Френският орган за защита на данните (CNIL) наложи глоба от 40 млн. евро на Criteo, голяма компания за онлайн реклама и проследяване в Европа, за нарушаване на ОРЗД. Това решение се основава на жалби, подадени от noyb и Privacy International през декември 2018 г. CNIL установи, че компанията не е спазила правата на субектите на данни съгласно GDPR и не е могла да докаже, че е получила валидно съгласие. Conseil d'Etat отхвърли жалбата на CRITEO и потвърди глобата.
- Оригинално съобщение за медиите от CNIL(EN)
- Оригинална жалба, подадена през декември 2018 г. от noyb и Privacy International
- Писмо от CNIL до noyb (FR)
- Решение на Conseil d'Etat
Criteo - изтъкнат играч в областта на рекламните технологии. Френското дружество Criteo предоставя услуги за "поведенческо ретаргетиране" на хиляди уебсайтове. За целта компанията поставя проследяващи "бисквитки" на уебсайтовете, за да анализира навиците на сърфиране и да определя кои продукти и услуги е вероятно да купи даден потребител. Компанията разполага с данни за около 370 милиона души в Европа.
Жалбата доведе до по-нататъшно разследване. През декември 2018 г., преди повече от 7 години, noyb и Privacy International подадоха жалби срещу Criteo за това, че не е предоставила на потребителите подходяща възможност да оттеглят съгласието си. Тази жалба предизвика обширно разследване от страна на CNIL, компетентния орган за защита на данните на Criteo. CNIL разшири обхвата и в други области и установи допълнителни нарушения на ОРЗД: наред с другото липса на прозрачност, неспазване на правото на изтриване и на правото на достъп.
Ромен Робер, бивш адвокат по защита на данните в noyb: "Решението е силен сигнал за рекламно-технологичната индустрия, че ще бъде изправена пред тежки последствия за нарушаване на закона."
Сериозен удар върху бизнес модела на Criteo. Френският орган за защита на данните приключи задълбочено разследване на бизнес модела на Criteo. То разкри многобройни нарушения на GDPR. Тъй като тези нарушения засягат много голям брой хора и се събират и обработват огромни количества данни, CNIL взе решение за значителна глоба в размер на 40 млн. евро. Решението беше одобрено и от всички останали органи за защита на данните в Европа.
Актуализация:
Criteo обжалва решението пред Conseil d'Etat.
През март 2026 г. Conseil d'Etat отхвърли жалбата и потвърди решението на CNIL. Това решение идва в ключов момент в дебата около предложението за законодателна реформа на Европейската комисия, наречено "Цифров омнибус". Предложението включва ново определение за лични данни, което ще стесни понятието за това какво представлява "личен" документ, като го направи зависимо от субективните обстоятелства на съответния администратор. Това значително ограничаване на приложното поле на ОРЗД, което може да бъде използвано от дружества, занимаващи се с поведенческо онлайн проследяване, е широко критикувано от експерти и защитници на неприкосновеността на личния живот. .
В делото, заведено пред Conseil d'Etat, Criteo оспорва класифицирането на псевдонимни идентификатори като лични данни, които са били приписани във връзка с IP адресите на субектите на данни и други данни за сърфиране. Дружеството твърди, че не е разполагало с цялата информация, необходима за повторното идентифициране на субекта на данни от присвоения идентификатор. Държавният съвет не се съгласи, като заяви, че данните могат да се считат за анонимизирани само ако рискът от повторно идентифициране на субекта на данни е "е незначителен, тъй като такова идентифициране е практически неприложимо." В случая на Criteo, като се има предвид, че целта на обработката е да се предлагат реклами, за даден идентификатор може да се направи кръстосана препратка към много голямо количество информация. Освен това самият Criteo потвърди, че идентифицирането на някои субекти на данни не е технически невъзможно. Поради това Държавният съвет счита, че тези идентификатори представляват лични данни.
