Het hoogste administratieve gerechtshof van Frankrijk heeft een boete van €40 miljoen bevestigd die Criteo, een in Parijs gevestigd online advertentiebedrijf, heeft opgelegd wegens overtredingen van de Europese regels voor gegevensbescherming. De beslissing bevestigt een boete opgelegd door de Commission Nationale de l’Informatique et des Libertés, de Franse gegevensbeschermingsautoriteit die verantwoordelijk is voor de handhaving van de Algemene Verordening Gegevensbescherming. De toezichthouder stelde vast dat Criteo niet voldeed aan verschillende vereisten met betrekking tot de manier waarop gebruikersgegevens worden verzameld en verwerkt.
Criteo biedt advertentiediensten die afhankelijk zijn van het volgen van de browse-activiteit van gebruikers om gerichte advertenties te leveren. Het bedrijf gebruikt cookies die op partnerwebsites zijn geplaatst om gegevens te verzamelen over gebruikersgedrag en te bepalen welke producten of diensten relevant kunnen zijn voor individuele gebruikers.
Het onderzoek wees uit dat trackingcookies zonder geldige toestemming op de apparaten van gebruikers zijn geplaatst. Volgens de GDPR-regels moeten bedrijven duidelijke en geïnformeerde toestemming verkrijgen voordat ze persoonsgegevens verwerken. De toezichthouder concludeerde ook dat Criteo niet kon aantonen dat gebruikers zo’n toestemming hadden gegeven, hoewel een deel van de verantwoordelijkheid voor het verkrijgen daarvan bij partnerwebsites ligt.
De autoriteiten identificeerden ook aanvullende overtredingen. Volgens de bevindingen bood het bedrijf onvoldoende transparantie over het gebruik van persoonsgegevens en voldeed het niet aan gebruikersrechten, waaronder toegang tot gegevens en de mogelijkheid om verwijdering aan te vragen.
De zaak is ontstaan uit klachten die in 2018 werden ingediend door privacyorganisaties noyb en Privacy International. Deze klachten leidden tot een onderzoek door de Franse toezichthouder, dat zich uitbreidde naar meerdere aspecten van de gegevensverwerkingspraktijken van het bedrijf.
Criteo ging in beroep tegen de boete, met het argument dat de identificaties die het gebruikte voor tracking pseudoniem waren en niet als persoonlijke gegevens moesten worden beschouwd. Het bedrijf verklaarde dat deze identificaties de identiteit van een gebruiker niet direct openbaar maakten.
De rechtbank verwierp dit argument. Het oordeelde dat gegevens alleen anoniem kunnen worden behandeld als heridentificatie praktisch onmogelijk is. De rechters stelden vast dat het systeem van Criteo het mogelijk maakt om grote hoeveelheden data te combineren, wat betekent dat gebruikers mogelijk kunnen worden geïdentificeerd, en dat de gegevens dus onder de dekking van de AVG vallen.
Na de uitspraak blijft de boete van €40 miljoen van kracht. De autoriteiten hebben geen aanvullende straffen of handhavingsmaatregelen in verband met de zaak aangekondigd. De beslissing bevestigt de bevindingen van de toezichthouder en sluit de juridische uitdaging van het bedrijf tegen de boete af.