retour

Reciblage publicitaire : sanction de 40 millions à l’encontre de la société CRITEO

Article IT et données personnelles | 03/07/23 | 4 min. | Florence Chafiol Alexandra Antalis Stéphanie Lapeyre

La CNIL a prononcé, le 15 juin 2023, une amende administrative de 40 millions d’euros à l’encontre de CRITEO (cette sanction représentant plus de 2% du chiffre d’affaires de la société).

Pour rappel, CRITEO met en œuvre des traitements de données dits de « reciblage publicitaire ». Pour ce faire, un cookie CRITEO est déposé sur le terminal des internautes naviguant sur des sites internet partenaires de CRITEO. Via ce cookie, CRITEO analyse les habitudes de navigation des internautes, afin de leur afficher des publicités adaptées à leurs intérêts.

Que faut-il retenir de cette décision ?

  1. Preuve du consentement

S’il revient bien à l’éditeur d’un site internet (le partenaire de CRITEO) de collecter le consentement de ses internautes pour le dépôt de cookies tiers, dès lors que c’est lui qui est en contact direct avec lesdits internautes, la société détentrice du cookie tiers (CRITEO) doit néanmoins :

  • Vérifier, notamment via des audits, que ce consentement est obtenu de manière conforme au RGPD (une simple obligation contractuelle de recueil du consentement ne suffit pas) ; et
  • Être en mesure d’en apporter la preuve => il est important dans ce cadre pour la société déposant un cookie tiers de prévoir une clause dans les contrats obligeant l’éditeur du site / partenaire à fournir une telle preuve sur demande.

La CNIL réaffirme ainsi l’importance, pour l’entité qui n’est pas en contact avec la personne concernée mais qui agit néanmoins en tant que responsable de traitement, de s’assurer que les données ont été collectées de manière licite (la CNIL ayant déjà pris une position similaire dans d’autres délibérations en matière de prospection commerciale).

  1. Transparence

L’article 13 du RGPD s’applique lorsque les données sont collectées directement auprès de la personne concernée, ce qui est le cas des données collectées par « observation » via l’utilisation de traceurs. Il appartient donc à la société (CRITEO), déposant des cookies sur les sites de partenaires mais récupérant directement sur ses serveurs les données de navigation collectées via lesdits cookies, de fournir aux internautes, dans sa propre politique de protection des données, une information claire et exhaustive. Cette information doit notamment indiquer les finalités du traitement (qui doivent être décrites précisément) et la base légale (qui doit être facile à comprendre pour la personne concernée).

  1. Droit d’accès

Dans le cadre de sa réponse à une demande d’accès, le responsable de traitement doit veiller à communiquer l’intégralité des données à caractère personnel qu’il détient sur la personne concernée, et ce de manière intelligible. La CNIL, qui a tendance à surtout sanctionner les sociétés pour absence de réponse aux demandes d’accès et non pas pour réponse incomplète, s’est montrée particulièrement sévère en l’espèce. En effet, alors que CRITEO avait donné suite aux demandes d’accès reçues, elle a malgré tout sanctionné la société pour (i) n’avoir transmis qu’une partie des données détenues et (ii) ne pas avoir accompagné lesdites données d’explications permettant à la personne concernée d’en comprendre la nature.

  1. Droit de retrait du consentement et d’effacement des données

Lorsque des données ont été collectées sur la base du consentement mais que le responsable de traitement n’est pas en mesure de s’assurer qu’un tel consentement a été valablement obtenu (voir point 1 ci-dessus), il doit supprimer ces données si la personne concernée en fait la demande et ne peut les conserver sous prétexte qu’elles permettraient de satisfaire d’autres finalités ultérieures basées sur d’autres bases légales (intérêt légitime notamment).

  1. Contrat de responsables conjoints de traitement
Le contrat entre responsables de traitement conjoints doit être conforme à l’article 26 du RGPD et notamment prévoir la répartition des obligations entre les parties s’agissant de l’exercice par les personnes concernées de leurs droits, la notification des violations de données et la réalisation d’une analyse d’impact.

 
Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement