La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 40 millions d'euros à Criteo, l'une des principales sociétés de publicité et de suivi en ligne en Europe, pour avoir enfreint le règlement GDPR. Cette décision est basée sur des plaintes déposées par noyb et Privacy International en décembre 2018. La CNIL a constaté que l'entreprise n'a pas respecté les droits des personnes concernées en vertu du GDPR et n'a pas pu prouver qu'elle avait obtenu un consentement valide.
- Communiqué de presse original de la CNIL(EN)
- Plainte originale déposée en décembre 2018 par noyb et Privacy International
- Lettre de la CNIL à noyb (FR)
Criteo - acteur éminent de l'ad-tech. La société française Criteo fournit des services de " reciblage comportemental " sur des milliers de sites web. Pour ce faire, la société place des cookies de suivi sur les sites web afin d'analyser les habitudes de navigation et de déterminer les produits et services qu'un utilisateur est susceptible d'acheter. L'entreprise possède des données sur environ 370 millions de personnes en Europe.
La plainte a donné lieu à une enquête plus approfondie. En décembre 2018, il y a plus de 4,5 ans, noyb et Privacy International ont déposé des plaintes contre Criteo pour ne pas avoir fourni aux utilisateurs une option appropriée pour retirer leur consentement. Cette plainte a déclenché une enquête approfondie de la CNIL, l'autorité de protection des données compétente pour Criteo. La CNIL a également élargi le champ de l'enquête à d'autres domaines et a constaté d'autres violations du GDPR : notamment le manque de transparence, le non-respect du droit à l'effacement et du droit d'accès.
Romain Robert, avocat spécialiste de la protection des données chez noyb: "Nous sommes très heureux de la décision de la CNIL. C'est un signal fort envoyé à l'industrie de l'ad-tech, qui devra faire face à des conséquences désastreuses en cas d'infraction à la loi."
Un coup dur pour le modèle économique de Criteo. L'autorité française de protection des données a conclu une enquête approfondie sur le modèle d'entreprise de Criteo. Elle a révélé de nombreuses violations du GDPR. Étant donné qu'un très grand nombre de personnes sont concernées par ces violations et que d'énormes quantités de données sont collectées et traitées, la CNIL a décidé d'une amende substantielle de 40 millions d'euros. Cette décision a également été approuvée par toutes les autres autorités de protection des données en Europe.