La CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.
Les enseignements clefs de cette sanction : i) Le traitement des données de navigation des internautes non anonymisées (retargeting publicitaire) est un traitement de données personnelles ; ii) Le prestataire de retargeting doit s’assurer que ses sous-traitants ont recueilli le consentement des internautes et conserver cette preuve en cas de contrôle (rédaction d’une convention de sous traitance de données personnelles)
La pratique du retargeting publicitaire
La société CRITEO est spécialisée dans le « reciblage publicitaire » qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées.
La société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et collecte une très grande quantité de données relatives aux habitudes de consommation des internautes.
La société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.
La CNIL a identifié cinq violations du RGPD par l’entreprise CRITEO.
Violation de l’obligation de prouver le consentement de l’individu (article 7.1 du RGPD)
Selon la loi, le traqueur (cookie) CRITEO, utilisé pour le ciblage publicitaire, ne peut être installé sur le dispositif de l’utilisateur sans son accord. Bien que cette tâche revienne à ses partenaires qui interagissent directement avec les internautes, CRITEO est toujours tenu de vérifier et de démontrer que les utilisateurs ont effectivement donné leur consentement. Cependant, il a été constaté que le traceur CRITEO était installé sur les dispositifs des utilisateurs par plusieurs partenaires de l’entreprise sans leur consentement.
L’instance a également noté que, au moment des enquêtes, l’entreprise n’avait mis en place aucune mesure lui permettant de vérifier que ses partenaires recueillaient effectivement le consentement des internautes dont elle traitait ensuite les données. Les contrats avec les partenaires ne contenaient aucune clause obligeant ces derniers à fournir à CRITEO la preuve du consentement des utilisateurs. De plus, l’entreprise n’avait mené aucune campagne d’audit de ses partenaires avant l’ouverture de la procédure par la CNIL.
Les contrats avec les partenaires comprennent maintenant une clause relative à la preuve du consentement, dans laquelle le partenaire s’engage à « fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu ».
Violation de l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
La politique de confidentialité de l’entreprise était incomplète car elle ne comprenait pas toutes les finalités du traitement. De plus, certaines des finalités étaient exprimées en termes vagues et larges, ce qui ne permettait pas aux utilisateurs de comprendre précisément quelles données personnelles étaient utilisées et pour quels objectifs. Depuis, l’entreprise a mis à jour sa politique de confidentialité pour y inclure les informations manquantes et utiliser des termes simples et compréhensibles.
Violation du droit d’accès (article 15.1 du RGPD)
Lorsqu’un individu exerçait son droit d’accès, l’entreprise lui fournissait, sous forme de tableaux, les données provenant de 3 des 6 tables de sa base de données. Cependant, il a été constaté que les données personnelles contenues dans 2 des 3 autres tables devaient également être communiquées aux individus. De plus, lorsque l’entreprise transmettait ces tableaux, elle ne fournissait pas suffisamment d’informations pour leur permettre de comprendre leur contenu.
L’entreprise s’est engagée à fournir toutes les données qu’elle détient dans le cadre de ses réponses aux demandes d’accès et à compléter les explications qu’elle fournit dans sa réponse à ces demandes.
Violation du droit de révocation du consentement et de l’effacement des données (articles 7.3 et 17.1 du RGPD)
Lorsqu’un individu exerçait son droit de révocation du consentement ou d’effacement de ses données, le processus de l’entreprise se contentait d’arrêter l’affichage de publicités personnalisées pour l’utilisateur. Cependant, l’entreprise n’effaçait pas l’identifiant attribué à l’individu, ni les événements de navigation associés à cet identifiant.
En termes de modalités d’exercice des droits, l’entreprise a mis en place un système permettant aux individus d’exercer leur droit de révocation du consentement directement en cliquant sur un bouton « Désactiver les services Critéo » présent dans la politique de confidentialité de l’entreprise.
Concernant l’effacement des données, l’entreprise invite l’utilisateur à adresser sa demande par mail au Délégué à la Protection des Données (DPO). Pour chaque demande, il incombe à l’entreprise de déterminer et de justifier si des données concernant l’utilisateur peuvent continuer à être traitées pour d’autres finalités et sur quelle base légale ce traitement peut être fondé.
Violation de l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)
L’accord établi par l’entreprise avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis des exigences du RGPD, telles que l’exercice des droits par les personnes concernées, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées, ou encore, si nécessaire, la réalisation d’une étude d’impact selon l’article 35 du RGPD.
Les accords avec les partenaires ont été améliorés en termes de responsabilité conjointe pour inclure les dispositions requises par l’article 26 du RGDP (convention de sous-traitance de données personnelles).