La CNIL inflige une amende de 40 millions d’euros à Criteo

Après un an d'attente, la CNIL prononce enfin sa décision finale sur le dossier de violations du RGPD par Criteo. Si le montant de l'amende infligée, 40 millions d'euros, peut paraître une somme importante, elle n'en est pas moins réduite d'un tiers par rapport à ce qu'avait proposé le rapporteur de l'autorité l'année dernière. Sur le fond, cette décision pointe notamment le fait que l'entreprise est responsable du bon respect du RGPD par ses sous-traitants.

La CNIL a donc rendu sa décision : Criteo doit payer une amende de 40 millions d'euros pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l'information et le droit d'accès des personnes dont l'entreprise a utilisé des données personnelles. Le montant peut paraître important, mais cette somme reste bien inférieure à celle proposée par le rapporteur de la CNIL l'an passé, à savoir 60 millions d'euros.

L'association plaignante, Privacy International, estime cependant, dans un communiqué de presse transmis à Next INpact, que la CNIL « a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD ».

• Violations du RGPD : la CNIL propose une amende de 60 millions d’euros contre Criteo
• RGPD : la CNIL enquête sur Criteo

La formation restreinte de la CNIL, dans sa décision prise le 15 juin et publiée ce jour au Journal officiel, suit le rapporteur sur les constats d'infraction au RGPD et évoque cette première proposition d'amende, mais ne donne pas d'explication claire à propos de la différence entre celle-ci et le montant finalement décidé.

L'affaire remonte à novembre 2018, quand l'organisation britannique Privacy International a attaqué sept sociétés dont Criteo, le spécialiste français du reciblage publicitaire, suivi un mois après par l'association None of Your Business (noyb) de Max Schrems.

Non-conformité avec le RGPD et formalisme abusif pour s'opposer au traitement des données

Dans sa plainte, Privacy International soulignait notamment que Criteo ne traitait pas les données conformément au RGPD. De son côté, noyb dénonçait « le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après "le plaignant"). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l'exercice des droits », explique la CNIL dans sa décision.

Dans sa décision, la CNIL explique avoir mené son enquête pendant 2 ans entre 2019 et 2020, échangeant des courriers avec Criteo puis chargeant une délégation pour effectuer des contrôles aussi bien par l'envoi d'un questionnaire que par un contrôle sur place, dans les locaux de la société « au cours duquel elle a notamment procédé à des vérifications sur le site web de deux partenaires de la société ».

Cette délégation a mené un contrôle en ligne de plusieurs des principaux sites à partir desquels Criteo collecte le plus de données « pour vérifier notamment les modalités du dépôt du cookie Criteo dans le terminal des utilisateurs et le dispositif mis en œuvre pour recueillir leur consentement ».

Six articles du RGPD violés

Le rapporteur, François Pellegrini, en a conclu que Criteo manquait à six des articles du RGPD : 7, 12, 13, 15, 17 et 26. Rien que ça ! Ces articles concernent le consentement de la personne concernée à ce que ses données soient collectées et utilisées, la transparence des informations et les informations à fournir lorsque les informations ont été collectées auprès de la personne concernée et quand ce n'est pas le cas, mais aussi le « droit à l'oubli » et enfin l'obligation de s'assurer que les partenaires respectent aussi le RGPD.

Responsable aussi du bon respect du règlement par les sous-traitants

En effet, le cookie que Criteo utilise pour cibler les publicités ne peut être déposé sur le terminal de l'utilisateur sans son consentement. Or, certains partenaires de l'entreprise déposaient ce cookie sans donner d'information sur celui-ci ni demander l'autorisation.

La CNIL a constaté que Criteo n'avait rien fait pour s'assurer que ça soit le cas. Les contrats signés par l'entreprise avec ses partenaires ne contenaient aucune clause spécifique demandant explicitement la preuve de l'obtention du consentement des internautes. Elle pointe aussi le fait que le fleuron français de la publicité en ligne n'avait fait aucun audit de ses sous-traitants.

«  La société avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires », relève la CNIL.

L'Autorité explique que Criteo a ajouté dans ses versions ultérieures à ses contrôles une «  clause relative à la preuve du consentement selon laquelle le partenaire s’engage à "fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire" ».

Depuis lors, la CNIL considère que Criteo s'est mise en conformité sur ce sujet, tout en soulignant que celle-ci est « intervenue tardivement » et qu'elle a bien traité des données à caractère personnel « sans être en mesure de démontrer [que les internautes concernés] ont valablement consenti au traitement ayant pour finalité l’affichage d’une publicité personnalisée ».

