La CNIL a prononcé une amende de 40 millions d’euros à l’encontre de la société de reciblage publicitaire Critéo pour de nombreux manquements au RGPD.
A la suite de plaintes déposées par les associations « Privacy International » et « None Of Your Business », à l’encontre de la société Critéo, la CNIL a diligenté une enquête en effectuant notamment plusieurs contrôles sur pièces et sur place.
La CNIL définit Critéo comme « un intermédiaire entre des annonceurs et des éditeurs de sites web » qui aide « les annonceurs à troubler leur public cible avec des publicités plus pertinentes […] et les éditeurs à valoriser leurs espaces publicitaires ». La société est plus précisément spécialisée dans le « reciblage publicitaire », qui consiste « à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs ».
Au terme de son enquête, la CNIL a retenu cinq manquements au RGPD à l’encontre de la société :
1. Manquement à l’obligation de démontrer que la personne a donné son consentement
Rappelant que « dans les cas où le traitement repose sur le consentement, le responsable du traitement [doit être] en mesure de démontrer que la personne concernée a donné son consentement », l’autorité de contrôle a constaté que la société n’était pas en mesure de démontrer l’existence dudit consentement.
D’ailleurs, selon la CNIL, le fait que « la collecte du consentement des internautes […] revienne aux partenaires n’exonère pas la société de son obligation ».
Compte tenu de cette impossibilité de démontrer l’existence d’un consentement valide, la CNIL a considéré que la société a violé l’article 7 du RGPD.
2. Manquement à l’obligation d’information et de transparence
La CNIL a considéré que « l’information fournie par la société aux personnes concernées n’était pas complète » et que la base juridique applicable « manqu[ait] de clarté ».
Plus précisément, elle considérait que les formulations employées par Critéo créaient une incertitude (i) « quant à la base juridique du traitement » car l’internaute ne pouvait pas comprendre que le traitement reposait sur son consentement et (ii) sur la finalité, puisque la formulation employée utilisait « des termes vagues et larges ».
Selon la CNIL, « en ne délivrant pas aux personnes concernées l’intégralité des informations prévues en ayant recours à des termes insuffisamment clairs et précis et en présentant une base juridique […] erronée, la société a manqué à ses obligations de transparence et d’information prévues aux articles 12 et 13 du RGPD ».
3. Manquement au respect du droit d’accès
Dans le cadre des investigations menées par la CNIL, Critéo a fourni à la délégation trois exemples de réponses adressées à des personnes concernées ayant formulé des demandes d’accès.
Après analyse desdites réponses, la CNIL a considéré que la société « ne répondait que partiellement aux demandes » et que la réponse « n’était pas intelligible ».
Effectivement, l’autorité de contrôle considère que les réponses apportées (i) ne communiquaient pas « l’intégralité des données à caractère personnel des personnes exerçant leur droit d’accès » et (ii) ne mettaient pas « d’office à leur disposition une documentation leur permettant de comprendre les données qui leur étaient communiquées ».
Compte tenu de ce qui précède, la CNIL a considéré que la société avait manqué à ses obligations au titre des articles 12 et 15 du RGPD.
4. Manquement au respect du droit de retrait du consentement et de l’effacement des données
La CNIL a constaté que « les personnes concernées qui souhaitaient retirer leur consentement […] ou qui exerçaient leur droit à l’effacement pouvaient le faire en cliquant sur un bouton […] accessible dans la politique de confidentialité ».
Cependant, lorsqu’une telle action était effectuée par la personne concernée, Critéo se limitait « à interrompre l’affichage des publicités ciblées dans le terminal de la personne […] sans procéder à un effacement » des données.
Constatant que la société, bien qu’étant « en capacité de procéder à un effacement effectif des données », n’a pas réalisé ledit effacement, la CNIL a considéré qu’elle manqué à ses obligations au titre des articles 7 et 17 du RGPD.
5. Manquement à l’obligation de prévoir un accord entre responsables conjoints du traitement
Rappelant l’obligation, pour les responsables conjoints du traitement, de conclure un accord, la CNIL a considéré que l’accord conclu entre Critéo et les responsables du traitement conjoints n’était pas conforme au RGPD.
En effet, l’autorité de contrôle a remarqué que « l’accord conclu par la société avec ses partenaires ne précisait pas certaines obligations […] telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, le cas échéant, la réalisation d’une étude d’impact ».
La CNIL a donc considéré que la société avait manqué à son obligation au titre de l’article 26 du RGPD.
Compte tenu de tout ce qui précède, la CNIL a infligé à Critéo une amende de 40 millions d’euros.
Source : ici
