Le spécialiste des cookies vient d’écoper d’une amende de 40 millions d’euros de la part du gendarme des données personnelles. Parmi les manquements constatés, la Cnil lui reproche notamment de ne pas s’assurer que ses partenaires avaient bien obtenu le consentement des internautes avant de traiter leurs données.
Avec l’offensive lancée par les gendarmes européens des données personnelles contre les cookies et autres traqueurs publicitaires, ce n’était qu’une question de temps avant que la Cnil se penche sur le cas de Criteo. Le géant du ciblage publicitaire a été visé par des plaintes des associations NOYB et Privacy International, amenant le régulateur français à effectuer quelques contrôles. Et de constater cinq manquements au RGPD.
A commencer par le manquement à l’obligation de démontrer que la personne a donné son consentement au dépôt de cookies. En effet, si Criteo n’a pas à demander directement le consentement des internautes, ses partenaires en ont l’obligation. De son côté, le géant du ciblage doit être en mesure de s’assurer que lesdits partenaires s’acquittent correctement de leur obligation de recueil du consentement.
Or ces derniers déposaient le cookie Criteo sans obtenir le feu vert des internautes, sans que Criteo n’opère la moindre vérification. Ni clause contractuelle obligeant à fournir la preuve du consentement des internautes, ni audit mené auprès des partenaires pour s’assurer qu’ils sont bien dans les clous. Un premier carton rouge pour Criteo.
Cinq manquements
En outre, sa politique de confidentialité était incomplète, en absence de certaines finalités de traitement et « termes vagues et larges » pour d’autres. Les droits d’accès et de retrait du consentement eux aussi n’étaient que partiellement respectés. Dans le premier cas, Criteo ne transmettait pas toutes les données, et les données fournies au demandeur, sous forme de tableau, ne comprenaient pas « d’informations suffisantes pour leur permettre de comprendre leur contenu ».
Dans le second, lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, Criteo se contentait d’arrêter l’affichage de publicités personnalisées, mais ne supprimait ni l’identifiant publicitaire, ni les données de navigation du demandeur.
Enfin, la Cnil reproche à Criteo les accords avec ses partenaires, en ce qu’ils ne mentionnaient pas « certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ». Si Criteo a mis en œuvre différentes mesures pour se mettre en conformité, ces manquements lui coûtent 40 millions d’euros, montant de l’amende infligée par le gendarme des données personnelles.