La plus haute juridiction administrative française a confirmé une amende de 40 millions d’euros infligée à Criteo, une agence de publicité en ligne basée à Paris, pour des violations des règles de protection des données de l’Union européenne. La décision confirme une sanction infligée par la Commission Nationale de l’Informatique et des Libertés, l’autorité française de protection des données chargée de faire respecter le Règlement général sur la protection des données. Le régulateur a constaté que Criteo ne respectait pas plusieurs exigences relatives à la manière dont les données utilisateurs sont collectées et traitées.
Criteo propose des services publicitaires qui reposent sur le suivi de l’activité de navigation des utilisateurs pour diffuser des publicités ciblées. L’entreprise utilise des cookies placés sur les sites partenaires pour collecter des données sur le comportement des utilisateurs et déterminer quels produits ou services pourraient être pertinents pour chaque utilisateur.
L’enquête a révélé que des cookies de suivi étaient placés sur les appareils des utilisateurs sans consentement valide. Selon les règles du RGPD, les entreprises doivent obtenir une autorisation claire et éclairée avant de traiter des données personnelles. Le régulateur a également conclu que Criteo ne pouvait pas démontrer que les utilisateurs avaient donné un tel consentement, même si une part de la responsabilité de son obtention incombe aux sites partenaires.
Les autorités ont également identifié d’autres infractions. Selon les conclusions, l’entreprise n’a pas fourni suffisamment de transparence sur la manière dont les données personnelles étaient utilisées et n’a pas respecté les droits des utilisateurs, notamment l’accès aux données et la possibilité de demander la suppression.
L’affaire est née de plaintes déposées en 2018 par les organisations de protection de la vie privée noyb et Privacy International. Ces plaintes ont déclenché une enquête du régulateur français, qui a élargi l’examen pour examiner plusieurs aspects des pratiques de traitement des données de l’entreprise.
Criteo a fait appel de l’amende, arguant que les identifiants utilisés pour le suivi étaient des pseudonymes et ne devaient pas être considérés comme des données personnelles. L’entreprise a déclaré que ces identifiants ne révélaient pas directement l’identité d’un utilisateur.
La cour a rejeté cet argument. Elle a statué que les données ne peuvent être considérées comme anonymes que si la réidentification est pratiquement impossible. Les juges ont conclu que le système de Criteo permet de combiner de grands volumes de données, ce qui signifie que les utilisateurs pourraient potentiellement être identifiés, et que ces données relèvent donc du champ d’application des protections du RGPD.
Suite à cette décision, l’amende de 40 millions d’euros reste en vigueur. Les autorités n’ont pas annoncé de sanctions supplémentaires ni de mesures d’application liées à l’affaire. La décision confirme les conclusions du régulateur et conclut la contestation juridique de la société contre la pénalité.