**Criteo, le géant de l’adtech, risque une amende de 65 millions de dollars en France pour violation du consentement au GDPR.**
Dans le dernier coup porté au complexe effrayant des “annonces de suivi”, le géant français de l’adtech Criteo a été jugé en violation du règlement de l’Union européenne sur la protection des données et frappé d’une sanction de 60 millions d’euros (~65M$) par le chien de garde national de la vie privée du pays dans une décision préliminaire faisant suite à une enquête de plusieurs années.
Le groupe de défense des droits numériques, Privacy International, qui a déposé une plainte officielle contre le géant de l’adtech de surveillance en 2018, lorsque le Règlement général sur la protection des données (RGPD) du bloc est entré en application, a tweeté la nouvelle de la sanction aujourd’hui.
Elle accuse Criteo d’exploiter ce qu’elle appelle une “machine à manipuler”, via l’application d’une série de techniques de suivi et de pratiques de traitement des données conçues pour profiler les internautes afin qu’ils puissent être ciblés par des publicités comportementales et que les annonceurs paient pour des “prédictions d’achat au niveau individuel”.
Dans sa plainte, Privacy International affirme que Criteo ne dispose pas de bases juridiques appropriées pour que ce suivi et ce profilage soient conformes au GDPR – et il semble que le chien de garde français soit disposé à accepter.
Une porte-parole de Privacy International a déclaré qu’elle n’avait pas reçu de copie de la décision préliminaire de la CNIL, mais qu’elle avait été informée de l’évolution de la situation par l’organisme de surveillance français, conformément à la procédure standard de traitement des plaintes.
“La CNIL nous a informés le mardi 3 août car elle a l’obligation de tenir les plaignants informés de l’évolution de leurs plaintes. Ce n’est pas encore une décision finale, c’est pourquoi elle n’est pas publique”, a-t-elle déclaré à TechCrunch. “Ils ne peuvent même pas la partager avec nous. Criteo a maintenant la possibilité de faire des représentations et de mettre en œuvre des mesures correctives, après quoi il y aura une audience, suivie d’une décision finale probablement en 2023.”
Nous avons également contacté la CNIL.
Un dépôt de Criteo, daté du 3 août, confirme la constatation préliminaire par la CNIL de ce qui est décrit dans le dépôt du formulaire 8-K/A comme “certaines violations du GDPR, notamment en ce qui concerne les relations contractuelles de la Société avec ses annonceurs et éditeurs en matière de surveillance de la collecte du consentement”.
” Le rapport comprend une proposition de sanction financière à l’encontre de la Société de 60,0 millions d’euros (65,4 millions de dollars). Selon les procédures de sanction de la CNIL, Criteo a le droit de répondre par écrit au rapport, à la fois en ce qui concerne les conclusions du GDPR et la valeur de la sanction, à la suite de quoi il y aura une audience formelle devant la commission des sanctions de la CNIL. Le Comité des sanctions de la CNIL émettra alors un projet de décision qui sera soumis pour consultation aux autres autorités européennes de protection des données dans le cadre du mécanisme de coopération mandaté par le GDPR. Toute décision finale sur la résolution et les éventuelles sanctions financières n’interviendra probablement pas avant 2023 “, poursuit le dépôt de Criteo.
Nous avons contacté Criteo pour plus de commentaires sur la sanction et une porte-parole nous a renvoyés à une déclaration sur son site web dans laquelle Ryan Damon, son directeur juridique, écrit également :
>Nous sommes en profond désaccord avec les conclusions du rapport de l’enquêteur de la CNIL, tant sur le fond concernant les affirmations de l’enquêteur sur la non-conformité au GDPR que sur le quantum de la sanction proposée. Nous estimons que les fondements de ce rapport sont fondamentalement erronés et que les sanctions proposées sont disproportionnées par rapport aux actes de non-conformité allégués. Nous nous réjouissons de poursuivre le dialogue avec la CNIL ainsi que de défendre notre dossier jusqu’à l’arbitre ultime d’une décision finale. Criteo continue de respecter les normes les plus strictes en matière de protection de la vie privée, et gère une entreprise mondiale totalement transparente et conforme aux réglementations. Nous ne ferons aucun autre commentaire tant que ces procédures en cours ne seront pas résolues.
