Le dépôt de cookies en dehors des clous du RGPD, c’est terminé ? Le Conseil d’État, la plus haute juridiction administrative, a validé mercredi 4 mars l’amende salée de 40 millions d’euros imposée à Criteo, spécialiste de la publicité ciblée, en 2023.
Il aura fallu sept années pour qu’une décision de justice vienne clore définitivement le dossier Criteo, du nom de ce géant du ciblage publicitaire accusé d’avoir collecté, en dehors des clous, les données personnelles de 50 millions de Français et 370 millions d’Européens. Dans une décision du mercredi 4 mars, le Conseil d’État, la plus haute juridiction administrative, a confirmé l’amende salée imposée en 2023 à la société française.
Trois ans plus tôt, la Commission nationale de l’informatique et des libertés (Cnil), l’autorité française en charge de la protection de la vie privée, avait condamné la spécialiste de la publicité en ligne à 40 millions d’euros en raison de cinq violations du RGPD, le règlement européen sur les données personnelles. Le montant avait été jugé disproportionné par la principale intéressée, qui avait fait appel… en vain.
À lire aussi : Criteo condamné à une amende de 40 millions d’euros : un avertissement pour tous ceux qui font commerce de vos données
Des données pas assez pseudonymisées ?
Devant le Conseil d’État, la société spécialisée dans le ciblage publicitaire a expliqué, entre autres, que ses pratiques de collecte de données n’entraient pas dans le champ du RGPD, car les données traitées étaient pseudonymisées : elles ne devaient donc pas être considérées comme des données personnelles. Mais selon la plus haute juridiction administrative, la pseudonymisation n’était pas ici effective car il était possible d’identifier les personnes à partir des identifiants de Criteo – des numéros attribués aux internautes dont les données étaient collectées.
« Une partie au moins des très nombreuses personnes concernées étaient identifiables, par des moyens n’impliquant pas un effort démesuré en termes de temps, de coût et de main-d’œuvre », écrit le Conseil d’État. « Un très grand nombre d’informations, parfois très précises, peuvent être recueillies et recoupées pour un identifiant donné », à l’image de l’emplacement géographique, de l’activité de navigation comme les sites visités, les achats faits, les publicités consultées et celles ayant donné lieu à un achat, détaille encore la plus haute cour administrative.
Une décision qui sonne le glas du « laisser-faire » en matière de collecte de données personnelles sur le Web
À l’origine de cette sanction, l’association britannique Privacy International attaquait en novembre 2018 sept entreprises, dont Criteo. En ligne de mire, l’ONG déplorait les « collectes à grande échelle de données » effectuées en violation du RGPD, entré en vigueur la même année. Un mois plus tard, c’est NOYB, l’association de défense des droits numériques de Max Schrems, qui déposait une plainte similaire. Le RGPD impose une série d’obligations d’information et de transparence à toutes les entreprises qui prélèvent nos données personnelles, et qui les revendent ensuite à des fins publicitaires.
À lire aussi : Vérifier l’âge des internautes ? C’est dangereux et inefficace, selon ces chercheurs
En 2023, l’amende salée imposée par la CNIL avait été analysée comme un message fort, qui sonnait le glas du « laisser-faire » en matière de collecte de données personnelles sur le Web. Lucie Audibert, l’avocate de Privacy International estimait alors que le temps où « les entreprises ont construit de gigantesques chaînes de données, sans chercher à s’assurer que les utilisateurs ciblés avaient consenti à ce que leurs informations privées soient échangées comme une marchandise » était révolu.
Un point de vue que semble partager le Conseil d’État qui, dans sa décision, rappelle le nombre important de personnes concernées par la collecte illicite de données personnelles (370 millions d’utilisateurs dans l’Union européenne, dont 50 millions de Français). Or, Criteo est un « acteur majeur du secteur des services de publicité sur internet » qui « a tiré un gain direct des manquements retenus, dans la mesure où ceux-ci lui ont permis d’être rémunéré par des annonceurs ayant diffusé de la publicité ciblée à des personnes qui n’y auraient pas forcément consenti si leur consentement avait été recueilli au préalable », souligne la plus haute cour administrative, qui confirme la sanction.
Cette confirmation intervient alors que Criteo a annoncé, quelques jours plus tôt, avoir rejoint le programme publicitaire pilote de ChatGPT, l’agent conversationnel d’OpenAI. Si l’annonce est pour l’instant limitée au marché nord-américain, son éventuelle et probable arrivée sur le sol européen, qui signera l’arrivée de la publicité sur les chatbots IA, sera scrutée de près par les autorités de protection des données personnelles.
À lire aussi : OpenAI (ChatGPT) condamné pour la première fois en Europe à une amende salée, sur le terrain des données personnelles
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.