La société CRITEO sanctionnée pour avoir collecté et analysé les faits et gestes des internautes sans leur consentement

La CNIL a sanctionné la société française CRITEO, le 15 juin 2023, pour n’avoir pas respecté les exigences du RGPD relatives au consentement, à la clarté des informations communiquées, au respect des droits des personnes et à la contractualisation des relations avec ses sous-traitants.

La société CRITEO est spécialisée dans le « reciblage publicitaire », un domaine qui consiste à réaliser le profil personnalisé des internautes, puis de les cibler selon des critères plus ou moins précis pour leur afficher de la publicité.

Pour réaliser un profil personnalisé des internautes, CRITEO s’appuie sur des sites « partenaires », c’est-à-dire des sites qui acceptent d’intégrer dans leurs pages un module, fourni par CRITEO, permettant à la société de collecter de nombreuses informations sur leurs visiteurs : les pages qu’ils visitent, les articles qu’ils consultent ou qu’ils mettent dans leur panier, l’accès à un espace personnel, etc.

CRITEO a choisi de justifier la légalité de cette collecte massive de données et des traitements ultérieurs par l’obtention du consentement des personnes. La collecte de ce consentement n’était toutefois pas réalisée par CRITEO, mais par les sites partenaires, à l’aide de bannières de consentement aux cookies.

Les contrôles réalisés par la CNIL ont toutefois démontré que les modalités de collecte de ce consentement par les sites partenaires ne permettaient pas, dans un grand nombre de cas, d’obtenir véritablement le consentement des personnes. Sur les douze sites partenaires visités par la CNIL par exemple – sites qui figuraient dans la liste, fournie par CRITEO, des sites qui collectent le plus de données –, « plus de la moitié ne recueillaient pas un consentement valide ».

D’autres contrôles effectués par la Commission ont confirmé ce constat :

• sur sept sites visités, « un cookie Criteo avait été déposé dans le terminal [de l’internaute] dès son arrivée sur la page d’accueil sans qu’elle ait exécuté la moindre action » ;
• sur trois autres sites, « le site visité ne permettait pas à l’utilisateur de refuser les cookies autrement qu’en paramétrant son navigateur » ;
• sur deux autres, « un cookie Criteo était déposé après que la [CNIL] eut exprimé son refus à ce dépôt ».

Or, CRITEO était, conjointement avec les éditeurs des sites partenaires, responsable des traitements de données réalisés. La société avait donc l’obligation de s’assurer que le consentement était valablement obtenu et ne pouvait pas simplement déléguer contractuellement cette obligation aux éditeurs des sites, d’autant plus que CRITEO « avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires ».

En l’absence d’une preuve de consentement, les données étaient, par conséquent, collectées et traitées illégalement par CRITEO.

Par ailleurs, la Commission française reproche également à CRITEO le manque de clarté des informations relatives aux traitements communiquées :

• les termes utilisés ne permettaient pas de comprendre avec certitude la base juridique utilisée pour justifier les traitements ;
• les finalités des traitements étaient « exprimées dans des termes vagues et larges qui ne permettent pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs » ;
• certaines finalités de traitements n’étaient pas « portées à la connaissance des personnes concernées ».

Enfin, la CNIL reproche également à CRITEO :

• de ne pas avoir communiqué certaines données personnelles aux personnes qui en faisaient la demande ;
• de ne pas avoir expliqué correctement les significations des données communiquées aux personnes ;
• de ne pas avoir supprimé les données des personnes qui en faisaient la demande ;
• de ne pas avoir mentionné certaines clauses obligatoires dans les contrats passés avec ses partenaires, notamment des clauses relatives aux droits des personnes et aux violations de données.

Une amende de 40 millions d’euros a été prononcée contre la société CRITEO, ce qui représente 2 % du chiffre d’affaires^[1] de la société.

Lire :

• La décision n° SAN-2023-009 du 15 juin 2023 concernant la société CRITEO

Ma réaction à cette décision

Cette décision de la CNIL était très attendue, car elle concerne, pour la première fois depuis l’entrée en application du RGPD en 2018 – il y a cinq ans déjà –, une société européenne dont le cœur d’activité est le traitement de données personnelles.

