Publicité personnalisée : la CNIL sanctionne Criteo
Par une décision du 15 juin 2023, la formation restreinte de la CNIL a sanctionné la société Criteo, spécialisée dans l’affichage de publicités ciblées sur internet, à hauteur de 40 millions d’euros du fait de divers manquement au RGPD tel que le manquement aux obligations d’information et de transparence ou le manquement à l’obligation de respecter le droit de retrait du consentement et d’effacement des données.
La société Criteo est spécialisée dans l’affichage de publicités ciblées sur internet. Le 8 novembre 2018, l’association « Privacy International » a adressé une plainte à la CNIL en soulignant que la société ne traitait pas les données des internautes conformément aux principes établis par l’article 5 du RGPD. Le 4 décembre 2018, l’association « Non of Your Business » a dénoncé à la CNIL le formalisme imposé par la société aux utilisateurs pour retirer leur consentement au traitement de leurs données.
Suite à ces signalements, une délégation de la CNIL a effectué plusieurs contrôles auprès de la société. Le 16 mars 2023, la CNIL a délibéré lors d’une séance de la formation restreinte. L’autorité écarte d’abord l’existence d’un manquement à l’article 7 du RGPD dès lors que la société s’est mise en conformité avec les exigences qu’il prévoit. Elle a cependant relevé plusieurs manquements dont s’est rendu responsable la société.
Sur le manquement aux obligations d’information et de transparence.
Les articles 12 et 13 du RGPD imposent au responsable des obligations d’information et de transparence.
En l’espèce, le rapporteur soutient que l’information fournie par la société aux personnes concernées n’était pas complète en ce qu’elle ne renseignait pas toutes les finalités relatives au traitement en cause dans la version de sa politique de confidentialité applicable à la date des constatations.
La formation restreinte considère à ce titre que la société n’est pas transparente quant à la base juridique du traitement. Elle retient qu’elle ne délivre pas aux personnes concernées l’intégralité des informations prévues en ayant recours à des termes peu clairs et précis et s’appuie sur une base juridique erronée. Elle donc manqué à ses obligations de transparence et d’information prévues aux articles 12 et 13 du RGPD.
Sur le manquement à l’obligation de respecter le droit d’accès des personnes concernées aux données à caractère personnel les concernant.
L’article 15 du RGPD impose au responsable de traitement de garantir à la personne concernée le droit d’obtenir la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et lorsqu’elles le sont, l’accès auxdites données.
En l’espèce, la rapporteur considère que la société ne répondait que partiellement aux demandes de droit d’accès dont elle était saisie. Elle estime également que les informations qu’elle fournissaient aux personnes concernées qui faisaient jouer leur droit d’accès n’était pas intelligible.
La formation restreinte retient que les explications fournies par la société ne permettent pas de justifier la non-communication des données personnelles qu’elle possède. Ainsi, en ne transmettant pas l’intégralité des données à caractère personnel des personnes exerçant leur droit d’accès auprès d’elle, la société a manqué aux articles 12 et 15 du RGPD.
Sur le manquement à l’obligation de respecter le droit de retrait du consentement et d’effacement des données.
L’article 7 paragraphe 3 du RGPD donne à la personne concernée le droit de retirer son consentement au traitement de ses données. L’article 17 lui donne le droit d’obtenir l’effacement des données traitées à certaines conditions.
En l’espèce, lorsqu’une personne concernée réalise une demande d’effacement, la société se limite à interrompre l’affichage de publicités personnalisées dans le terminal de la personne à l’origine de la demande. Or, dans les cas où la société n’est pas en mesure de s’assurer que la personne à l’origine de la demande a valablement consenti au traitement de ses données par la société, cette dernière ne peut continuer à traiter les données de cette personne pour des finalités ultérieures reposant sur le fondement de l’intérêt légitime.
La formation restreinte en conclut que la société a manqué à ses obligations au titre des articles 7 et 17 du RGPD.
Sur le manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement
L’article 26 du RGPD imposent aux responsables conjoints de traitement d’être lié par un accord qui leur impose certaines obligations et notamment le respect du RGPD.
La rapporteur relève que si, en l’espèce, un tel accord existait, il ne permettait pas de conclure à la conformité de la société avec l’article 26 du RGPD.
La formation restreinte relève qu’à la date des constatations, l’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, le cas échéant, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.
La formation restreinte en conclu que la société Criteo a manqué à ses obligations au titre de l’article 26 du RGPD.
Au titre de l’ensemble de ces manquements, la CNIL prononce une amende de 40 millions d’euros à l’encontre de la société Criteo.
Pour en savoir plus :
