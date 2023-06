"Un manquement relatif à l'information des personnes" et "une perte de contrôle des internautes sur leurs données" : voici ce que la Cnil reproche à Criteo, géant français de la publicité en ligne, condamné ce jeudi à 40 millions d'euros d'amende (une somme inférieure aux 60 millions d'euros que demandait le rapporteur en 2022) pour cinq manquements au fameux RGPD, le règlement européen sur la protection des données.

► Le texte de la décision de la Cnil sur son site

Publicité

Spécialisée dans l'affichage de publicité ciblées sur Internet, via un système de traceur qui collecte les données de navigation, la société Criteo a annoncé faire appel de la décision, qu'elle estime "largement disproportionnée" et basée sur des "faits passés, sans aucune obligation pour Criteo de modifier ses pratiques actuelles", selon un communiqué.

De son côté, la Cnil relève cinq points précis pour justifier cette amende : elle retient des manquements à l'obligation de démontrer que la personne a donné son consentement à la collecte de ses données, à l'obligation d'information et de transparence, au respect du droit d'accès, au respect du droit au retrait du consentement et à l'effacement des données, et enfin à l'obligation de prévoir un accord avec ses partenaires économiques.

370 millions d'internautes concernés

Criteo a notamment, selon la Cnil, omis de vérifier si ses partenaires obtenaient bien le consentement des internautes à ce qu'on collecte leurs données. Or le fichier traceur, un cookie, avait bien été déposé sur les appareils des internautes sans leur consentement par plusieurs de ces partenaires. Et Criteo n'informait pas suffisamment les internautes des utilisations possibles des données traitées.

La Cnil estime que ce fonctionnement de Criteo a engendré "une perte de contrôle des internautes sur leurs données dans la mesure où la société n'a pas mis à leur disposition une information complète et compréhensible", tout en soulignant le "caractère structurel et la gravité" de ces éléments. "Afin de déterminer le montant de la sanction, la Cnil a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d'identifiants à travers l'Union européenne) et qu'elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes", explique l'institution dans son communiqué.