Dès novembre 2018, les associations militantes PRIVACY INTERNATIONAL^[2] et NOYB^[3], avaient pourtant déposé deux plaintes à la CNIL concernant les activités douteuses de CRITEO. Il aura fallu un an pour que la CNIL démarre les investigations et trois autres années pour que la procédure arrive à son terme. Une durée bien trop longue, surtout si l’on prend en compte le nombre de personnes concernées – presque toute la population –, et l’immense volume de données traitées – 35 milliards d’« événements » par jour.

Ce manque de célérité n’est probablement pas un hasard. CRITEO a la particularité d’être une société française, une « pépite de la high-tech française »^[4] même, selon la Banque Publique d’Investissement (BPI), qui a investi dans la société et qui reste, à ce jour, l’un des principaux actionnaires de la société. On peut se demander, au passage, si les ressources publiques devraient êtres investies dans des outils pour mieux ficher les Français, mais revenons-en à la procédure de la CNIL et à son manque de volonté de traiter ce type de dossiers.

La CNIL préfère, de loin, enquêter et sanctionner les méchants GAFAM états-uniens. C’est probablement une façon détournée de les taxer et de donner le sentiment aux Français que la Commission est efficace et stricte. Lorsqu’il s’agit de sanctionner des entreprises situées sur son propre territoire, ce n’est plus la même histoire. La CNIL s’était, par exemple, fait taper sur les doigts par ses homologues européens en voulant protéger le groupe hotelier français ACCOR^[5] et avait été obligée d’émettre une amende à son encontre. Seule une autre Commission européenne a fait l’objet d’une telle procédure, la Commission irlandaise, qui a toujours oeuvré pour protéger les GAFAM installés sur son territoire.

On ne peut pas faire traîner trop longtemps, par contre. Ça finit par se voir. Cette pénible procédure aboutit une sanction de 40 M€, alors que le rapporteur de la CNIL avait suggéré 60 M€. Une « lourde » sanction selon certains, et la seconde plus grosse sanction pour une entreprise européenne^[6]. La réalité est que cette amende représente uniquement 2 % du chiffre d’affaires annuel de CRITEO et que les manquements existent depuis non pas un mais au moins cinq ans. Le pourcentage réel de cette amende est donc plus proche de 0,4 % (en prenant un CA constant). Une goutte d’eau.

Le plus important n’est toutefois pas le montant de l’amende, mais la nature des manquements. Il est reproché à CRITEO l’absence de consentement, alors que la légalité du business de CRITEO repose justement sur l’obtention de ce consentement. CRITEO a donc généré une grande part de son argent à partir de données collectées illégalement. Si l’on part de ce constat, le montant de l’amende devrait être au moins égal aux sommes perçues, avec une amende par dessus. On parlerait alors en milliards, et non en millions, et on se demanderait si ce dossier ne relève pas plus de la DGCCRF que de la CNIL.

Il est également important de noter que la CNIL n’a pas demandé à CRITEO de supprimer les données collectées et traitées illégalement. C’était pourtant la moindre des choses.

Au final, cette sanction confirme deux choses.

Premièrement, le manque de volonté de la CNIL, et des pouvoirs publics, de protéger les données des Français. Le business avant tout. Ils créent de l’emploi après tout (que l’on se passerait bien d’avoir).

Deuxièmement, que les traitements « massifs et intrusifs » réalisés par les sociétés comme CRITEO sont très douteux.

Il est toutefois extrêmement dommage de se rendre compte après-coup que des traitements massifs sont illégaux. Ce même constat avait été fait concernant le lobbyiste publicitaire IAB, dont le président européen n’est nul autre que le DG de CRITEO, et dont le standard utilisé par les bannières de consentement qui inondent la toile avait été jugé illégal^[7]. Ces bannières sont malheureusement toujours là, tout comme les activités de CRITEO ne changeront pas, malgré cette sanction. L’hypocrisie continue.