Le géant français de la publicité en ligne Criteo a-t-il été confronté à des problèmes de conformité au RGPD ? La société spécialisée dans les solutions d’advertising a récemment été sanctionnée d’une amende de 40 millions d’euros pour avoir manqué de recueillir le consentement des utilisateurs pour la publicité ciblée. Mais que s’est-il passé exactement, et d’où vient cette accusation ?
Cette affaire remonte à 2018, lorsque Privacy International a déposé une plainte formelle auprès de la CNIL contre Criteo, se disant « gravement préoccupée » par les activités de traitement des données de plusieurs acteurs de l’industrie du data broking. Plus tard, None of Your Business (NOYB), une organisation à but non lucratif basée en Autriche également préoccupée par la protection de la vie privée, a ajouté son nom à la plainte. Quels étaient les points clés de cette affaire ?
Criteo aurait enfreint plusieurs articles du RGPD en ne recueillant pas le consentement de l’utilisateur et en manquant à la transparence sur le traitement des données.
Le problème au cœur du débat portait sur les techniques de suivi et de traitement des données utilisées par Criteo pour catégoriser les utilisateurs d’Internet, permettant une publicité très ciblée. Privacy International et NOYB affirmaient que Criteo n’avait pas de base légale appropriée pour ce suivi, ce qui a conduit la CNIL à lancer une enquête formelle en 2020. Qu’en est-il de la décision finale ?
En août 2022, la CNIL a conclu que Criteo avait effectivement enfreint le RGPD, et a infligé à l’entreprise parisienne une amende de 60 millions d’euros. Criteo a ensuite cherché à réduire ce montant, et l’amende a finalement été réduite à 40 millions d’euros. Ryan Damon, responsable juridique de Criteo, considère cependant que la décision est « largement disproportionnée » et prévoit de faire appel. Comment la CNIL justifie-t-elle cette amende ?
Le rapport final de la CNIL dresse un tableau peu flatteur du mépris de Criteo pour la vie privée, soulignant que le traitement des données concernait un très grand nombre de personnes à travers l’Union européenne. La CNIL a identifié cinq infractions au RGPD impliquant les activités de suivi publicitaire de Criteo, notamment l’absence de consentement des utilisateurs et le manque de transparence sur la manière dont les données seraient traitées. Cela n’a-t-il pas été pris en compte par Criteo ?
Criteo, de son côté, maintient que les allégations de la CNIL n’entraînent aucun risque ni dommage pour les individus et souligne que l’autorité n’a pas exigé que Criteo modifie ses pratiques actuelles. « La décision concerne des questions passées et n’inclut aucune obligation pour Criteo de changer ses pratiques actuelles ; il n’y a aucun impact sur les niveaux de service et les performances que nous sommes en mesure de fournir à nos clients suite à cette décision », affirme Ryan Damon.
Alors, Criteo a-t-il réellement enfreint le RGPD ? La décision de la CNIL est-elle trop sévère ? L’avenir nous le dira, surtout si Criteo choisit de faire appel de cette décision. En attendant, les entreprises du secteur adtech doivent rester vigilantes en matière de conformité et respecter les réglementations en vigueur pour éviter ce genre de sanctions.
Source : Techcrunch