L’essentiel : La CNIL a infligé à CRITEO, spécialiste du reciblage publicitaire, une amende de 40 millions d’euros pour manquement à l’obligation de vérifier le consentement des utilisateurs concernant le traitement de leurs données. L’entreprise a été reconnue coupable de plusieurs violations du RGPD, notamment l’absence de preuve de consentement et une politique de confidentialité incomplète. CRITEO, qui suit la navigation de 370 millions d’internautes en Europe, doit désormais s’assurer que ses partenaires respectent les exigences de consentement et améliorer la transparence de ses pratiques de traitement des données.

La CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leurconsentement.

Les enseignements clefs de cette sanction : i) Le traitement des données de navigation des internautes non anonymisées (retargeting publicitaire) est un traitement de données personnelles ; ii) Le prestataire de retargeting doit s’assurer que ses sous-traitants ont recueilli le consentement des internautes et conserver cette preuve en cas de contrôle (rédaction d’une convention de sous traitance de données personnelles)

La pratique du retargeting publicitaire

La société CRITEO est spécialisée dans le «reciblage publicitaire» qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées.

La société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) etcollecte une très grande quantité de données relatives aux habitudes de consommation des internautes.

La société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.

La CNIL a identifié cinq violations du RGPD par l’entreprise CRITEO.

Violation de l’obligation de prouver le consentement de l’individu (article 7.1 du RGPD)

Selon la loi, le traqueur (cookie) CRITEO, utilisé pour le ciblage publicitaire, ne peut être installé sur le dispositif de l’utilisateur sans son accord. Bien que cette tâche revienne à ses partenaires qui interagissent directement avec les internautes, CRITEO est toujours tenu de vérifier et de démontrer que les utilisateurs ont effectivement donné leur consentement. Cependant, il a été constaté que le traceur CRITEO était installé sur les dispositifs des utilisateurs par plusieurs partenaires de l’entreprise sans leur consentement.

L’instance a également noté que, au moment des enquêtes, l’entreprise n’avait mis en place aucune mesure lui permettant de vérifier que ses partenaires recueillaient effectivement le consentement des internautes dont elle traitait ensuite les données. Les contrats avec les partenaires ne contenaient aucune clause obligeant ces derniers à fournir à CRITEO la preuve du consentement des utilisateurs. De plus, l’entreprise n’avait mené aucune campagne d’audit de ses partenaires avant l’ouverture de la procédure par la CNIL.

Les contrats avec les partenaires comprennent maintenant une clause relative à la preuve du consentement, dans laquelle le partenaire s’engage à « fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu ».

Violation de l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La politique de confidentialité de l’entreprise était incomplète car elle ne comprenait pas toutes les finalités du traitement. De plus, certaines des finalités étaient exprimées en termes vagues et larges, ce qui ne permettait pas aux utilisateurs de comprendre précisément quelles données personnelles étaient utilisées et pour quels objectifs. Depuis, l’entreprise a mis à jour sa politique de confidentialité pour y inclure les informations manquantes et utiliser des termes simples et compréhensibles.

Violation du droit d’accès (article 15.1 du RGPD)

Lorsqu’un individu exerçait son droit d’accès, l’entreprise lui fournissait, sous forme de tableaux, les données provenant de 3 des 6 tables de sa base de données. Cependant, il a été constaté que les données personnelles contenues dans 2 des 3 autres tables devaient également être communiquées aux individus. De plus, lorsque l’entreprise transmettait ces tableaux, elle ne fournissait pas suffisamment d’informations pour leur permettre de comprendre leur contenu.

L’entreprise s’est engagée à fournir toutes les données qu’elle détient dans le cadre de ses réponses aux demandes d’accès et à compléter les explications qu’elle fournit dans sa réponse à ces demandes.

Violation du droit de révocation du consentement et de l’effacement des données (articles 7.3 et 17.1 du RGPD)

Lorsqu’un individu exerçait son droit de révocation du consentement ou d’effacement de ses données, le processus de l’entreprise se contentait d’arrêter l’affichage de publicités personnalisées pour l’utilisateur. Cependant, l’entreprise n’effaçait pas l’identifiant attribué à l’individu, ni les événements de navigation associés à cet identifiant.

En termes de modalités d’exercice des droits, l’entreprise a mis en place un système permettant aux individus d’exercer leur droit de révocation du consentement directement en cliquant sur un bouton « Désactiver les services Critéo » présent dans la politique de confidentialité de l’entreprise.

