Publicité sur internet: 40 millions d'euros d'amende infligés à Criteo

23/06/2023

La Cnil, garante de la vie privée des français, a infligé une amende de 40 millions d'euros pour des violations liées aux données personnelles au groupe français de publicité sur internet Criteo, qui "entend faire appel".



La Commission nationale de l'informatique et des libertés (Cnil) avait lancé une enquête en mars 2020 après des plaintes déposées par les associations Privacy International et None of Your Business. En août 2022, son rapporteur avait proposé une sanction de 60 millions d'euros contre la société Criteo SA, fondée en 2005 en France et spécialisée dans l'affichage de publicités ciblées sur le web, via un traceur collectant les données de navigation des internautes.



Elle lui reproche cinq manquements au règlement de l'Union européenne (UE) sur la protection des données personnelles (RGPD), notamment "l'absence de preuve du consentement des personnes au traitement de leurs données" et une entorse à "l'obligation d'information et de transparence", selon un communiqué publié jeudi.



Criteo dit avoir "pris note de la décision de sanction de la Cnil", prise le 15 juin et officialisée jeudi, et "entend faire appel auprès des autorités juridiques compétentes", dans un communiqué transmis à l'AFP.



"Bien que la Cnil ait réduit la sanction finale de 60 millions d'euros, montant initialement proposé, à 40 millions d'euros, la sanction reste largement disproportionnée au vu des manquements allégués et est sans commune mesure avec la pratique générale dans ce domaine", estime Ryan Damon, son directeur juridique.



"Un certain nombre d'interprétations et d'applications du RGPD faites par la Cnil ne sont cohérentes, ni avec la jurisprudence de la Cour de Justice de l'Union Européenne, ni avec les propres lignes directrices et recommandations de la Cnil", pense-t-il.



Ce responsable de Criteo réaffirme également que "les allégations formulées par la Cnil n'impliquent aucun risque pour les personnes, ni de dommages causés à celles-ci". Il ajoute aussi que "la décision porte sur des faits passés et ne comporte aucune obligation pour Criteo de modifier ses pratiques actuelles".



La Cnil reproche à Criteo un "manquement relatif à l'information des personnes" et souligne qu'il a engendré "une perte de contrôle des internautes sur leurs données dans la mesure où la société n'a pas mis à leur disposition une information complète et compréhensible".



Concernant l'exercice des droits d'accès, de retrait du consentement et d'effacement, la Cnil souligne "leur caractère structurel et leur gravité en ce que les mesures déployées par la société conduisent non seulement à ce que les demandes des personnes soient incorrectement traitées mais aussi à ce que ces dernières pensent légitimement que leur demande a bien été respectée".



La Cnil "rappelle également que la prise en compte par la société d'une demande d'effacement a pour unique effet d'arrêter l'affichage de publicités personnalisées, la société continuant par ailleurs à conserver les données de la personne à l'origine de la demande et même à les utiliser pour d'autres finalités".



"Afin de déterminer le montant de la sanction, la Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d'identifiants à travers l'Union européenne) et qu'elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes", est-il précisé dans le communiqué de l'instance.



En 2022, le groupe employait environ 3.000 personnes et avait réalisé un chiffre d'affaires global d'environ 1,9 milliard d'euros pour un résultat net de 10 millions d'euros environ.

Criteo a maintenu, début mai, ses prévisions annuelles, avec notamment une croissance autour de 10% de ses recettes ex-TAC (hors reversements aux partenaires) à taux de change constants. Cet indicateur s'est élevé à 6% sur le trimestre.



Entré en vigueur dans l'Union européenne en mai 2018, le RGPD prévoit des amendes qui peuvent aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial d'une entreprise.