La CNIL inflige une amende de 40 millions d’euros à Criteo

La Commission nationale de l’informatique et des libertés (CNIL), garante de la vie privée des Français, a infligé une amende de 40 millions d’euros au groupe français de publicité sur Internet Criteo pour des violations liées aux données personnelles, selon une délibération publiée jeudi 22 juin.

Cette sanction fait suite à une plainte en novembre 2018 de l’association britannique Privacy International, qui visait sept entreprises procédant à la collecte à grande échelle de données, dont Criteo. En août 2022, le rapporteur de la CNIL avait proposé une sanction de 60 millions d’euros.

Fondée en 2005 en France, la société Criteo SA est spécialisée dans l’affichage de publicités ciblées sur le Web. En 2022, le groupe employait environ trois mille personnes et avait réalisé un chiffre d’affaires global d’environ 1,9 milliard d’euros pour un résultat net de 10 millions d’euros.

La CNIL, qui avait lancé une enquête en mars 2020, lui reproche d’avoir enfreint le règlement de l’Union européenne (UE) sur la protection des données personnelles (RGPD), concernant le « reciblage publicitaire » à des fins d’affichage de publicité personnalisée, qui ne permet pas une anonymisation des personnes suffisante pour ne pas les réidentifier. Elle relève un « manquement relatif à l’information des personnes » et souligne qu’il a engendré « une perte de contrôle des internautes sur leurs données dans la mesure où la société n’a pas mis à leur disposition une information complète et compréhensible ».

Lire aussi : Article réservé à nos abonnés Criteo, star française de la pub ciblée, à l’épreuve d’un monde sans cookies

Utilisation des données

Concernant l’exercice des droits d’accès, de retrait du consentement et d’effacement, la CNIL souligne « leur caractère structurel et leur gravité en ce que les mesures déployées par la société conduisent non seulement à ce que les demandes des personnes soient incorrectement traitées mais aussi à ce que ces dernières pensent légitimement que leur demande a bien été respectée ».

La CNIL « rappelle également que la prise en compte par la société d’une demande d’effacement a pour unique effet d’arrêter l’affichage de publicités personnalisées, la société continuant par ailleurs à conserver les données de la personne à l’origine de la demande et même à les utiliser pour d’autres finalités ».

Lire aussi : Article réservé à nos abonnés « Le destin de Criteo rassemble les paradoxes qui émergent avec le passage à l’age adulte de l’Internet »

Criteo a maintenu, début mai, ses prévisions annuelles, avec une croissance autour de 10 % de ses recettes ex-TAC (hors reversements aux partenaires) à taux de change constants. Cet indicateur s’est élevé à 6 % sur le trimestre. Entré en vigueur dans l’UE en mai 2018, le RGPD prévoit des amendes qui peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial d’une entreprise.

Lire aussi : Article réservé à nos abonnés RGPD : quel bilan en matière de sanctions, cinq ans après l’entrée en vigueur du règlement ?

Le Monde avec AFP