40 millions d’euros pour cinq violations du RGPD, le Règlement européen sur les données personnelles : voici la conclusion de la commission nationale de l’informatique et des libertés (Cnil), l’autorité française en charge de la protection de la vie privée, à l’encontre de Criteo, une société spécialisée dans la publicité ciblée sur le Web, décrite dans un communiqué publié jeudi 22 juin. Pour certains, il s’agit d’un signal fort : non seulement le montant de l’amende est élevé, mais la décision, en date du 15 juin, est tombée au beau milieu du Cannes Lions, un festival qui réunit chaque année les publicitaires du monde entier. S’agit-il d’un message adressé à toutes les entreprises de l’Adtech?
À l’origine de cette sanction, l’association britannique Privacy International attaquait en novembre 2018 sept entreprises, dont Criteo. La raison, leur « collecte à grande échelle de données » en violation du RGPD, entré en vigueur la même année. Un mois plus tard, c’est NOYB, l’association de défense des droits numériques de Max Schrems, qui déposait une plainte similaire. Le règlement européen impose une série d’obligations d’information et de transparence à toutes les entreprises qui prélèvent nos données personnelles, et les revendent ensuite à des fins publicitaires.
Défaut de consentement, droit de retrait non effectifs… des manquements au RGPD d’ampleur
Une enquête de la Cnil au nom de l’Union européenne avait alors été ouverte en mars 2020. Deux ans plus tard, son rapporteur proposait une amende de 60 millions d’euros, finalement réduite de 20 millions d’euros. Si le montant final (40 millions d’euros) est aussi important, c’est en partie parce que les violations du RGPD ont été d’ampleur. Pour déterminer le montant de la sanction pécuniaire, qui peut aller jusqu’à 4 % du chiffre d’affaires mondial, la Cnil a tenu compte de l’activité de Criteo dans toute l’Union européenne et de son modèle économique. L’entreprise détiendrait 370 millions d’identifiants.
À lire aussi : Comment une start-up a défié Google pour vous rendre le contrôle de vos données personnelles
Premier problème constaté : alors que les utilisateurs doivent normalement consentir à ce que leurs données soient collectées, y compris par des partenaires, Criteo n’a pas démontré qu’il avait reçu le consentement des internautes lorsque les partenaires en question inséraient des cookies de suivi dans leurs navigateurs.
Ensuite, dans les rares cas où les utilisateurs exerçaient leur droit de retrait de leur consentement et d’effacement de leurs données, l’entreprise désactivait seulement les publicités ciblées, sans réellement effacer les datas en question, qui pouvaient être réutilisées à d’autres fins. Il y aurait aussi un problème dans le fait de rendre les données anonymisées. Selon la Cnil, la société ne disposait pas des noms des utilisateurs, mais la quantité de données collectées permettait encore de réidentifier les individus dans certains cas.
Une affaire suivie de près par le secteur de l’Adtech
Pour des experts, cette décision pourrait avoir des répercussions sur tout le secteur de l’AdTech. Car cette fois, l’amende est salée et bien plus importante que celle décidée par la Cnil à l’encontre de Doctissimo. Le site d’informations sur la santé avait été condamné en mai dernier à 380 000 euros pour avoir exploité nos données sans respecter RGPD, une sanction saluée mais critiquée par les associations et activistes parce qu’elle n’était pas assez sévère pour être dissuasive.
D’abord, note Eric Lamy, responsable des données clients chez Endeavor cité par Digiday, les autorités en charge de la protection des données n’hésitent désormais plus à sanctionner les entreprises européennes, « plutôt que de se concentrer uniquement sur les grandes entreprises technologiques américaines ». Ensuite, cette affaire pourrait finir devant la Cour de justice de l’Union européenne (qui trancherait définitivement les choses), estime Lukasz Olejnik, chercheur en protection de la vie privée, dans une série de tweets à propos de la décision. « Je m’attends à ce que ce soit une affaire à fort enjeu pour l’Ad Tech. Beaucoup sont impatients de connaître la fin de l’affaire », ajoute-t-il.
I expect this to be a high-stake case for Ad Tech. Many are eagerly interested how it ends. Having read the full case description/detail, I don't rule out this case going to EU Court of Justice. https://t.co/x6Ce5TViLv
— Lukasz Olejnik (@[email protected]) (@lukOlejnik) June 22, 2023
Du côté des associations à l’origine du recours, on se félicite de cette décision qui pourrait changer les choses dans le secteur de la publicité en ligne. Pour Romain Robert, avocat chez NOYB cité dans le communiqué de l’association publié le 22 juin, « il s’agit d’un signal fort envoyé à l’industrie de l’Adtech, qui devra faire face à des conséquences désastreuses en cas de violation de la loi ».
Lucie Audibert, l’avocate de Privacy International citée dans le communiqué de l’ONG britannique, va même plus loin : elle estime que « l’ensemble de l’écosystème européen doit revoir ses pratiques en profondeur – après quelques années d’application laxiste, le RGPD commence à montrer les dents contre les pratiques commerciales portant atteinte à la vie privée ». Car « pendant des années, (les entreprises de ce secteur) ont construit de gigantesques chaînes de données, sans chercher à s’assurer que les utilisateurs ciblés avaient consenti à ce que leurs informations privées soient échangées comme une marchandise ».
Criteo fait appel
Cet avis n’est pas partagé par la première concernée, Criteo, qui a déclaré dans un communiqué faire appel de la décision de la Cnil. Pour la championne française de la publicité ciblée, l’amende est « largement disproportionnée au regard des manquements allégués et non conforme aux pratiques générales du marché en la matière ». « Nous pensons qu’un certain nombre d’interprétations et d’applications du RGPD par la Cnil ne sont pas cohérentes avec les arrêts de la Cour européenne de justice et même avec les propres orientations de la Cnil » estime la société.
Pour cette dernière, « les allégations de la CNIL n’impliquent aucun risque pour les personnes ni aucun dommage causé à celles-ci. Criteo, qui n’utilise que des données pseudonymisées, non directement identifiables et non sensibles dans le cadre de ses activités, s’engage pleinement à protéger la vie privée et les données des utilisateurs ». L’affaire sera à nouveau tranchée dans les prochains mois par la juridiction d’appel de la Cnil, à savoir le Conseil d’État.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Délibéré de la CNIL du 15 juin 2023
C’est un signal fort et nécessaire, l’impunité de ces entreprises est telle que cela installe un système de violation des droits humains et au respect à la vie privée.