Accueil > Adtechs & Martechs > Amende de 60 millions d’euros par la Cnil : Criteo dénonce une position “anti-publicité en ligne” Amende de 60 millions d’euros par la Cnil : Criteo dénonce une position “anti-publicité en ligne” Accusée depuis 2020 de multiples violations du RGPD, la société adtech, entendue jeudi 16 mars au siège de la Cnil, conteste la plupart des arguments du rapporteur sur sa responsabilité dans le mauvais recueil du consentement des utilisateurs et dénonce une amende disproportionnée. Par Paul Roy. Publié le 16 mars 2023 à 18h20 - Mis à jour le 21 mars 2023 à 15h54 Ressources Près de neuf mois après la proposition du rapporteur de la Cnil d’infliger 60 millions d’euros d’amende à Criteo pour violation du RGPD, la société adtech a pu présenter ses arguments de défense lors d’une audience libre dans les locaux de l’Autorité jeudi 16 mars. La proposition du rapporteur faisait suite à deux plaintes, dont une déposée par l’association Privacy International en 2018 contre plusieurs sociétés adtechs et fournisseurs de données : Acxiom, Oracle, Quantcast, Tapad et Criteo, ainsi que deux agences de référencement de crédit, Equifax et Experian. A l’issue de son enquête, le rapporteur a déterminé une série de violations du RGPD, rappelées lors de l’audience. Selon ses conclusions, aucune mesure n’a été mise en place pour assurer que les données utilisées sont celles d’une personne qui a donné son consentement. Il indique également que Criteo n’a pas mis en place d’audit de ses partenaires – les sites d’éditeurs -, parfois non-conformes, et s’est contenté du contrat noué avec eux comme preuve de consentement valide – appliquant ainsi partiellement le principe de responsabilité conjointe. Le rapporteur de la Cnil veut sanctionner Criteo d’une amende de 60 millions d’euros Une violation du principe de transparence est aussi pointée : la politique de confidentialité en ligne – changée fin 2022 – ne donnait pas à l’époque toutes les informations relatives au traitement des données personnelles des utilisateurs. Enfin, toujours selon le rapporteur, Criteo ne répondait que partiellement aux demandes d’accès à leurs données formulées par des utilisateurs, en ne diffusant qu’une partie des informations collectées (dans ses tables de réconciliation des données). Plus globalement, il a souligné le risque de réidentification de personnes physiques à partir des données de la société en cas d’attaque malveillante. Litige sur la responsabilité conjointe du traitement Représentée par plusieurs avocats du cabinet Baker Mckenzie – dont Yann Padova, ancien secrétaire général de la Cnil -, Laurence Hadj, data protection officer et Nicolas Rieul, directeur général Europe de l’Ouest, Criteo a d’abord dénoncé les arguments de l’Autorité sur la responsabilité conjointe de traitement du consentement avec les éditeurs. “La force obligatoire du contrat est suffisante pour assurer que le consentement a été bien recueilli, alors que le rapporteur exige que Criteo contrôle. Cette obligation d’audit n’est pas définie par le RGPD, et il n’appartient donc pas à Criteo de vérifier la licéité du recueil de consentement des sites”, a ainsi déclaré Marie-Catherine Ducharme, avocate chez Baker Mckenzie. Sur ce même point, les avocats affirment que les contrôles sur 12 sites (dont 7 réalisaient un recueil du consentement jugé non-valable), en plus d’être considérés comme étant anecdotiques au regard des “400 000 sites” sur lesquels Criteo diffuse de la publicité, ont été réalisés entre septembre et novembre 2020, pendant la période de “grâce” avant applications des nouvelles recommandations de l’autorité. Ils pointent également le fait que la Cnil a opéré des contrôles sur ces sept sites et a constaté des manquements sans qu’ils aient été sanctionnés. Une amende jugée disproportionnée Mais c’est surtout sur le montant de l’amende – 3 % du chiffre d’affaires de Criteo – au regard des manquements et des précédents que la défense a insisté. “En se limitant aux manquements sur sept sites, la sanction équivaut à 9 millions d’euros par site, quand elle était de 50 000 euros pour le Figaro. Criteo va être sanctionné pour des violations commises par ces sites, contre le principe de responsabilité pénale”, a avancé Yann Padova, avocat chez Baker McKenzie. Directives de la Cnil, un an après : la difficile monétisation des inventaires sans consentement La défense s’est aussi appuyée sur l’exemple de la sanction infligée à un grand groupe de distribution (Carrefour en 2020, ndlr), dans le cadre de laquelle les particularités du modèle économique (un volume