Ranskan tietosuojaviranomainen (CNIL) määräsi Criteolle, Euroopan suurelle verkkomainonta- ja seurantayritykselle, 40 miljoonan euron sakon tietosuoja-asetuksen rikkomisesta. Päätös perustuu noybin ja Privacy Internationalin joulukuussa 2018 tekemiin valituksiin. CNIL totesi, että yritys ei noudattanut tietosuoja-asetuksen mukaisia rekisteröidyn oikeuksia eikä pystynyt osoittamaan, että se oli saanut pätevän suostumuksen. Conseil d'Etat hylkäsi CRITEOn valituksen ja piti sakon voimassa.
- Alkuperäinen CNIL:n lehdistötiedote(EN)
- Alkuperäinen kantelu, jonka noyb ja Privacy Internationaltekivät joulukuussa 2018
- CNIL:n kirje noybille (FR)
- Conseil d'Etat'n päätös
Criteo - merkittävä mainosteknologian toimija. Ranskalainen Criteo tarjoaa "käyttäytymiseen perustuvia uudelleenkohdentamispalveluja" tuhansilla verkkosivustoilla. Tätä varten yritys sijoittaa seurantaevästeet verkkosivustoille analysoidakseen selaustottumuksia ja määrittää, mitä tuotteita ja palveluita käyttäjä todennäköisesti ostaa. Yhtiöllä on tietoja noin 370 miljoonasta ihmisestä Euroopassa.
Kantelu johti lisätutkimuksiin. Joulukuussa 2018, yli 7 vuotta sitten, noyb ja Privacy International tekivät valituksia Criteosta, koska se ei tarjonnut käyttäjille asianmukaista mahdollisuutta peruuttaa suostumus. Kantelu käynnisti Criteon toimivaltaisen tietosuojaviranomaisen CNIL:n laajan tutkimuksen. CNIL laajensi tutkimuskohteensa myös muille aloille ja havaitsi muita tietosuoja-asetuksen rikkomuksia: muun muassa avoimuuden puute, poisto-oikeuden ja tiedonsaantioikeuden noudattamatta jättäminen.
Romain Robert, entinen tietosuojalakimies noyb: "Päätös on vahva viesti mainosteknologiateollisuudelle siitä, että lain rikkomisesta seuraa vakavia seuraamuksia."
Merkittävä isku Criteon liiketoimintamallille. Ranskan tietosuojaviranomainen on saanut päätökseen Criteon liiketoimintamallia koskevan perusteellisen tutkimuksen. Se paljasti lukuisia GDPR:n rikkomuksia. Koska nämä rikkomukset koskevat hyvin monia ihmisiä ja koska tietoja kerätään ja käsitellään valtavia määriä, CNIL päätti huomattavasta 40 miljoonan euron sakosta. Myös kaikki muut Euroopan tietosuojaviranomaiset hyväksyivät päätöksen.
Päivitys:
Criteo valitti päätöksestä Conseil d'Etatiin.
Maaliskuussa 2026 Conseil d'Etat hylkäsi valituksen ja vahvisti CNIL:n päätöksen. Tämä päätös on keskeinen hetki keskustelussa, joka koskee Euroopan komission lainsäädäntöuudistusta koskevaa ehdotusta "Digital Omnibus". Ehdotukseen sisältyy uusi henkilötietojen määritelmä, joka kaventaisi "henkilötietojen" käsitettä ja tekisi sen riippuvaiseksi rekisterinpitäjän subjektiivisista olosuhteista. Asiantuntijat ja yksityisyydensuojan puolustajat arvostelevat laajalti tätä yleisen tietosuoja-asetuksen soveltamisalan merkittävää kaventamista, jota käyttäytymiseen perustuvaa online-paikannusta harjoittavat yritykset voisivat hyödyntää. .
Conseil d'Etatissa vireille pannussa asiassa Criteo kiisti rekisteröityjen IP-osoitteiden ja muiden selaustietojen yhteydessä annettujen pseudonyymien tunnisteiden luokittelun henkilötiedoiksi. Yhtiö väitti, että sillä ei ollut kaikkia tarvittavia tietoja rekisteröidyn tunnistamiseksi uudelleen annetun tunnisteen perusteella. Conseil d'Etat oli eri mieltä ja totesi, että tietoja voidaan pitää anonymisoituina vain, jos rekisteröidyn uudelleen tunnistamisen riski on "merkityksettömän pieni, koska tällainen tunnistaminen on käytännössä käytännössä mahdotonta." Criteon tapauksessa, kun otetaan huomioon, että käsittelyn tarkoituksena on mainosten tarjoaminen, tietyn tunnisteen osalta voidaan ristiinvertailla hyvin paljon tietoja. Lisäksi Criteo vahvisti itse, että tiettyjen rekisteröityjen tunnistaminen ei ole teknisesti mahdotonta. Näin ollen valtioneuvosto katsoi, että nämä tunnisteet ovat henkilötietoja.
