La CNIL a infligé une amende de 40 millions d’euros à CRITEO pour ne pas avoir vérifié le consentement des utilisateurs concernant le traitement de leurs données personnelles. Cette décision a permis de qualifier le retargeting publicitaire comme un traitement de données personnelles. Selon le RGPD, une donnée personnelle est toute information permettant d’identifier une personne physique. CRITEO a soutenu traiter uniquement des données pseudonymisées, mais la CNIL a conclu que la réidentification était possible, rendant ainsi le RGPD applicable. La société est donc responsable du traitement des données, soulignant l’importance du consentement dans la publicité en ligne.