La CNIL a infligé à CRITEO une amende de 40 millions d’euros pour ne pas avoir vérifié le consentement des utilisateurs concernant le traitement de leurs données. Cette décision souligne que le retargeting publicitaire constitue un traitement de données personnelles, conformément à la définition du RGPD. La CNIL a établi que, malgré la pseudonymisation des données, CRITEO pouvait raisonnablement réidentifier les individus grâce à des identifiants et d’autres informations collectées. Ainsi, le RGPD s’applique, et CRITEO est responsable du traitement des données, ce qui renforce l’importance du consentement dans la publicité en ligne.. Consulter la source documentaire.

Quelle est la raison de la sanction de la CNIL contre CRITEO ?

La CNIL a infligé une amende de 40 millions d’euros à la société CRITEO, spécialisée dans la publicité en ligne, principalement pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

Cette décision souligne l’importance du respect des règles de protection des données personnelles, notamment en ce qui concerne le consentement des utilisateurs.

Le non-respect de ces obligations peut entraîner des sanctions financières significatives, comme cela a été le cas pour CRITEO.

Comment le RGPD définit-il une donnée personnelle ?

Selon l’article 4, 1) du RGPD, une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».

Cela inclut des éléments tels qu’un nom, un numéro d’identification, des données de localisation, ou un identifiant en ligne.

La définition est large et vise à protéger toute information qui pourrait permettre d’identifier une personne, directement ou indirectement.

Quelle est l’importance de la jurisprudence de la CJUE dans ce contexte ?

Le considérant 30 du RGPD, soutenu par la jurisprudence de la CJUE, stipule qu’un identifiant en ligne, comme une adresse IP, peut permettre de créer des profils de personnes physiques.

Les arrêts de la CJUE, notamment ceux de Scarlet Extended et Breyer, ont établi que l’identification d’une personne doit être évaluée au cas par cas.

Cela signifie qu’il faut considérer tous les moyens raisonnables qui pourraient être utilisés pour identifier une personne, ce qui est crucial pour l’application des règles de protection des données.

Pourquoi le rapprochement des données est-il déterminant dans le cas de CRITEO ?

CRITEO a été jugée responsable du traitement de données personnelles en raison de la diversité et du nombre de données collectées, toutes reliées à un identifiant.

Cela signifie qu’avec des moyens raisonnables, il est possible de réidentifier les personnes concernées.

CRITEO a tenté de minimiser son rôle en affirmant qu’elle ne traitait que des « évènements de navigation » pseudonymisés, mais cela a été contesté par la CNIL.

Qu’est-ce qui constitue une véritable anonymisation des données ?

Une véritable anonymisation des données implique que les données ne peuvent plus être utilisées pour identifier une personne physique.

Cela signifie qu’il ne doit pas y avoir de possibilité de réidentification, ce qui permettrait d’échapper aux exigences du RGPD.

CRITEO a affirmé ne traiter que des données pseudonymisées, mais la CNIL a souligné que ces données conservent un caractère personnel en raison de la possibilité de réidentification.

Quels types de données CRITEO collecte-t-elle pour enrichir les profils publicitaires ?

CRITEO collecte une variété de données pour enrichir les profils publicitaires, y compris des informations d’identification comme l’emplacement géographique, des identifiants d’utilisateur, et des données d’activité.

Cela inclut le suivi de l’historique de navigation, les produits consultés, et les interactions avec les publicités.

Ces données sont ensuite utilisées pour proposer des produits pertinents aux utilisateurs, en fonction de leurs centres d’intérêt.

Comment la CNIL a-t-elle justifié sa décision concernant la réidentification des données ?

La CNIL a justifié sa décision en affirmant que, bien que CRITEO ne dispose pas directement de l’identité des personnes, elle collecte d’autres données facilitant la réidentification.

Cela inclut des adresses électroniques sous forme hachée et des identifiants générés par d’autres acteurs.

Ainsi, même si les données sont pseudonymisées, la possibilité de réidentifier les personnes par des moyens raisonnables signifie que ces données restent considérées comme personnelles selon le RGPD.