Fin juin, Criteo a été sanctionné par la Cnil d’une amende de 40 millions d’euros, une décision qui a inquiété bon nombre d’entreprises de l’adtech, à juste titre. Analyse avec Ariane Mole, avocate spécialisée pour le cabinet Bird & Bird.
Les avis sont très divergents sur la décision de la Cnil d’infliger 40 millions d’amendes à Criteo, suite à son enquête. Certains estiment que c’est très élevé compte tenu du dossier, d’autres que c’est mérité. Qu’en pensez-vous ?
Selon moi, cette décision démontre que la Cnil place la barre très haut en ce qui concerne la gestion des cookies sur internet et dans son interprétation du RGPD. Nous savions qu’elle y tenait beaucoup, nous en avons là la démonstration. 40 millions d’euros d’amendes, c’est très élevé, cela représente 2 % du chiffre d’affaires mondial de la société, et même si le rapporteur en proposait 3 % (60 millions d’euros d’amendes), au regard des amendes précédentes portant sur le même domaine, c’est-à-dire des manquements relatifs aux cookies tiers, Google et Facebook en 2021, n’ont atteint respectivement que 0,07 % et 0,06 % du CA d’amendes. Et ce, alors même que ces sociétés traitaient directement des noms et mails des personnes, quand les données de Criteo étaient pseudonymisées. Nous avons là un signal envoyé au marché. Nous avons une affirmation forte de la Cnil de sa rigueur en matière de publicité ciblée et de gestion des cookies.
Donc à quoi doit s’attendre le marché ?
Eh bien il doit s’attendre à ce que la Cnil ne fasse preuve d’aucune indulgence. Dans cette affaire et cette enquête qui a duré près de 4 ans, Criteo s’est mis en conformité avec ce que la Cnil demandait. La société a modifié ses pratiques, et ce qui figurait dans ses contrats, pour attester de la vérification que ses sites web partenaires recueillaient bien le consentement, selon les modalités d’interprétation de la Cnil. Mais même cela, la Cnil ne l’a pas pris en compte. Donc le but de la Cnil n’était pas la mise en conformité de la société. Cela aussi est intéressant à noter.
Il y a aussi un cap de franchi en termes d’amende ?
Ce n’est pas tant par le montant de l’amende que par le pourcentage que cela représente du chiffre d’affaires de l’entreprise. Même si le texte du RGPD indique que l’amende peut monter jusqu’à 4 % du chiffre d’affaires, de tels chiffres n’ont jamais été atteints depuis sa mise en place. Et si la Cnil a justifié l’amende par la nature des faits reprochés et surtout leur portée, en évoquant le nombre d’utilisateurs de 50 millions de personnes visées, cela reste très large dans l’interprétation. Et ce, même si le CEPD (l’autorité européenne de protection des données) a pourtant sorti des lignes directrices en avril 2022 sur les modalités de calcul des amendes. En réalité, on peut dire que toutes ces décisions restent floues.
L’autre point important, c’est sur la notion de responsable conjoint qui a été utilisée dans le raisonnement. La Cnil a contrôlé et déduit que douze sites n’avaient pas mis en place des procédures de recueil de consentement adéquates pour le dépôt de cookies. Criteo demandait bien à ses partenaires de le faire, mais la Cnil lui a reproché de ne pas avoir vérifié correctement. Dans le raisonnement, elle affirme que le fait d’être responsable conjoint ne l’exonère pas de vérifier que cela a bien été fait. Donc elle se base sur cette responsabilité conjointe pour établir sa sanction. Mais de l’autre côté, elle n’a pas sanctionné les sites, à ce jour, sur cette même base, alors qu’eux aussi, sont responsables conjoints ! Cette différence peut interroger.
En quoi cette sanction est un avertissement pour l’ensemble du marché ?
Toutes les sanctions de la Cnil sont des avertissements à l’ensemble du marché, d’autant plus lorsqu’elle publie sa sanction, elle n’est jamais obligée de le faire. Elle a beaucoup communiqué, avec des CP sur Linkedin, Twitter, avec des visuels de résumé. La Cnil vient rappeler qu’elle veille au grain, qu’elle est rigoureuse, qu’elle place la barre haut, et qu’elle prend à cœur l’adtech. Nous avons pu voir que lors de l’amende énorme d’un milliard d’euros, infligée par la Cnil irlandaise à Meta, la France avait joué un rôle important. Elle pèse fort, au niveau européen, surtout sur les pratiques encadrant les cookies, qui sont vraiment son cheval de bataille. Plus largement, cette décision a interrogé bon nombre d’entreprises, qui ont regardé leur contrat de près. D’une part car Criteo a beaucoup de partenaires, mais pas seulement. La question dépasse Criteo.