L’adtech française a présenté sa défense jeudi 16 mars à la Cnil, contre les accusations d’infractions au RGPD, et une amende de 60 millions à la clé. Une procédure suivie par tout le milieu car les raisonnements pourraient être appliqués à d’autres, et la décision faire jurisprudence.
Deux étages au-dessus de la salle d’audience de la Cnil, la petite pièce où sont retransmis les débats pour le public est pleine à craquer. C’est inédit. Une quarantaine de journalistes, d’avocats, de juristes écoutent en silence et prennent des notes. Seul le bruit des claviers perce le silence. En ce jeudi 16 mars, tous sont venus entendre la défense de Criteo. La société est accusée par François Pellegrini, le rapporteur de la Cnil, d’avoir enfreint le RGPD. Elle a déjà provisionné 60 millions d’euros dans ses comptes, le montant de l’amende réclamée par le rapporteur. Mais que ce soit par les griefs reprochés ou les axes de défense de Criteo, cette audience est exemplaire : le cas ferait jurisprudence.
Suite à une plainte déposée fin 2018 par l’association Privacy International, contre plusieurs adtech en Europe, la Cnil avait ouvert une enquête en 2020 en France. Après plusieurs échanges avec la société et plusieurs visites in situ, elle a constaté cinq manquements portant sur : le recueil du consentement, l’information sur les finalités relatives, sur les droits d’accès aux données, sur la suppression des identifiants de la personne, et sur les contrats passés avec ses partenaires.
Lire aussi : Criteo dédramatise le pistage publicitaire
La défense de Criteo, constituée du DG Europe du Sud, Nicolas Rieul, de la DPO, Laurence Hadj, et de trois avocats, ne se concentrera que sur deux points : une discussion autour des contrats (qui englobera à elle seule plusieurs points reprochés) et la responsabilité qui incombe à l’entreprise, et un long plaidoyer contre une « disproportionnalité de l’amende ».
Le premier point est fondamental pour le secteur de l’adtech, depuis la mise en place du RGPD. Celui-ci instaure une solidarité dans la chaîne de responsabilité, et si les sites partenaires de Criteo recueillent mal le consentement, c’est aussi la responsabilité de Criteo, selon le rapporteur. Il reproche ainsi à la société de ne pas avoir mis en place d’audit auprès de ses partenaires. Ce qui, selon la défense, « n’est pas une obligation du RGPD ». Elle relève en outre que Criteo avait à l’époque 450 000 sites partenaires, posant implicitement la question de la faisabilité de tels audits.
La société souligne que les contrôles établis sur 12 sites français - et dont sept se sont révélés problématiques, sans aucune sanction de la Cnil directe - ont en outre été réalisés pendant la période de « clémence » de la Cnil. Il faut pour cela se rappeler l’historique. Après la mise en place du RGPD et les différences de traitement dans différents pays, le secteur de la pub en ligne avait demandé des clarifications auprès de la Cnil. Cette dernière avait alors, après réflexion, publié des recommandations, assorties d’une période de six mois de « clémence » avant leur entrée en application le 1er avril 2021. Un argument très important, pour la défense. Car sans le dire, en termes d’image, cela pourrait déstabiliser le discours de la Cnil à l’avenir.
Lire aussi : La Cnil change de ton avec les entreprises de la tech
Autre argument, les avocats soulignent le fait que Criteo avait bien indiqué dans ses contrats l’obligation de recueillir le consentement selon la loi – même si cela a été en partie corrigé après concertation avec la Cnil. Elle était donc, selon eux, en collaboration avec le gendarme du web, et travaillait de concert avec elle.
Concernant la disproportion de l’amende proposée, Nicolas Rieul a rappelé en préambule que son montant représente 86 % des bénéfices nets 2022 de l’entreprise. Et plus de 4 % du chiffre d’affaires (le montant prévu dans le RGPD), si l’on prend en compte le montant reversé aux éditeurs. Comme une agence média, le chiffre d’affaires de Criteo n’est pas aussi parlant que pour d’autres entreprises, car elle reverse une partie de ses entrées d’argent directement aux éditeurs, par l’achat d’impression. C’est pourquoi, même dans ses résultats annuels, la société indique deux chiffres (et c’est pourquoi les agences média préfèrent parler de « billings », montant facturé, que de chiffre d’affaires). Notons au passage qu’un des membres de la commission restreinte a semblé découvrir ce point.
Lire aussi : Le numérique et les données, priorité de l’Autorité de la Concurrence
Outre ces aspects numéraires, parmi tous les arguments évoqués pendant près de 30 minutes, un des caractères les plus importants concerne le fait que les données soient pseudonymisées (pas de données directement identifiables.)
Si le rapporteur a insisté sur le fait que ces données sont considérées légalement comme des données à caractère personnel, Criteo se défend de mettre en danger le public. « Criteo est incapable d’identifier ses utilisateurs et n’est pas en mesure de répondre aux requêtes des services de renseignements », répond-elle. Un tacle à peine masqué envers les discussions en cours autour de la légalité du transfert des données outre-atlantique, la polémique autour de Google Analytics et les débats autour de l’application TikTok. L’accès aux données est ainsi au cœur du raisonnement du rapporteur, puisqu’un des griefs concerne le fait qu’une personne malveillante ayant accès aux données de Criteo pourrait reconstituer l’identité d’un utilisateur. Ce que les avocats ont fermement défendu.
Mais plus encore, dans une attaque personnelle auprès du rapporteur, l’avocat lui reproche d’avoir indiqué que ces données permettaient de « contrôler ou d’avoir des effets négatifs sur les personnes ». Ces termes « forts » éclairent, selon lui, une position « politique » et anti-pub du rapporteur. Problématique selon la société.
Plutôt que d’attaquer chaque point, la défense a donc constitué à attaquer en grande partie le montant de l’amende, et à se défendre sur la notion de responsabilité de la chaîne de contrat. Tout le secteur étant au clair sur ce que cela aurait comme conséquences.
Le délibéré sera long, car la décision sera prise en concertation avec les autres Cnil européennes.