De Franse autoriteit voor gegevensbescherming (CNIL) heeft Criteo, een groot online advertentie- en trackingbedrijf in Europa, een boete opgelegd van €40 miljoen voor het schenden van de GDPR. Deze beslissing is gebaseerd op klachten die in december 2018 zijn ingediend door noyb en Privacy International. De CNIL vond dat het bedrijf niet voldeed aan de rechten van de betrokkenen onder de GDPR en niet kon bewijzen dat ze geldige toestemming hadden verkregen. De Conseil d'Etat verwierp het beroep van CRITEO en handhaafde de boete.
- Origineel persbericht door CNIL(EN)
- Originele klacht ingediend in december 2018 door noyb en Privacy International
- Brief van de CNIL aan noyb (FR)
- Beslissing van de Raad van State
Criteo - prominente ad-tech speler. Het Franse bedrijf Criteo levert "behavioral retargeting" diensten op duizenden websites. Hiervoor plaatst het bedrijf tracking cookies op websites om het surfgedrag te analyseren en te bepalen welke producten en diensten een gebruiker waarschijnlijk zal kopen. Het bedrijf heeft gegevens over ongeveer 370 miljoen mensen in Europa.
Klacht leidde tot verder onderzoek. In december 2018, meer dan 7 jaar geleden, noyb en Privacy International klachten ingediend tegen Criteo omdat het gebruikers geen goede optie bood om toestemming in te trekken. Deze klacht leidde tot een uitgebreid onderzoek door de CNIL, de bevoegde gegevensbeschermingsautoriteit voor Criteo. De CNIL breidde de reikwijdte uit naar andere gebieden en constateerde extra inbreuken op de GDPR: onder andere het gebrek aan transparantie, het niet naleven van het recht op wissen en het recht op inzage.
Romain Robert, voormalig advocaat gegevensbescherming bij noyb: "De beslissing is een sterk signaal aan de ad-tech industrie dat ze zware gevolgen zullen ondervinden als ze de wet overtreden."
Grote klap voor het bedrijfsmodel van Criteo. De Franse autoriteit voor gegevensbescherming heeft een diepgaand onderzoek naar het bedrijfsmodel van Criteo afgerond. Het bracht talrijke schendingen van de GDPR aan het licht. Omdat een zeer groot aantal mensen betrokken is bij deze overtredingen en er enorme hoeveelheden gegevens worden verzameld en verwerkt, heeft de CNIL besloten tot een forse boete van 40 miljoen euro. De beslissing werd ook goedgekeurd door alle andere gegevensbeschermingsautoriteiten in Europa.
Update:
Criteo is tegen de beslissing in beroep gegaan bij de Conseil d'Etat.
In maart 2026 verwierp de Raad van State het beroep en bevestigde de beslissing van de CNIL. Deze beslissing komt op een belangrijk moment in het debat rond het wetshervormingsvoorstel van de Europese Commissie genaamd de "Digitale Omnibus". Het voorstel bevat een nieuwe definitie van persoonsgegevens, die het concept van wat "persoonsgegevens" zijn zou versmallen en afhankelijk zou maken van de subjectieve omstandigheden van de betreffende verantwoordelijke. Deze aanzienlijke beperking van het toepassingsgebied van de GDPR, die zou kunnen worden misbruikt door bedrijven die zich bezighouden met behavioral online tracking, wordt alom bekritiseerd door deskundigen en voorstanders van privacy. .
In de zaak die voor de Raad van State werd gebracht, betwistte Criteo de classificatie van pseudonieme identificatoren als persoonsgegevens, die werden toegekend in verband met de IP-adressen van betrokkenen en andere browsegegevens. Het bedrijf voerde aan dat het niet over alle informatie beschikte die nodig was om de betrokkene opnieuw te identificeren aan de hand van de toegekende identificatiecode. De Raad van State was het hier niet mee eens en stelde dat gegevens alleen als anoniem kunnen worden beschouwd als het risico van heridentificatie van een betrokkene "onbeduidend is, omdat een dergelijke identificatie in de praktijk niet uitvoerbaar is." In het geval van Criteo kan, gezien het feit dat het doel van de verwerking het aanbieden van advertenties is, een zeer grote hoeveelheid informatie worden vergeleken voor een bepaalde identificatiecode. Bovendien bevestigde Criteo zelf dat de identificatie van bepaalde betrokkenen technisch niet onmogelijk is. De Raad van State oordeelde dan ook dat deze identificatoren persoonsgegevens zijn.