Concernant l’effacement des données, l’entreprise invite l’utilisateur à adresser sa demande par mail au Délégué à la Protection des Données (DPO). Pour chaque demande, il incombe à l’entreprise de déterminer et de justifier si des données concernant l’utilisateur peuvent continuer à être traitées pour d’autres finalités et sur quelle base légale ce traitement peut être fondé.

Violation de l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

L’accord établi par l’entreprise avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis des exigences du RGPD, telles que l’exercice des droits par les personnes concernées, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées, ou encore, si nécessaire, la réalisation d’une étude d’impact selon l’article 35 du RGPD.

Les accords avec les partenaires ont été améliorés en termes de responsabilité conjointe pour inclure les dispositions requises par l’article 26 du RGDP (convention de sous-traitance de données personnelles).

Q/R juridiques soulevées :

Quelle est la sanction imposée à CRITEO par la CNIL ?

La CNIL a infligé à la société CRITEO une amende de 40 millions d’euros. Cette sanction a été principalement motivée par le fait que CRITEO n’a pas vérifié si les utilisateurs dont elle traite les données avaient donné leur consentement. Cette amende souligne l’importance du respect des réglementations sur la protection des données personnelles, notamment le RGPD, qui impose des obligations strictes concernant le consentement des utilisateurs avant le traitement de leurs données.

Quelles sont les obligations de CRITEO en matière de consentement ?

CRITEO, en tant que prestataire de retargeting publicitaire, est tenu de s’assurer que ses partenaires ont obtenu le consentement des internautes avant d’installer des traceurs (cookies) sur leurs dispositifs. L’article 7.1 du RGPD stipule que le consentement doit être donné librement, spécifiquement, informé et univoque. CRITEO doit donc non seulement vérifier que ce consentement a été obtenu, mais aussi conserver la preuve de ce consentement pour se conformer aux exigences de la CNIL.

Quelles violations du RGPD ont été identifiées par la CNIL ?

La CNIL a identifié cinq violations du RGPD par CRITEO. Ces violations incluent : 1. L’absence de preuve de consentement des utilisateurs. 2. Une politique de confidentialité incomplète et peu claire. 3. Le non-respect du droit d’accès des utilisateurs à leurs données. 4. L’inefficacité du processus de révocation du consentement et d’effacement des données. 5. L’absence d’accord clair entre les responsables conjoints de traitement. Ces violations mettent en lumière les lacunes dans la gestion des données personnelles par CRITEO.

Comment CRITEO a-t-elle amélioré sa politique de confidentialité ?

Suite aux observations de la CNIL, CRITEO a mis à jour sa politique de confidentialité pour y inclure toutes les finalités du traitement des données. Les informations manquantes ont été ajoutées, et des termes plus simples et compréhensibles ont été utilisés pour permettre aux utilisateurs de mieux comprendre comment leurs données sont utilisées. Cette transparence est essentielle pour respecter les articles 12 et 13 du RGPD.

Quelles mesures CRITEO a-t-elle prises concernant le droit d’accès des utilisateurs ?

CRITEO s’est engagée à fournir toutes les données personnelles qu’elle détient lors des demandes d’accès des utilisateurs. Auparavant, l’entreprise ne fournissait que des données issues de certaines tables de sa base de données. Désormais, elle doit communiquer toutes les données pertinentes et fournir des explications claires pour aider les utilisateurs à comprendre le contenu des informations transmises.

Comment CRITEO gère-t-elle le droit de révocation du consentement ?

CRITEO a mis en place un système permettant aux utilisateurs de révoquer leur consentement facilement, notamment via un bouton « Désactiver les services Critéo » dans sa politique de confidentialité. Cependant, il est important de noter que, jusqu’à récemment, l’entreprise ne supprimait pas l’identifiant attribué à l’utilisateur ni les événements de navigation associés. Cela a été un point de non-conformité avec les articles 7.3 et 17.1 du RGPD.

Quelles améliorations ont été apportées aux accords avec les partenaires de CRITEO ?

Les accords de CRITEO avec ses partenaires ont été renforcés pour inclure des clauses précises concernant les obligations de chaque partie en matière de protection des données. Ces améliorations visent à garantir que les partenaires respectent les exigences du RGPD, notamment en ce qui concerne l’exercice des droits des utilisateurs, la notification des violations de données et la réalisation d’études d’impact lorsque cela est nécessaire. Ces changements sont conformes à l’article 26 du RGPD.