Francuski Urząd Ochrony Danych (CNIL) ukarał Criteo, główną firmę zajmującą się reklamą i śledzeniem online w Europie, grzywną w wysokości 40 milionów euro za naruszenie GDPR. Decyzja ta opiera się na skargach złożonych przez noyb i Privacy International w grudniu 2018 roku. CNIL stwierdziła, że firma nie przestrzegała praw osób, których dane dotyczą, wynikających z RODO i nie była w stanie udowodnić, że uzyskała ważną zgodę. Conseil d'Etat odrzucił odwołanie CRITEO i utrzymał grzywnę.
- Oryginalny komunikat prasowy CNIL(EN)
- Oryginalna skarga złożona w grudniu 2018 r. przez noyb i Privacy International
- Pismo CNIL do noyb (FR)
- Decyzja Conseil d'Etat
Criteo - wybitny gracz ad-tech. Francuska firma Criteo świadczy usługi "retargetingu behawioralnego" na tysiącach stron internetowych. W tym celu firma umieszcza śledzące pliki cookie na stronach internetowych w celu analizy nawyków przeglądania i określenia, które produkty i usługi użytkownik prawdopodobnie kupi. Firma posiada dane dotyczące około 370 milionów osób w Europie.
Skarga doprowadziła do dalszego dochodzenia. W grudniu 2018 roku, ponad 7 lat temu, noyb i Privacy International złożyły skargi przeciwko Criteo za niezapewnienie użytkownikom odpowiedniej opcji wycofania zgody. Skarga ta wywołała szeroko zakrojone dochodzenie CNIL, właściwego organu ochrony danych dla Criteo. CNIL rozszerzył również zakres na inne obszary i stwierdził dodatkowe naruszenia RODO: między innymi brak przejrzystości, nieprzestrzeganie prawa do usunięcia danych i prawa dostępu do nich.
Romain Robert, były prawnik ds. ochrony danych w noyb: "Decyzja ta jest silnym sygnałem dla branży ad-tech, że za łamanie prawa grożą poważne konsekwencje"."
Poważny cios dla modelu biznesowego Criteo. Francuski Urząd Ochrony Danych zakończył szczegółowe dochodzenie w sprawie modelu biznesowego Criteo. Ujawniło ono liczne naruszenia RODO. Ponieważ naruszenia te dotyczą bardzo dużej liczby osób, a gromadzone i przetwarzane są ogromne ilości danych, CNIL zdecydował o nałożeniu znacznej grzywny w wysokości 40 mln euro. Decyzja ta została również zatwierdzona przez wszystkie inne organy ochrony danych w Europie.
Aktualizacja:
Criteo odwołało się od tej decyzji do Conseil d'Etat.
W marcu 2026 r. Conseil d'Etat odrzuciła odwołanie i potwierdziła decyzję CNIL. Decyzja ta pojawia się w kluczowym momencie debaty wokół propozycji reformy legislacyjnej Komisji Europejskiej zwanej "Digital Omnibus". Propozycja ta obejmuje nową definicję danych osobowych, która zawęziłaby pojęcie tego, co stanowi dane "osobowe", uzależniając je od subiektywnych okoliczności danego administratora danych. To znaczące ograniczenie zakresu stosowania RODO, które może być wykorzystywane przez firmy zajmujące się behawioralnym śledzeniem online, jest szeroko krytykowane przez ekspertów i obrońców prywatności. .
W sprawie wniesionej do Conseil d'Etat, Criteo zakwestionowało klasyfikację pseudonimowych identyfikatorów jako danych osobowych, które zostały przypisane w związku z adresami IP osób, których dane dotyczą i innymi danymi przeglądania. Firma argumentowała, że nie posiada wszystkich informacji niezbędnych do ponownej identyfikacji osoby, której dane dotyczą, na podstawie przypisanego identyfikatora. Conseil d'Etat nie zgodziła się z tym, stwierdzając, że dane można uznać za zanonimizowane tylko wtedy, gdy ryzyko ponownej identyfikacji osoby, której dane dotyczą, jest "nieistotne, a taka identyfikacja jest niewykonalna w praktyce"." W przypadku Criteo, biorąc pod uwagę, że celem przetwarzania jest oferowanie reklam, dla danego identyfikatora można powiązać bardzo dużą ilość informacji. Ponadto samo Criteo potwierdziło, że identyfikacja niektórych osób, których dane dotyczą, nie jest technicznie niemożliwa. Rada Stanu uznała zatem, że identyfikatory te stanowią dane osobowe.