La CNIL ne semble pas avoir publié de notification de la décision sur son propre site web – probablement parce qu’il s’agit d’une décision préliminaire. (Bien que les APD de l’UE ne publient pas toujours les décisions, non plus).
Il reste à voir si le chien de garde va rester sur ses positions alors qu’un géant français de l’adtech riposte agressivement à ses conclusions.
Mais cette décision préliminaire n’est que le dernier coup porté (en Europe) à l’écosystème de la “publicité de surveillance”, qui, au cours des années précédentes d’assoupissement réglementaire sur la protection des données, s’est donné pour mission de priver les internautes de leur vie privée afin d’optimiser la capacité des annonceurs à manipuler l’attention des individus.
Une série de scandales liés à la protection de la vie privée et des données a fait prendre conscience de ce que certaines critiques considèrent comme la plus grande violation de données de tous les temps – ce qui a entraîné un réveil brutal du modus operandi effrayant et sans consentement de l’adtech grand public, qui à son tour conduit à un double examen réglementaire et législatif (même si l’application effective du GDPR reste encore à venir).
Au début de l’année, l’autorité belge de protection des données a confirmé une conclusion préliminaire antérieure à l’encontre de l’IAB Europe, l’organisme du secteur de la publicité, et de sa norme intersectorielle phare pour la collecte des choix des utilisateurs en matière de suivi des publicités, appelée Transparency and Consent Framework/TCF (cadre de transparence et de consentement).
Ces dernières années, la CNIL française a également pris des sanctions importantes contre les violations des cookies de suivi – dans le cadre de la législation ePrivacy du bloc – et plus tôt cette année, Google (l’un des géants de la technologie sanctionnés) a publié une bannière de cookie révisée en Europe qui offre enfin aux utilisateurs un choix clair pour refuser son suivi. Une belle victoire.
Cette année, les législateurs européens ont également convenu d’interdire l’utilisation de données sensibles et de données relatives aux enfants à des fins de publicité ciblée dans les nouvelles réglementations numériques. Un jugement rendu cette semaine par la plus haute juridiction de l’Union européenne devrait renforcer cette restriction en cimentant une définition non restrictive de ce qui constitue des données sensibles.
1 comment
Traduction par DeepL, notre ami le plus fidèle 🙂
**Criteo, le géant de l’adtech, risque une amende de 65 millions de dollars en France pour violation du consentement au GDPR.**
Dans le dernier coup porté au complexe effrayant des “annonces de suivi”, le géant français de l’adtech Criteo a été jugé en violation du règlement de l’Union européenne sur la protection des données et frappé d’une sanction de 60 millions d’euros (~65M$) par le chien de garde national de la vie privée du pays dans une décision préliminaire faisant suite à une enquête de plusieurs années.
Le groupe de défense des droits numériques, Privacy International, qui a déposé une plainte officielle contre le géant de l’adtech de surveillance en 2018, lorsque le Règlement général sur la protection des données (RGPD) du bloc est entré en application, a tweeté la nouvelle de la sanction aujourd’hui.
Elle accuse Criteo d’exploiter ce qu’elle appelle une “machine à manipuler”, via l’application d’une série de techniques de suivi et de pratiques de traitement des données conçues pour profiler les internautes afin qu’ils puissent être ciblés par des publicités comportementales et que les annonceurs paient pour des “prédictions d’achat au niveau individuel”.
Dans sa plainte, Privacy International affirme que Criteo ne dispose pas de bases juridiques appropriées pour que ce suivi et ce profilage soient conformes au GDPR – et il semble que le chien de garde français soit disposé à accepter.
Une porte-parole de Privacy International a déclaré qu’elle n’avait pas reçu de copie de la décision préliminaire de la CNIL, mais qu’elle avait été informée de l’évolution de la situation par l’organisme de surveillance français, conformément à la procédure standard de traitement des plaintes.
“La CNIL nous a informés le mardi 3 août car elle a l’obligation de tenir les plaignants informés de l’évolution de leurs plaintes. Ce n’est pas encore une décision finale, c’est pourquoi elle n’est pas publique”, a-t-elle déclaré à TechCrunch. “Ils ne peuvent même pas la partager avec nous. Criteo a maintenant la possibilité de faire des représentations et de mettre en œuvre des mesures correctives, après quoi il y aura une audience, suivie d’une décision finale probablement en 2023.”
Nous avons également contacté la CNIL.
