La Cnil, garante de la vie privée des français, a infligé une amende de 40 millions d’euros au groupe français de publicité sur internet Criteo pour des violations liées aux données personnelles, selon une délibération publiée jeudi.
Cette sanction fait suite à une plainte en novembre 2018 de l’association britannique Privacy International, qui visait sept entreprises procédant à la collecte à grande échelle de données, dont Criteo. En août 2022, le rapporteur de la Cnil (Commission nationale de l’informatique et des Libertés) avait proposé une sanction de 60 millions d’euros.
ℹ️? La CNIL prononce une #sanction de 40 millions d’euros à l’encontre de la société CRITEO notamment pour ne pas avoir vérifié que les personnes dont elle traite les #données avaient donné leur consentement ?https://t.co/ceGDv0tDRm pic.twitter.com/BSudd53Txk
— CNIL (@CNIL) June 22, 2023
Fondée en 2005 en France, la société Criteo SA est spécialisée dans l’affichage de publicités ciblées sur le web. En 2022, le groupe employait environ 3000 personnes et avait réalisé un chiffre d’affaires global d’environ 1,9 milliard d’euros pour un résultat net de 10 millions d’euros environ.
Le « re-ciblage publicitaire »
La Cnil, qui avait lancé une enquête en mars 2020, lui reproche d’avoir enfreint le règlement de l’UE sur la protection des données personnelles (RGPD), concernant le « re-ciblage publicitaire » à des fins d’affichage de publicité personnalisée, qui ne permet pas une anonymisation des personnes suffisante pour ne pas les ré-identifier.
Elle relève un « manquement relatif à l’information des personnes » et souligne qu’il a engendré « une perte de contrôle des internautes sur leurs données dans la mesure où la société n’a pas mis à leur disposition une information complète et compréhensible ». Concernant l’exercice des droits d’accès, de retrait du consentement et d’effacement, la Cnil souligne « leur caractère structurel et leur gravité en ce que les mesures déployées par la société conduisent non seulement à ce que les demandes des personnes soient incorrectement traitées mais aussi à ce que ces dernières pensent légitimement que leur demande a bien été respectée ».
Les données n’étaient pas effacées
La Cnil « rappelle également que la prise en compte par la société d’une demande d’effacement a pour unique effet d’arrêter l’affichage de publicités personnalisées, la société continuant par ailleurs à conserver les données de la personne à l’origine de la demande et même à les utiliser pour d’autres finalités ». Criteo a maintenu, début mai, ses prévisions annuelles, avec notamment une croissance autour de 10% de ses recettes ex-TAC (hors reversements aux partenaires) à taux de change constants. Cet indicateur s’est élevé à 6% sur le trimestre.
Entré en vigueur dans l’Union européenne (UE) en mai 2018, le RGPD prévoit des amendes qui peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial d’une entreprise.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.