Cette remarque de la CNIL met en lumière que les entreprises qui traitent des données à caractère personnel doivent pouvoir apporter la preuve, a posteriori, du consentement des internautes, et ce même si le cookie a été déposé par un sous-traitant.

Manques d'information et termes « vagues et larges »

La CNIL a aussi inspecté la politique de confidentialité de Criteo. Elle juge que celle-ci créait « une incertitude quant à la base juridique du traitement en ce qu’elle ne [permettait] pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données [reposait] sur leur consentement ». Certaines finalités étaient aussi « exprimées dans des termes vagues et larges qui ne [permettaient] pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs ».

L'Autorité pointe aussi que cette politique de confidentialité affirmait des choses contradictoires, faisant reposer les finalités relatives aux publicités et au financement des activités des éditeurs tantôt sur la base juridique de l'intérêt légitime, tantôt sur celle du consentement. Elle ajoute « qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée  ».

Elle observe néanmoins que, depuis son investigation, Criteo a modifié sa politique de confidentialité pour inclure les mentions manquantes et utiliser des termes plus simples et compréhensibles.

La CNIL a aussi pu constater que Criteo ne fournissait aux internautes que les données extraites de trois des six tables de sa base de données. Le rapporteur a considéré qu'il aurait fallu que la totalité des tables soient transmises.

Critéo a fait remarquer à la CNIL, suite à la finalisation du rapport, que l'une d'entre elles « s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès », ce qui a convaincu l'autorité que cette table n'était pas communicable. Pour le reste, Criteo s'est engagée à fournir l'ensemble des données dont elle dispose en réponse aux demandes d'internautes.

Pas de suppression du traçage lors du retrait du consentement

Si Criteo arrêtait l'affichage de publicité lorsqu'une personne demandait à exercer son droit de retrait du consentement ou l'effacement de ses données, l'entreprise ne supprimait pas son identifiant et n'effaçait pas les évènements de navigation liés. Un autre point que la CNIL ne pouvait pas laisser passer.

Depuis, Criteo a mis en place une procédure de demande plus claire. Elle peut néanmoins continuer à traiter certaines données pour d'autres finalités, mais seulement en le justifiant au cas par cas.

Mais la CNIL fait remarquer que « la société a également tiré un avantage financier du fait de ne pas procéder à l’effacement des données en continuant à utiliser les données qui ne sont pas effacées à des fins d’amélioration de ses technologies, ce qui participe à sa compétitivité sur le marché de la publicité ciblée ».

Une amende conséquente bien que pas maximale

Comme dit plus haut, le rapporteur avait proposé une amende de 60 millions d'euros. Celle-ci peut, en effet, atteindre un montant maximum de 20 millions d’euros ou 4% du chiffre d'affaires de l'entreprise visée.

La CNIL indiquant que le chiffre d'affaires mondial de Criteo en 2022 était de 1,9 milliard, ce montant était tout à fait dans les clous. L'autorité a cependant choisi un montant un peu moins élevé de 40 millions d'euros, remarquant que celui-ci constitue « près de 2 % du chiffre d’affaires mondial ».

Privacy International fait remarquer que « Criteo avait mis en avant son bénéfice net de 10 millions d’euros en 2022 pour plaider en faveur d’une réduction de sa peine » pendant l'audience qui s'est tenue en mars dernier. La décision de la CNIL rappelle quand même que « le montant de l’amende peut être supérieur au bénéfice généré par le responsable de traitement, dans la mesure où cela serait nécessaire afin d’assurer le caractère dissuasif de la sanction ».

Les deux associations plaignantes se félicitent de cette décision. « Nous sommes très heureux de la décision de la CNIL. C'est un signal fort envoyé à l'industrie de l'ad-tech, qui devra faire face à des conséquences désastreuses si elle enfreint la loi », exulte Romain Robert, avocat spécialiste de la protection des données chez noyb dans un communiqué.

Privacy International estime, dans son communiqué, que cette sanction « met en cause le système de surveillance généralisée dont les sociétés de l’AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles ».

Criteo n'a, pour l'instant, pas communiqué sur cette sanction.

La CNIL rappelle, comme toujours, que Criteo peut faire un recours devant le Conseil d'État dans un délai de deux mois.