Un dépôt de Criteo, daté du 3 août, confirme la constatation préliminaire par la CNIL de ce qui est décrit dans le dépôt du formulaire 8-K/A comme “certaines violations du GDPR, notamment en ce qui concerne les relations contractuelles de la Société avec ses annonceurs et éditeurs en matière de surveillance de la collecte du consentement”.
” Le rapport comprend une proposition de sanction financière à l’encontre de la Société de 60,0 millions d’euros (65,4 millions de dollars). Selon les procédures de sanction de la CNIL, Criteo a le droit de répondre par écrit au rapport, à la fois en ce qui concerne les conclusions du GDPR et la valeur de la sanction, à la suite de quoi il y aura une audience formelle devant la commission des sanctions de la CNIL. Le Comité des sanctions de la CNIL émettra alors un projet de décision qui sera soumis pour consultation aux autres autorités européennes de protection des données dans le cadre du mécanisme de coopération mandaté par le GDPR. Toute décision finale sur la résolution et les éventuelles sanctions financières n’interviendra probablement pas avant 2023 “, poursuit le dépôt de Criteo.
Nous avons contacté Criteo pour plus de commentaires sur la sanction et une porte-parole nous a renvoyés à une déclaration sur son site web dans laquelle Ryan Damon, son directeur juridique, écrit également :
>Nous sommes en profond désaccord avec les conclusions du rapport de l’enquêteur de la CNIL, tant sur le fond concernant les affirmations de l’enquêteur sur la non-conformité au GDPR que sur le quantum de la sanction proposée. Nous estimons que les fondements de ce rapport sont fondamentalement erronés et que les sanctions proposées sont disproportionnées par rapport aux actes de non-conformité allégués. Nous nous réjouissons de poursuivre le dialogue avec la CNIL ainsi que de défendre notre dossier jusqu’à l’arbitre ultime d’une décision finale. Criteo continue de respecter les normes les plus strictes en matière de protection de la vie privée, et gère une entreprise mondiale totalement transparente et conforme aux réglementations. Nous ne ferons aucun autre commentaire tant que ces procédures en cours ne seront pas résolues.
La CNIL ne semble pas avoir publié de notification de la décision sur son propre site web – probablement parce qu’il s’agit d’une décision préliminaire. (Bien que les APD de l’UE ne publient pas toujours les décisions, non plus).
Il reste à voir si le chien de garde va rester sur ses positions alors qu’un géant français de l’adtech riposte agressivement à ses conclusions.
Mais cette décision préliminaire n’est que le dernier coup porté (en Europe) à l’écosystème de la “publicité de surveillance”, qui, au cours des années précédentes d’assoupissement réglementaire sur la protection des données, s’est donné pour mission de priver les internautes de leur vie privée afin d’optimiser la capacité des annonceurs à manipuler l’attention des individus.
Une série de scandales liés à la protection de la vie privée et des données a fait prendre conscience de ce que certaines critiques considèrent comme la plus grande violation de données de tous les temps – ce qui a entraîné un réveil brutal du modus operandi effrayant et sans consentement de l’adtech grand public, qui à son tour conduit à un double examen réglementaire et législatif (même si l’application effective du GDPR reste encore à venir).
Au début de l’année, l’autorité belge de protection des données a confirmé une conclusion préliminaire antérieure à l’encontre de l’IAB Europe, l’organisme du secteur de la publicité, et de sa norme intersectorielle phare pour la collecte des choix des utilisateurs en matière de suivi des publicités, appelée Transparency and Consent Framework/TCF (cadre de transparence et de consentement).
Ces dernières années, la CNIL française a également pris des sanctions importantes contre les violations des cookies de suivi – dans le cadre de la législation ePrivacy du bloc – et plus tôt cette année, Google (l’un des géants de la technologie sanctionnés) a publié une bannière de cookie révisée en Europe qui offre enfin aux utilisateurs un choix clair pour refuser son suivi. Une belle victoire.
Cette année, les législateurs européens ont également convenu d’interdire l’utilisation de données sensibles et de données relatives aux enfants à des fins de publicité ciblée dans les nouvelles réglementations numériques. Un jugement rendu cette semaine par la plus haute juridiction de l’Union européenne devrait renforcer cette restriction en cimentant une définition non restrictive de ce qui constitue des données sensibles.