À la suite d’une plainte déposée en novembre 2018 par l’association britannique Privacy International, le groupe français Criteo se voit infliger une amende de 40 millions d’euros. La société a annoncé faire appel de cette décision.
La Cnil, garante de la vie privée des Français, a infligé une amende de 40 millions d’euros au groupe français de publicité sur internet Criteo pour des violations liées aux données personnelles, selon une délibération publiée jeudi 22 juin.
En mars dernier, Criteo avait été auditionné en affirmant « ne posséder aucune adresse e-mail, numéro de téléphone, adresse IP, ou information permettant d’identifier directement une personne, mais seulement des versions encodées de ces données ». Le rapporteur de la Commission lors de l’audience avait alors répondu : « Si la société (Criteo) ne dispose pas directement de l’identité de la personne physique, j’estime toujours que le risque de ré-identification des personnes est bien plus élevé que ce que la société prétend ».
Cette sanction fait suite à une plainte en novembre 2018 de l’association britannique Privacy International, qui visait sept entreprises procédant à la collecte à grande échelle de données, dont Criteo. En août 2022, le rapporteur de la Cnil avait proposé une sanction de 60 millions d’euros.
Lire aussi : Criteo vs Cnil : une procédure à scruter de près
Dans une réponse officielle, Criteo a annoncé faire appel de cette amende. « [Criteo] entend faire appel de cette décision auprès des autorités juridiques compétentes. Bien que la CNIL ait réduit la sanction finale de 60 millions d’euros, montant initialement proposé, à 40 millions d’euros, la sanction reste largement disproportionnée au vu des manquements allégués et est sans commune mesure avec la pratique générale dans ce domaine. » La société, par la voix de son directeur juridique, Ryan Damon, estime « qu’un certain nombre d’interprétations et d’applications du RGPD faites par la CNIL ne sont cohérentes, ni avec la jurisprudence de la Cour de Justice de l’Union Européenne, ni avec les propres lignes directrices et recommandations de la CNIL. »
Dans sa défense en Commission restreinte, les avocats de Criteo avaient notamment insisté sur le caractère pseudonymisés des données. Mais cet argument n’a pas convaincu le rapporteur du gendarme des données, et est un signal envoyé à tous les acteurs de l’adtech, en guise d’avertissement.
Criteo, blessée par cette décision, a tenu à rassurer le marché en affirmant que « la décision porte sur des faits passés et ne comporte aucune obligation pour Criteo de modifier ses pratiques actuelles. Elle n’a pas d’incidence sur les niveaux de service et les performances que nous sommes en mesure d’offrir à nos clients. »