De Franse autoriteit voor gegevensbescherming (CNIL) heeft Criteo, een groot online advertentie- en trackingbedrijf in Europa, een boete opgelegd van €40 miljoen voor het schenden van de GDPR. Deze beslissing is gebaseerd op klachten ingediend door noyb en Privacy International in december 2018. De CNIL stelde vast dat het bedrijf niet voldeed aan de rechten van de betrokkenen onder de GDPR en niet kon bewijzen dat ze geldige toestemming hadden verkregen.
- Origineel persbericht door CNIL(EN)
- Originele klacht ingediend in december 2018 door noyb en Privacy International
- Brief van de CNIL aan noyb (FR)
Criteo - prominente ad-tech speler. Het Franse bedrijf Criteo levert "behavioral retargeting" diensten op duizenden websites. Hiervoor plaatst het bedrijf tracking cookies op websites om het surfgedrag te analyseren en te bepalen welke producten en diensten een gebruiker waarschijnlijk zal kopen. Het bedrijf heeft gegevens over ongeveer 370 miljoen mensen in Europa.
Klacht leidde tot nader onderzoek. In december 2018, meer dan 4,5 jaar geleden, noyb en Privacy International klachten ingediend tegen Criteo omdat het gebruikers geen goede optie bood om toestemming in te trekken. Deze klacht leidde tot een uitgebreid onderzoek door de CNIL, de bevoegde gegevensbeschermingsautoriteit voor Criteo. De CNIL breidde de reikwijdte uit naar andere gebieden en constateerde extra inbreuken op de GDPR: onder andere het gebrek aan transparantie, het niet naleven van het recht op wissen en het recht op inzage.
Romain Robert, advocaat gegevensbescherming bij noyb: "We zijn erg blij met de beslissing van de CNIL. Het is een sterk signaal aan de ad-tech industrie dat het overtreden van de wet ernstige gevolgen zal hebben."
Grote klap voor het bedrijfsmodel van Criteo. De Franse autoriteit voor gegevensbescherming heeft een diepgaand onderzoek naar het bedrijfsmodel van Criteo afgerond. Het bracht talrijke overtredingen van de GDPR aan het licht. Aangezien een zeer groot aantal mensen betrokken is bij deze overtredingen en er enorme hoeveelheden gegevens worden verzameld en verwerkt, besloot de CNIL tot een aanzienlijke boete van 40 miljoen euro. De beslissing werd ook goedgekeurd door alle andere gegevensbeschermingsautoriteiten in Europa.
