Le verdit est tombé : la Commission nationale de l’informatique et des libertés (Cnil) a infligé une amende de 40 millions d’euros pour des violations liées aux données personnelles à l’adtech française Criteo. Cette dernière va faire appel.
La Cnil avait lancé une enquête en mars 2020 après des plaintes déposées par les associations Privacy International et None of Your Business. En août 2022, son rapporteur avait proposé une sanction de 60 millions d’euros contre la société Criteo, fondée en 2005 en France et spécialisée dans l’affichage de publicités ciblées sur le web, via un traceur collectant les données de navigation des internautes.
La Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes
Cnil
La Cnil lui reproche cinq manquements au règlement de l’Union européenne sur la protection des données personnelles (RGPD), notamment l’absence de preuve du consentement des personnes au traitement de leurs données et une entorse à l’obligation d’information et de transparence.
« Afin de déterminer le montant de la sanction, la Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes », précise la Cnil.
La sanction est sans commune mesure avec la pratique générale dans ce domaine
Ryan Damon
De son côté, Criteo, via son directeur juridique Ryan Damon, estime que « la sanction reste largement disproportionnée au vu des manquements allégués et est sans commune mesure avec la pratique générale dans ce domaine ». « Un certain nombre d’interprétations et d’applications du RGPD faites par la Cnil ne sont cohérentes, ni avec la jurisprudence de la Cour de Justice de l’Union Européenne, ni avec les propres lignes directrices et recommandations de la Cnil. »
En mars dernier, l’adtech estimait déjà que les violations aux règles sur les données personnelles qui lui sont reprochées ne sont pas de son fait, et n’ont entrainé aucune conséquence dommageable pour les personnes.
