La CNIL a infligé une amende de 40 millions d’euros à CRITEO pour ne pas avoir vérifié le consentement des utilisateurs concernant le traitement de leurs données personnelles. Cette décision a permis de qualifier le retargeting publicitaire comme un traitement de données personnelles. Selon le RGPD, une donnée personnelle est toute information permettant d’identifier une personne physique. CRITEO a soutenu traiter uniquement des données pseudonymisées, mais la CNIL a conclu que la réidentification était possible, rendant ainsi le RGPD applicable. La société est donc responsable du traitement des données, soulignant l’importance du consentement dans la publicité en ligne.. Consulter la source documentaire.

Quelle amende a été infligée à la société CRITEO par la CNIL ?

La CNIL a sanctionné la société CRITEO d’une amende de 40 millions d’euros. Cette décision a été prise en raison du non-respect des obligations de consentement concernant le traitement des données personnelles des utilisateurs.

CRITEO, spécialisée dans la publicité en ligne, n’a pas vérifié si les personnes dont elle traite les données avaient donné leur consentement, ce qui constitue une violation des règles établies par le RGPD.

Comment le RGPD définit-il une donnée personnelle ?

Selon l’article 4, 1) du RGPD, une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cela inclut des éléments tels que le nom, le numéro d’identification, les données de localisation, et d’autres caractéristiques spécifiques à l’identité d’une personne.

Cette définition souligne l’importance de la protection des données personnelles, car même des informations qui semblent anodines peuvent, lorsqu’elles sont combinées, permettre d’identifier une personne.

Quelle est la jurisprudence établie concernant les identifiants en ligne ?

Le considérant 30 du RGPD, soutenu par des décisions de la Cour de justice de l’Union européenne (CJUE), stipule qu’un identifiant en ligne, comme une adresse IP, peut laisser des traces permettant d’identifier des personnes physiques.

Dans l’arrêt Breyer, la CJUE a précisé qu’il est essentiel d’adopter une approche casuistique pour déterminer si une donnée est identifiable, en tenant compte des moyens raisonnables qui pourraient être utilisés pour identifier une personne.

Pourquoi le rapprochement des données est-il déterminant dans le cas de CRITEO ?

CRITEO a été jugée responsable du traitement de données à caractère personnel en raison de la quantité et de la diversité des données collectées, qui sont toutes reliées à un identifiant. Cela signifie qu’il est possible, avec des moyens raisonnables, de réidentifier les personnes concernées.

La société a soutenu qu’elle ne traitait que des « évènements de navigation » pseudonymisés, mais la CNIL a estimé que cette approche était insuffisante pour échapper aux exigences du RGPD.

Qu’est-ce qui constitue une véritable anonymisation des données ?

Une véritable anonymisation des données implique que les données ne peuvent plus être utilisées pour identifier une personne physique. Cela signifie qu’il ne doit pas y avoir de possibilité de réidentifier les individus à partir des données traitées.

CRITEO a affirmé ne traiter que des données pseudonymisées, mais la CNIL a souligné que ces données, associées à d’autres informations, peuvent faciliter la réidentification, ce qui les maintient dans le cadre des exigences du RGPD.

Quels types de données CRITEO collecte-t-elle pour enrichir les profils publicitaires ?

CRITEO collecte une variété de données pour enrichir les profils publicitaires, notamment :

– Des données d’identification, comme l’emplacement géographique, l’identifiant utilisateur Criteo, et des adresses électroniques sous forme hachée.

– Des données d’activité, qui suivent l’historique de navigation des utilisateurs, les produits consultés, et les interactions avec les publicités.

– Des données dérivées, qui sont inférées à partir des informations précédentes pour proposer des produits pertinents aux utilisateurs.

Ces données, bien que pseudonymisées, peuvent être utilisées pour réidentifier les utilisateurs, ce qui soulève des préoccupations en matière de protection des données.

Quelle conclusion peut-on tirer de la décision de la CNIL concernant CRITEO ?

La CNIL a conclu que, même si CRITEO ne détient pas directement l’identité des personnes, elle est capable de réidentifier ces dernières par des moyens raisonnables. Cela signifie que les données traitées conservent leur caractère personnel selon le RGPD.

En conséquence, le RGPD s’applique à CRITEO, qui est considérée comme responsable du traitement des données en question. Cette décision souligne l’importance de respecter les règles de consentement et de protection des données personnelles.