Cinq manquements au RGPD ont été recensés par la Cnil à l’encontre de l’entreprise. Menacé d’une amende de 60 millions d’euros, Criteo estime pour sa part qu’il n’y a pas de risque pour les particuliers.
Le spécialiste français de la publicité sur internet ciblant Criteo a assuré jeudi que les manquements aux règles sur les données personnelles qui lui sont reprochés ne sont pas de son fait et n’ont entraîné aucune conséquence dommageable pour les personnes, lors d’une audition publique devant la CNIL.
Le gendarme français des données personnelles avait reçu des plaintes contre les pratiques de Criteo dès 2018, année d’entrée en vigueur du Règlement général sur la protection des données (RGPD) en Europe.
La société utilise des traceurs, dont des cookies, pour suivre la navigation des internautes et leur proposer des publicités ciblées. Elle revendique aujourd’hui le “plus grand ensemble de données ouvertes sur les acheteurs au monde”, avec plus de 2 milliards d’identifiants.
Problèmes de consentement
Lors de contrôles en 2020, les services d’enquête de la CNIL ont relevé 5 manquements au RGPD, notamment sur l’obligation de pouvoir démontrer que les internautes ont bien consenti à l’utilisation de leurs données personnelles.
Cependant, Criteo affirme ne pas disposer d’adresse e-mail, de numéro de téléphone, d’adresse IP ou d’informations permettant d’identifier directement une personne, mais uniquement de versions cryptées de ces données. “Si l’entreprise (Criteo) n’a pas directement l’identité de la personne physique, je continue de croire que le risque de ré-identification des personnes est bien supérieur à ce que prétend l’entreprise”, a déclaré en retour le rapporteur de la Commission lors de l’audition. .
“Les données pseudonymisées restent des données personnelles”, a-t-il insisté, et celles-ci pourraient être exploitées par un “attaquant externe” qui accéderait aux données de l’entreprise.
Sur le recueil du consentement, “il n’appartient pas à Criteo de vérifier le respect de la loi par ses partenaires, c’est une mission qui incombe à la Cnil”, ont défendu les avocats de l’entreprise, soulignant le fait que l’institution n’avait pas reprochait aux éditeurs visés par les contrôles.
60 millions d’euros d’amende
Ces derniers sont “les mieux placés” pour obtenir le consentement, estime l’entreprise, pourtant “co-responsable” du traitement des données. Surtout, l’avocat Yann Padova, ancien secrétaire général de la Cnil et représentant en France du lobby de la publicité en ligne IAPP, a vivement contesté lors de l’audience que le traitement incriminé ait eu pour effet de « contrôler ou d’avoir des effets négatifs sur les personnes », un position selon lui “politique” et anti-publicité du rapporteur.
“Nous estimons que les allégations formulées par le rapporteur de la CNIL ne font référence à aucun risque pour les personnes et les citoyens, ni à aucun dommage causé à ceux-ci”, a soutenu l’entreprise dans un communiqué jeudi soir.
Criteo, dont le modèle économique a été mis à mal par les évolutions techniques et réglementaires du traçage en ligne, s’indigne notamment du montant minimum de l’amende proposé par le rapporteur, 60 millions d’euros, soit 3% de son chiffre d’affaires. de l’activité mondiale et 86% de son résultat net en 2022. Aucune date n’a été avancée pour la décision à venir, qui devra passer par un consensus avec les homologues de la Cnil au niveau européen.