Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε πρόστιμο 40 εκατομμυρίων ευρώ στην Criteo, μια μεγάλη εταιρεία διαδικτυακής διαφήμισης και παρακολούθησης στην Ευρώπη, για παραβίαση του GDPR. Η απόφαση αυτή βασίζεται σε καταγγελίες που υπέβαλαν η noyb και η Privacy International τον Δεκέμβριο του 2018. Η CNIL διαπίστωσε ότι η εταιρεία δεν συμμορφώθηκε με τα δικαιώματα των υποκειμένων των δεδομένων βάσει του GDPR και δεν μπόρεσε να αποδείξει ότι έλαβε έγκυρη συγκατάθεση. Το Συμβούλιο της Επικρατείας απέρριψε την έφεση της CRITEO και επικύρωσε το πρόστιμο.
- Πρωτότυπο Δελτίο Τύπου από την CNIL ( EN )
- Αρχική καταγγελία που υποβλήθηκε τον Δεκέμβριο του 2018 από την noyb και την Privacy International
- Επιστολή της CNIL προς το noyb (FR)
- Απόφαση του Συμβουλίου της Επικρατείας
Criteo – εξέχων παίκτης στον τομέα της τεχνολογίας διαφημίσεων. Η γαλλική εταιρεία Criteo παρέχει υπηρεσίες «αναπροσαρμογής συμπεριφοράς» σε χιλιάδες ιστότοπους. Για να το κάνει αυτό, η εταιρεία τοποθετεί cookies παρακολούθησης σε ιστότοπους, προκειμένου να αναλύει τις συνήθειες περιήγησης και να καθορίζει ποια προϊόντα και υπηρεσίες είναι πιθανό να αγοράσει ένας χρήστης. Η εταιρεία διαθέτει δεδομένα για περίπου 370 εκατομμύρια άτομα στην Ευρώπη.
Η καταγγελία οδήγησε σε περαιτέρω έρευνα. Τον Δεκέμβριο του 2018, πριν από περισσότερα από 7 χρόνια, οι noyb και Privacy International υπέβαλαν καταγγελίες κατά της Criteo επειδή δεν παρείχε στους χρήστες την κατάλληλη επιλογή ανάκλησης της συγκατάθεσής τους. Αυτή η καταγγελία πυροδότησε εκτεταμένη έρευνα από την CNIL, την αρμόδια αρχή προστασίας δεδομένων για την Criteo. Η CNIL διεύρυνε επίσης το πεδίο εφαρμογής σε άλλους τομείς και διαπίστωσε πρόσθετες παραβιάσεις του ΓΚΠΔ: μεταξύ άλλων, την έλλειψη διαφάνειας, τη μη συμμόρφωση με το δικαίωμα διαγραφής και το δικαίωμα πρόσβασης.
Ο Romain Robert, πρώην δικηγόρος προστασίας δεδομένων στην noyb : « Η απόφαση αποτελεί ισχυρό μήνυμα προς τον κλάδο της τεχνολογίας διαφημίσεων ότι θα αντιμετωπίσουν τρομερές συνέπειες για την παραβίαση του νόμου » .
Σοβαρό πλήγμα στο επιχειρηματικό μοντέλο της Criteo. Η Γαλλική Αρχή Προστασίας Δεδομένων ολοκλήρωσε μια εις βάθος έρευνα σχετικά με το επιχειρηματικό μοντέλο της Criteo. Αποκάλυψε πολυάριθμες παραβιάσεις του ΓΚΠΔ. Δεδομένου ότι ένας πολύ μεγάλος αριθμός ατόμων αφορά αυτές τις παραβιάσεις και συλλέγονται και υποβάλλονται σε επεξεργασία τεράστιες ποσότητες δεδομένων, η CNIL αποφάσισε να επιβάλει σημαντικό πρόστιμο ύψους 40 εκατομμυρίων ευρώ. Η απόφαση εγκρίθηκε επίσης από όλες τις άλλες Αρχές Προστασίας Δεδομένων στην Ευρώπη.
Εκσυγχρονίζω:
Ο Κριτέο άσκησε έφεση κατά της απόφασης στο Συμβούλιο της Επικρατείας.
Τον Μάρτιο του 2026, το Συμβούλιο της Επικρατείας απέρριψε την έφεση και επιβεβαίωσε την απόφαση της CNIL. Η απόφαση αυτή έρχεται σε μια κομβική στιγμή της συζήτησης γύρω από την πρόταση νομοθετικής μεταρρύθμισης της Ευρωπαϊκής Επιτροπής, η οποία ονομάζεται « Ψηφιακός Πλήρης Πίνακας» . Η πρόταση περιλαμβάνει έναν νέο ορισμό των προσωπικών δεδομένων, ο οποίος θα περιορίσει την έννοια του τι συνιστά «προσωπικά» δεδομένα, καθιστώντας τα εξαρτώμενα από τις υποκειμενικές συνθήκες του αντίστοιχου υπευθύνου επεξεργασίας. Αυτή η σημαντική μείωση του πεδίου εφαρμογής του ΓΚΠΔ, την οποία θα μπορούσαν να εκμεταλλευτούν εταιρείες που ασχολούνται με την παρακολούθηση συμπεριφοράς στο διαδίκτυο, επικρίνεται ευρέως από ειδικούς και υποστηρικτές της ιδιωτικότητας.
Στην υπόθεση που ασκήθηκε ενώπιον του Συμβουλίου της Επικρατείας, η Criteo αμφισβήτησε τον χαρακτηρισμό ψευδώνυμων αναγνωριστικών ως προσωπικών δεδομένων, τα οποία αποδόθηκαν σε σχέση με τις διευθύνσεις IP των υποκειμένων των δεδομένων και άλλα δεδομένα περιήγησης. Η εταιρεία υποστήριξε ότι δεν διέθετε όλες τις απαραίτητες πληροφορίες για την εκ νέου ταυτοποίηση του υποκειμένου των δεδομένων από το εκχωρημένο αναγνωριστικό. Το Συμβούλιο της Επικρατείας διαφώνησε, δηλώνοντας ότι τα δεδομένα μπορούν να θεωρηθούν ανώνυμα μόνο εάν ο κίνδυνος εκ νέου ταυτοποίησης ενός υποκειμένου των δεδομένων είναι « αμελητέος, καθώς η ταυτοποίηση αυτή είναι ανέφικτη στην πράξη ». Στην περίπτωση της Criteo, λαμβάνοντας υπόψη ότι ο σκοπός της επεξεργασίας είναι η προσφορά διαφημίσεων, μπορεί να διασταυρωθεί μια πολύ μεγάλη ποσότητα πληροφοριών για ένα δεδομένο αναγνωριστικό. Επιπλέον, η ίδια η Criteo επιβεβαίωσε ότι η ταυτοποίηση ορισμένων υποκειμένων των δεδομένων δεν είναι τεχνικά αδύνατη. Συνεπώς, το Συμβούλιο της Επικρατείας έκρινε ότι αυτά τα αναγνωριστικά στοιχεία συνιστούσαν προσωπικά δεδομένα.
