La CNIL a infligé à CRITEO une amende de 40 millions d’euros pour ne pas avoir vérifié le consentement des utilisateurs concernant le traitement de leurs données. Cette décision souligne que le retargeting publicitaire constitue un traitement de données personnelles, conformément à la définition du RGPD. La CNIL a établi que, malgré la pseudonymisation des données, CRITEO pouvait raisonnablement réidentifier les individus grâce à des identifiants et d’autres informations collectées. Ainsi, le RGPD s’applique, et CRITEO est responsable du traitement des données, ce qui renforce l’importance du consentement dans la publicité en ligne.