRITEO SA marque un tournant important dans la régulation du secteur de la publicité en ligne et souligne la détermination des autorités de contrôle à faire respecter le RGPD. Elle met en évidence les défis auxquels sont confrontées les entreprises technologiques pour assurer la protection des données personnelles dans leurs opérations quotidiennes. Cette affaire rappelle aux entreprises l'importance de mettre en place des mécanismes rigoureux pour recueillir le consentement des utilisateurs, fournir des informations transparentes et précises sur l'utilisation des données, et respecter les droits des personnes concernées.
Audit RGPD de site web