Le 15 juin 2023, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (Cnil) a publié la délibération par laquelle elle inflige à la société Criteo une amende administrative s’élevant à 40 millions d’euros au titre de différents manquements au RGPD, malgré les arguments avancés par Criteo lors de son audition devant la formation restreinte afin d’obtenir une minoration de cette sanction pécuniaire.
Criteo est une société spécialisée dans l’affichage de publicités ciblées sur le web. Les traitements mis en œuvre à cette fin nécessitent le suivi des habitudes de navigation des internautes afin d’afficher des annonces personnalisées, grâce aux cookies déposés dans leurs terminaux.
L’association « Privacy International » a saisi a Cnil d’une plainte le 8 novembre 2018, dans laquelle elle soulignait notamment que les traitements de données à caractère personnel réalisés par la société Criteo n’étaient pas conformes à l’article 5, paragraphe 1 du RGPD qui fixe les principes relatifs au traitement des données à caractère personnel.
L’association « None of Your Business » avait, quant à elle, le 4 décembre 2018, adressé une réclamation à la Cnil dans laquelle elle se plaignait du formalisme qui lui avait été imposé par Criteo après qu’elle eut souhaité retirer son consentement et exercé son droit d’opposition au traitement de ses données.
Après un échange de courriers entre Criteo et la Cnil au cours de l’année 2020, un contrôle sur place et un contrôle en ligne ont été diligentés par la Cnil durant cette même année.
A l’issue de l’instruction, le rapporteur de la Cnil proposait à la formation restreinte de prononcer une amende administrative de 60 millions d’euros à l’encontre de Criteo, et de rendre publique la décision.
A la suite de la séance de la formation restreinte s’étant tenue le 16 mars 2023, la délibération de la formation restreinte de la Cnil a été publiée au Journal Officiel le 22 juin 2023 et caractérise les manquements développés ci-dessous.
* *
*
1. Manquement à l’obligation de démontrer que la personne concernée a donné son consentement au traitement de ses données à caractère personnel
L’article 6, paragraphe 1 du RGPD dispose que « le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques; (…) ».
Le rapporteur de la Cnil constate qu’aucune mesure n’avait été mise en œuvre par Criteo pour s’assurer qu’elle traitait uniquement les données à caractère personnel des personnes pour lesquelles le consentement à un tel traitement avait été recueilli.
En réponse, Criteo invoquait l’arrêt « Fashion ID » rendu par la Cour de justice de l’Union européenne le 29 juillet 2019 et faisait valoir que ses partenaires (qui avaient la qualité de responsables conjoints de traitement) étaient les mieux placés pour collecter le consentement des personnes concernées puisque le cookie Criteo était déposé dans le terminal des internautes lors de leur navigation sur les sites web des partenaires.
Les différents accords conclus avec ses partenaires en vertu de l’article 26 du RGPD imposaient d’ailleurs à ces derniers cette obligation.
Criteo indiquait également avoir procédé à différents audits auprès de ses partenaires et futurs partenaires, ayant notamment permis d’apprécier la présence d’une bannière cookies et d’une politique de confidentialité sur leurs sites internet.
La formation restreinte relève que Criteo lui avait indiqué, dans sa réponse à un questionnaire daté de janvier 2020, que tous les traitements réalisés en Europe dans le cadre de ses services étaient « basés sur le consentement de l’utilisateur ». La politique de confidentialité de la société mentionnait également le consentement comme base légale applicable pour les finalités d’affichage de publicités personnalisées.
Elle estime ensuite que le fait que la collecte du consentement des internautes revienne aux partenaires n’exonère aucunement Criteo de son obligation de démontrer que la personne concernée a donné son consentement, conformément à l’article 7 du RGPD.
La formation restreinte écarte également l’application de l’arrêt « Fashion ID » de la CJUE.
Au surplus, la formation restreinte de la Cnil relève que sur sept sites partenaires analysés lors des vérifications en ligne et du contrôle sur place, elle a constaté le dépôt d’un cookie Criteo sur le terminal utilisé sans la moindre action de la part du visiteur. Sur trois sites, l’internaute n’avait d’autre possibilité pour refuser les cookies que de paramétrer son navigateur, ce qui ne constitue pas un mécanisme valable de refus du consentement. Deux autres sites ne comportaient aucun dispositif permettant de recueillir le consentement au dépôt de cookies.