important et une marge faible, au même titre que Criteo, estiment-ils) avaient été prises en compte. “Dans le cas d’une sanction infligée à une entreprise de la tech ayant son siège en Irlande, quatre manquements au RGPD jugés particulièrement graves, votre commission a prononcé une sanction à 0,023 % du chiffre d’affaires”, a ajouté l’avocat Yann Padova (Baker Mckenzie). C’était début 2022 contre Facebook. Une “position politique” contre la publicité Enfin, ils estiment que la décision du rapporteur relève de la “position politique” adoptée par la Cnil contre la publicité ciblée dans son objet même. Le rapporteur avait rappelé en début d’audience que si Criteo n’a pas dans ses bases l’identité de la personne physique, le risque de ré-identification est plus important que ce que la société ne laisse entendre – insistant sur le fait que les données pseudonymisées restent personnelles, et peuvent être utilisées par des personnes malveillantes. Directives de la Cnil, un an après : quel bilan des éditeurs sur le recueil du consentement ? De son côté, Criteo affirme – en plus de ne détenir que des données pseudonymisées (mail et IP hashés notamment) – avoir fourni une étude, basée sur le modèle d’attaque du procureur et du journaliste – techniques utilisées pour tester les modèles d’anonymisation – démontrant le contraire, que la Cnil n’aurait pas prise en compte. En conclusion de la séance, le président de la formation restreinte de la Cnil a indiqué que, la décision étant soumise à coopération européenne des différents organes de protection des données, il est à ce stade impossible de donner le calendrier dans lequel sera rendue la décision finale. Paul Roy Achat programmatiqueAdtechCookiesPublicité programmatiqueRéglementationRGPD Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind À lire La Cnil veut “accompagner les entreprises à fort potentiel” économique et numérique Entretiens Paul Ouvrard-Arnaud (dentsu France) : "La sanction de la DPC irlandaise contre Meta est un vrai séisme pour le secteur publicitaire" Le CEPD harmonise en partie les CMP en Europe Le rapporteur de la CNIL pris en défaut sur le RGPD La Cnil crée un pôle dédié à l’intelligence artificielle Le rapporteur de la Cnil veut sanctionner Criteo d'une amende de 60 millions d'euros essentiels Nos synthèses et chiffres sur les principales thématiques du marché Les mutations du search à l'ère de l'IA générative L'application inaboutie de la loi sur les droits voisins Google vs DOJ : tout ce qu'il faut savoir sur le procès qui pourrait redéfinir l'adtech L’essentiel sur les identifiants publicitaires La transformation du marché publicitaire en 2024 2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur Comment l’intelligence artificielle générative bouleverse les médias Les enjeux réglementaires des médias en 2023 analyses Les articles d'approfondissement réalisés par la rédaction Adtech : pourquoi la Commission européenne sanctionne Google de près de 3 milliards d’euros Retail media : une consolidation indispensable des régies pour répondre aux attentes des acheteurs publicitaires IA et monétisation des contenus : comment l’IAB Tech Lab veut contrôler les robots crawlers Droits voisins : l’Apig veut introduire une plainte contre Meta devant l'Autorité de la concurrence Paul Boulangé (Starcom France) : "Nous sommes en train de déployer Captiv8 en France, notre solution d'automatisation du marketing d'influence" Claire Léost devient DG de CMA Média, WPP Media promeut Stéphanie Robelus… Comment les SSP généralistes investissent le secteur du retail media Bénédicte Wautelet (Le Figaro) : “Toute solution qui utilise de l’IA en rapport avec nos contenus doit y être autorisée et nous rémunérer” Aides à la presse : combien les éditeurs ont-ils perçu en 2024 ? Le New York Times affiche toujours une croissance très robuste portée par le numérique data Les baromètres, panoramas et chiffres sur l'évolution du marché Le classement des éditeurs français qui ont le plus d'abonnés purs numériques Les données récoltées par les acteurs de la publicité en ligne La liste des sociétés présentes dans les fichiers ads.txt des éditeurs français Les gains de budget des agences médias Opt-out : quels éditeurs français interdisent les robots crawlers de l'IA générative ? Le panorama des sociétés spécialisées dans les technologies de l’e-retail media La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français Le détail des aides à la presse, année par année La liste des CMP choisies par les principaux médias en France Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ?
