Den franska dataskyddsmyndigheten (CNIL) har bötfällt Criteo, ett stort företag inom onlineannonsering och spårning i Europa, med 40 miljoner euro för brott mot GDPR. Beslutet grundar sig på klagomål som lämnades in av noyb och Privacy International i december 2018. CNIL fann att företaget inte uppfyllde de registrerades rättigheter enligt GDPR och inte kunde bevisa att de erhållit giltigt samtycke. Conseil d'Etat avslog CRITEO:s överklagande och fastställde bötesbeloppet.
- Ursprungligt pressmeddelande från CNIL(EN)
- Ursprungligt klagomål inlämnat i december 2018 av noyb och Privacy International
- Brev från CNIL till noyb (FR)
- Beslut från Conseil d'Etat
Criteo - framstående aktör inom annonsteknik. Det franska företaget Criteo tillhandahåller tjänster för "behavioral retargeting" på tusentals webbplatser. För att göra detta placerar företaget spårningscookies på webbplatser för att analysera surfvanor och avgöra vilka produkter och tjänster en användare sannolikt kommer att köpa. Företaget har uppgifter om cirka 370 miljoner människor i Europa.
Klagomålet ledde till ytterligare utredning. I december 2018, för mer än 7 år sedan, noyb och Privacy International klagomål mot Criteo för att inte ha gett användarna ett korrekt alternativ för att återkalla samtycke. Klagomålet utlöste en omfattande utredning av CNIL, den behöriga dataskyddsmyndigheten för Criteo. CNIL utvidgade också omfattningen till andra områden och fann ytterligare överträdelser av GDPR: bland annat bristen på transparens, underlåtenhet att följa rätten till radering och rätten till tillgång.
Romain Robert, tidigare dataskyddsjurist på noyb: "Beslutet är en stark signal till ad-tech-industrin att de kommer att få allvarliga konsekvenser om de bryter mot lagen."
Stort slag mot Criteos affärsmodell. Den franska dataskyddsmyndigheten har avslutat en djupare undersökning av Criteos affärsmodell. Den avslöjade många överträdelser av GDPR. Eftersom ett mycket stort antal människor berörs av dessa överträdelser och enorma mängder data samlas in och behandlas, beslutade CNIL om ett betydande bötesbelopp på 40 miljoner euro. Beslutet godkändes också av alla andra dataskyddsmyndigheter i Europa.
Uppdatering:
Criteo överklagade beslutet till Conseil d'Etat.
I mars 2026 avslog Conseil d'Etat överklagandet och bekräftade CNIL:s beslut. Detta beslut kommer vid en viktig tidpunkt i debatten kring Europeiska kommissionens förslag till lagstiftningsreform som kallas "Digital Omnibus". Förslaget innehåller en ny definition av personuppgifter, som skulle begränsa begreppet "personuppgifter" och göra det beroende av de subjektiva omständigheterna hos respektive personuppgiftsansvarig. Denna betydande minskning av GDPR:s tillämpningsområde, som kan komma att utnyttjas av företag som ägnar sig åt beteendestyrd spårning online, har kritiserats av experter och integritetsförespråkare. .
I målet vid Conseil d'Etat ifrågasatte Criteo klassificeringen av pseudonyma identifierare som personuppgifter, vilka tillskrevs i samband med de registrerades IP-adresser och andra uppgifter om surfning. Företaget hävdade att det inte hade all information som krävdes för att återidentifiera den registrerade utifrån den tilldelade identifieraren. Conseil d'Etat höll inte med och konstaterade att uppgifter endast kan anses vara anonymiserade om risken för återidentifiering av en registrerad är "obetydlig och en sådan identifiering är praktiskt omöjlig." När det gäller Criteo, med tanke på att syftet med behandlingen är att erbjuda annonser, kan en mycket stor mängd information korsrefereras för en viss identifierare. Dessutom bekräftade Criteo självt att det inte är tekniskt omöjligt att identifiera vissa registrerade. Council of State ansåg därför att dessa identifierare utgjorde personuppgifter.
