Publié le 12/07/2023
Sommaire
CRITEO SA, une entreprise française fondée en 2005 et opérant dans le secteur du reciblage publicitaire, est reconnue pour son modèle d’affaires basé sur le suivi des habitudes de navigation des internautes pour leur présenter des publicités personnalisées. Employant environ 3 000 personnes et générant un chiffre d’affaires d’environ 1,9 milliard d’euros en 2022, l’entreprise joue un rôle majeur dans l’écosystème publicitaire numérique.
La procédure engagée par la CNIL à l’encontre de CRITEO fait suite à plusieurs plaintes, notamment de l’association Privacy International et de None of Your Business (NOYB), soulignant que la société ne traitait pas les données des internautes en conformité avec le RGPD. Après investigation, la CNIL a identifié plusieurs manquements aux principes fondamentaux de la protection des données.
Lorsque les internautes visitent des sites web partenaires de CRITEO, un cookie est déposé dans leur navigateur. Ce cookie enregistre diverses informations relatives à leur navigation, comme les pages consultées, les produits visualisés ou ajoutés au panier, et les achats réalisés. CRITEO utilise ensuite ces données pour créer des profils d’utilisateurs, attribuant à chaque navigateur un identifiant unique, le Criteo ID.
Lorsque l’utilisateur visite un autre site partenaire, CRITEO analyse ces profils pour déterminer quelles publicités seraient les plus pertinentes à lui afficher, basées sur ses habitudes de navigation antérieures. Le système participe ensuite à des enchères en temps réel pour l’espace publicitaire disponible sur le site de l’éditeur. Si CRITEO remporte l’enchère, la publicité sélectionnée est affichée à l’utilisateur, dans l’objectif de le ramener sur le site de l’annonceur pour finaliser un achat.
Ce processus permet aux annonceurs de cibler plus efficacement les consommateurs susceptibles d’être intéressés par leurs produits, tout en offrant aux éditeurs une source de revenus via la valorisation de leurs espaces publicitaires.
La CNIL a constaté que CRITEO n’était pas en mesure de démontrer que les internautes avaient donné leur consentement au traitement de leurs données pour l’affichage de publicités personnalisées. De plus, il a été établi que des données étaient traitées sans consentement valable, voire en dépit de l’opposition des internautes.
Pour être valide, le consentement des personnes doit être libre, éclairé, spécifique et univoque. De plus, les organismes doivent garder une preuve du consentement.
La société n’a pas fourni aux internautes une information complète et intelligible sur les finalités du traitement de leurs données et sur la base juridique de ce traitement. La CNIL a souligné le caractère vague et imprécis des informations communiquées par CRITEO, rendant difficile pour les utilisateurs la compréhension de l’utilisation de leurs données.
Chaque traitement de donnée doit avoir une finalité claire. Il faut donc indiquer de manière exhaustive toutes les données collectées et traitées ainsi que le but de chaque collecte.
CRITEO a été reproché de ne pas traiter correctement les demandes d’accès aux données, de retrait de consentement et d’effacement. Les utilisateurs qui demandaient l’effacement de leurs données voyaient simplement l’affichage des publicités personnalisées cesser, sans que leurs données soient effectivement supprimées.
La société n’avait pas mis en place un accord conforme avec ses partenaires, également responsables conjoints du traitement, définissant clairement les obligations respectives, notamment en ce qui concerne l’exercice des droits des personnes concernées.
Face à ces manquements, la CNIL a imposé à CRITEO SA une amende administrative de 40 millions d’euros, en considérant la gravité, la durée des violations, et l’ampleur du traitement concerné qui impliquait un nombre significatif d’internautes. Cette sanction reflète l’importance accordée par la CNIL à la conformité au RGPD et souligne la nécessité pour les entreprises opérant dans le domaine du numérique de respecter scrupuleusement les droits des utilisateurs en matière de données personnelles.
Faites auditer votre site internet pour vérifier sa conformité avec la règlementation européenne sur la protection des données personnelles.
Audit RGPD de site web