La Commission nationale de l'informatique et des libertés (CNIL) a infligé une amende de 40 millions d'euros à Criteo, une importante société de publicité et de suivi en ligne en Europe, pour avoir enfreint le GDPR. Cette décision s'appuie sur des plaintes déposées par noyb et Privacy International en décembre 2018. La CNIL a constaté que la société n'a pas respecté les droits des personnes concernées en vertu du GDPR et n'a pas pu prouver qu'elle avait obtenu un consentement valide. Le Conseil d'État a rejeté le recours de CRITEO et a confirmé l'amende.
- Communiqué de presse original de la CNIL(EN)
- Plainte originale déposée en décembre 2018 par noyb et Privacy International (enanglais )
- Lettre de la CNIL à noyb (FR)
- Décision du Conseil d'État
Criteo - un acteur important de l'ad-tech. La société française Criteo fournit des services de " reciblage comportemental " sur des milliers de sites web. Pour ce faire, elle place des cookies de suivi sur les sites web afin d'analyser les habitudes de navigation et de déterminer les produits et services qu'un utilisateur est susceptible d'acheter. L'entreprise possède des données sur environ 370 millions de personnes en Europe.
La plainte a donné lieu à une enquête plus approfondie. En décembre 2018, il y a plus de 7 ans, noyb et Privacy International ont déposé des plaintes contre Criteo pour ne pas avoir fourni aux utilisateurs une option appropriée pour retirer leur consentement. Cette plainte a déclenché une enquête approfondie de la CNIL, l'autorité de protection des données compétente pour Criteo. La CNIL a également élargi le champ de l'enquête à d'autres domaines et a constaté d'autres violations du GDPR : notamment le manque de transparence, le non-respect du droit à l'effacement et du droit d'accès.
Romain Robert, ancien avocat spécialiste de la protection des données au noyb: "Cette décision est un signal fort envoyé à l'industrie de l'ad-tech, qui devra faire face à des conséquences désastreuses en cas d'infraction à la loi."
Coup dur pour le modèle économique de Criteo. L'autorité française de protection des données a conclu une enquête approfondie sur le modèle d'entreprise de Criteo. Elle a révélé de nombreuses violations du GDPR. Étant donné qu'un très grand nombre de personnes sont concernées par ces infractions et que d'énormes quantités de données sont collectées et traitées, la CNIL a décidé d'imposer une amende substantielle de 40 millions d'euros. Cette décision a également été approuvée par toutes les autres autorités de protection des données en Europe.
Mise à jour :
Criteo a fait appel de la décision auprès du Conseil d'Etat.
En mars 2026, le Conseil d'Etat a rejeté l'appel et confirmé la décision de la CNIL. Cette décision intervient à un moment clé du débat autour de la proposition de réforme législative de la Commission européenne appelée "Digital Omnibus". La proposition comprend une nouvelle définition des données à caractère personnel, qui réduirait le concept de ce qui constitue des données "personnelles", en le rendant dépendant des circonstances subjectives du contrôleur respectif. Cette réduction significative du champ d'application du GDPR, qui pourrait être exploitée par les entreprises engagées dans le suivi comportemental en ligne, est largement critiquée par les experts et les défenseurs de la vie privée. .
Dans l'affaire portée devant le Conseil d'État, Criteo a contesté la classification des identifiants pseudonymes en tant que données à caractère personnel, attribués en relation avec les adresses IP des personnes concernées et d'autres données de navigation. La société a fait valoir qu'elle ne disposait pas de toutes les informations nécessaires pour ré-identifier la personne concernée à partir de l'identifiant attribué. Le Conseil d'État n'a pas été de cet avis, déclarant que les données ne peuvent être considérées comme anonymes que si le risque de ré-identification d'une personne concernée est "insignifiant, une telle identification étant impraticable"insignifiant, une telle identification étant impossible en pratique." Dans le cas de Criteo, compte tenu du fait que la finalité du traitement est de proposer des publicités, un très grand nombre d'informations peuvent être croisées pour un identifiant donné. En outre, Criteo a elle-même confirmé que l'identification de certaines personnes concernées n'est pas techniquement impossible. Le Conseil d'Etat a donc considéré que ces identifiants constituaient des données à caractère personnel.
