Criteo et son retargeting sanctionnés pour 5 manquements au RGPD

Criteo et son retargeting sanctionnés pour 5 manquements au RGPD


La sanction a longtemps plané au-dessus de la tête du spécialiste français de la publicité en ligne et plus précisément du retargeting. Criteo est à présent fixé sur son sort. La Cnil lui inflige une amende de 40 millions d’euros.

Il aura donc fallu plusieurs années à l’autorité de protection des données pour condamner l’adtech hexagonale, suite à une plainte en 2018 et l’ouverture d’une enquête en 2020. En août dernier, une ONG suggérait que la sanction pourrait atteindre 60 millions d’euros.

Du retargeting sans preuve de consentement pendant des années

En raison des nombreux manquements relevés par la Commission, la condamnation était, in fine, inévitable. Au travers de ses activités de retargeting, Criteo s’est rendu coupable de pas moins de 5 infractions au RGPD.

Le métier de l’adtech, comme le détaille la Cnil, consiste à suivre la navigation des internautes dans le but d’afficher des publicités ciblées. Ce suivi s’opère au travers d’un cookie ou traceur, déposé sur leurs terminaux.

Les internautes ont-ils donné leur consentement à ces collectes de données ? C’est sans doute le problème originel. Pour la Cnil, la réponse est claire. Elle constate une absence de preuve du consentement des personnes au traitement de leurs données.

C’est le premier manquement attribué à Criteo, même si son cookie était déposé par des partenaires. « Cependant, cela ne dispense pas la société CRITEO de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement », rappelle l’autorité.

Absence d’audit des partenaires par Criteo

En outre, les contrôles ont mis en lumière que l’entreprise n’avait pris aucune mesure pour y remédier et ainsi contrôler qu’un consentement valide était recueilli. D’ailleurs, contractuellement, les partenaires n’étaient pas tenus par des clauses de fournir la preuve du consentement des internautes.

Enfin, inaction coupable, « la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL. » Par la suite, sous le coup d’une enquête, Criteo a mis à jour ses contrats pour inclure une clause relative à la preuve de consentement.

Elle cumule néanmoins d’autres manquements, qui concernent donc l’obligation d’information et de transparence (corrigé depuis aussi), le respect des droits d’accès, de retrait du consentement et de l’effacement de ses données. Enfin, sa condamnation est justifiée également par un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement.

Quid ensuite de la sanction ? Pour des manquements qui peuvent sembler comparables, Google s’est par exemple vu infliger une amende de 100 millions d’euros en 2020. Pour déterminer la peine infligée à Criteo, la Cnil précise avoir tenu compte de différents critères.

L’inaction financière rentable de l’adtech

Parmi ceux-ci, « le fait que le traitement en cause concernait un très grand nombre de personnes », avec 370 millions d’identifiants pour l’UE et l’ampleur de la collecte sur les habitudes de consommation des internautes.

Criteo pourrait arguer ne pas être en mesure d’identifier les individus eux-mêmes. Les « données étaient suffisamment précises pour permettre, dans certains cas, de réidentifier les personnes », réplique la Commission.

Elle épingle aussi son modèle économique et ses pratiques en matière de consentement, profitable financièrement. En clair, Criteo avait un intérêt direct à faire preuve de laxisme dans ce secteur. Un paramètre qui pourrait amener à juger la sanction finalement presque clémente.

« La CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire », observe-t-elle.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.