Ranskan tietosuojaviranomainen (CNIL) määräsi Criteolle, Euroopan suurelle verkkomainonta- ja seurantayritykselle, 40 miljoonan euron sakon tietosuoja-asetuksen rikkomisesta. Päätös perustuu noybin ja Privacy Internationalin joulukuussa 2018 tekemiin valituksiin. CNIL totesi, että yritys ei noudattanut tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia eikä pystynyt osoittamaan, että se oli saanut pätevän suostumuksen. Conseil d'Etat hylkäsi CRITEOn valituksen ja piti sakon voimassa.
- Alkuperäinen CNIL:n lehdistötiedote(EN)
- Alkuperäinen kantelu, jonka noyb ja Privacy Internationaltekivät joulukuussa 2018
- CNIL:n kirje noybille (FR)
- Conseil d'Etat'n päätös
- vuoden 2023 uutisartikkeli 40 miljoonan euron sakosta
Criteo - näkyvä mainosteknologian toimija. Ranskalainen Criteo tarjoaa "behavioral retargeting" -palveluja tuhansilla verkkosivustoilla. Tätä varten yritys sijoittaa verkkosivustoille seurantaevästeet analysoidakseen selaustottumuksia ja määrittää, mitä tuotteita ja palveluja käyttäjä todennäköisesti ostaa. Yhtiöllä on tietoja noin 370 miljoonasta ihmisestä Euroopassa.
Kantelu johti lisätutkimuksiin. Joulukuussa 2018, yli 7 vuotta sitten, noyb ja Privacy International tekivät valituksia Criteosta, koska se ei tarjonnut käyttäjille asianmukaista mahdollisuutta peruuttaa suostumus. Kantelu käynnisti Criteon toimivaltaisen tietosuojaviranomaisen CNIL:n laajan tutkimuksen. CNIL laajensi tutkimuskohteensa myös muille aloille ja havaitsi muita tietosuoja-asetuksen rikkomuksia: muun muassa avoimuuden puute, poisto-oikeuden ja tiedonsaantioikeuden noudattamatta jättäminen.
Merkittävä isku Criteon liiketoimintamallille. Ranskan tietosuojaviranomainen on saattanut päätökseen Criteon liiketoimintamallia koskevan perusteellisemman tutkimuksen. Se paljasti lukuisia tietosuoja-asetuksen rikkomuksia. Koska nämä rikkomukset koskevat hyvin monia ihmisiä ja koska tietoja kerätään ja käsitellään valtavia määriä, CNIL päätti huomattavasta, 40 miljoonan euron sakosta. Myös kaikki muut Euroopan tietosuojaviranomaiset hyväksyivät päätöksen.
Päivitys:
Criteo valitti päätöksestä Conseil d'Etatiin.
Maaliskuussa 2026 Conseil d'Etat hylkäsi valituksen ja vahvisti CNIL:n päätöksen. Tämä päätös on keskeinen hetki keskustelussa, joka koskee Euroopan komission lainsäädäntöuudistusta koskevaa ehdotusta "Digital Omnibus". Ehdotukseen sisältyy uusi henkilötietojen määritelmä, joka kaventaisi "henkilötietojen" käsitettä ja tekisi sen riippuvaiseksi rekisterinpitäjän subjektiivisista olosuhteista. Asiantuntijat ja yksityisyydensuojan puolustajat arvostelevat laajalti tätä yleisen tietosuoja-asetuksen soveltamisalan merkittävää kaventamista, jota käyttäytymiseen perustuvaa online-paikannusta harjoittavat yritykset voisivat hyödyntää.
Conseil d'Etatissa vireille pannussa asiassa Criteo kiisti rekisteröityjen IP-osoitteiden ja muiden selaustietojen yhteydessä annettujen pseudonyymien tunnisteiden luokittelun henkilötiedoiksi. Yhtiö väitti, että sillä ei ollut kaikkia tarvittavia tietoja rekisteröidyn tunnistamiseksi uudelleen annetun tunnisteen perusteella. Conseil d'Etat oli eri mieltä ja totesi, että tietoja voidaan pitää anonymisoituina vain, jos rekisteröidyn uudelleen tunnistamisen riski on "merkityksettömän pieni, koska tällainen tunnistaminen on käytännössä käytännössä mahdotonta." Criteon tapauksessa, kun otetaan huomioon, että käsittelyn tarkoituksena on mainosten tarjoaminen, tietyn tunnisteen osalta voidaan ristiinvertailla hyvin paljon tietoja. Lisäksi Criteo vahvisti itse, että tiettyjen rekisteröityjen tunnistaminen ei ole teknisesti mahdotonta. Näin ollen valtioneuvosto katsoi, että nämä tunnisteet ovat henkilötietoja.
