La société française spécialisée dans la publicité ciblée CRITEO a été sanctionnée par la CNIL d’une amende de 40 millions d’euros pour de nombreux manquements au RGPD.

La Commission reproche à la société :

  • d’avoir collecté, via des sites « partenaires », des données, dont les adresses des page visitées, des articles consultés ou des produits achetés, sur des personnes sans obtenir un consentement de leur part ;
  • d’avoir expliqué les traitements effectués avec des termes « insuffisamment clairs et précis » ;
  • de n’avoir pas communiqué l’ensemble des données personnelles aux personnes qui en faisaient la demande ;
  • de n’avoir pas supprimé les données personnelles des personnes qui en faisaient la demande.
  • de ne pas avoir mentionné dans les contrats passés avec les sites « partenaires » certaines mentions obligatoires.

La CNIL a considéré, comme facteur aggravant, le fait que ces manquements ont permis à la société CRITEO d’en tirer un avantage financier et le fait que les traitements concernent un énorme volume de données et un très grand nombre de personnes.

« En ce qui concerne le nombre de personnes concernées par le traitement en cause, la formation restreinte relève que la société annonce disposer de données relatives à environ 370 millions d’identifiants utilisateurs à travers l’Union européenne, dont environ 50 millions d’identifiants sur le seul territoire français. Si une seule et même personne est susceptible de correspondre à plusieurs identifiants, ces chiffres révèlent la quantité substantielle de données collectées par la société. »

— CNIL, Délibération concernant Critéo, §163

Lire :

Sigles et acronymes
  • RGPD : Règlement Général sur la Protection des Données
  • CNIL : Commission Nationale de l'Informatique et des Libertés