Criteo avait, lors de ses observations orales devant la formation restreinte, critiqué le nombre de sites visités par la Cnil qu’elle estimait insuffisant. La formation restreinte balaye cet argument en estimant « qu’il peut être raisonnablement inféré des constatations précitées qu’à la date des contrôles, la société traitait un volume important de données de navigation pour lesquelles les internautes n’avaient pas donné un consentement valable ».
Enfin, la formation restreinte de la Cnil relève qu’à la date de la procédure de contrôle, aucune mesure qui aurait permis de considérer sa conformité avec l’article 7, paragraphe 1 du RGPD n’avait été mise en œuvre par Criteo (cf. clause spécifique portant sur la preuve du consentement dans les conditions générales d’utilisation, notamment).
Si Criteo s’est, depuis, mise en conformité avec les exigences de ce texte, comme le relève la formation restreinte de la Cnil, cette dernière souligne que cette mise en conformité tardive n’a pas d’incidence sur le fait que des données à caractère personnel ont été traitées sans que le recueil du consentement valable des personnes concernées puisse être démontré.
Un manquement à l’article 7, paragraphe 1 du RGPD est donc caractérisé.
2. Manquement aux obligations d’information et de transparence
L’article 12 du RGPD impose au responsable de traitement de prendre les mesures appropriées pour fournir les informations visées aux articles 13 et 14 du règlement à la personne concernée, parmi lesquelles l’identité et les coordonnées du responsable du traitement, les finalités du traitement, les destinataires de données à caractère personnel, des informations sur les transferts hors Union européenne des données,…
Le rapporteur de la Cnil relève une information incomplète transmise aux personnes concernées car la politique de confidentialité ne renseignait pas toutes les finalités du traitement, ainsi qu’un manque de clarté sur la base juridique applicable au traitement telle qu’indiquée dans les conditions générales d’utilisation des services de Criteo et qui différait en fonction du pays. Les finalités indiquées dans la politique de confidentialité étaient également exprimées dans des termes vagues et larges, ne permettant pas à l’utilisateur de comprendre précisément quelles données étaient utilisées, et pour quel objectif.
Criteo réfutait le manquement à l’article 13 du RGPD portant sur les informations devant être communiquées à la personne concernée lorsque les données sont collectées directement auprès d’elle, et soutenait que la collecte des données via ses cookies constituait une collecte indirecte.
La formation restreinte, au contraire, considère que les données sont directement collectées par Criteo, dès lors que les requêtes du cookie Criteo qui permettent à la société de savoir qu’un internaute arrive sur la page d’accueil d’un site partenaire, se connecte à un compte, clique sur une page,… sont directement adressées à ses serveurs, et que Criteo aurait dû procéder à une information complète à l’égard des personnes concernées.
Criteo a, depuis les contrôles, modifié sa politique de confidentialité pour la mettre en conformité.
La formation restreinte en prend acte, mais caractérise un manquement aux articles 12 et 13 du RGPD.
3. Manquement à l’obligation de respecter le droit d’accès des personnes concernées
L’article 15 du RGPD donne le droit à la personne concernée d’accéder à ses données à caractère personnel traitées par le responsable du traitement.
Lorsqu’une personne formulait une demande de droit d’accès à Criteo, la société lui fournissait des données extraites de trois tables de données :
- l’une stockant les données liées aux évènements de l’annonceur ;
- l’autre stockant toutes les données nécessaires à l’affichage d’une publicité à l’utilisateur (pays de l’internaute, données liées à l’annonceur ou encore version du système d’exploitation de l’appareil utilisé par le visiteur) ;
- la dernière stockant toutes les données liées aux interactions d’un utilisateur avec les bannières publicitaires.
Le rapporteur considère que la réponse de Criteo aux demandes de d’accès n’était que partielle et qu’elle aurait dû également comprendre les données figurant dans trois autres tables :
- deux tables contenant les informations permettant d’associer des identifiants Criteo différents à un même utilisateur ;
- la dernière table contenant des informations sur les évènements relatifs au protocole d’enchères en ligne.
Le rapporteur relève également le caractère non intelligible de l’information fournie à l’utilisateur : une description sommaire de l’objectif de chaque table, sans explication sur l’objectif de ses colonnes, ni de leur contenu.
Criteo justifie la communication de trois tables de données sur les six composant sa base de données, et indique dorénavant communiquer cinq des six tables en sa possession lorsqu’une demande d’accès lui est formulée.
Elle ajoute avoir renforcé les explications données à la personne concernée en listant la nature des données traitées, pour chaque table, et en fournissant une description et des exemples de données transmis avec sa réponse à la demande d’accès.
La formation restreinte considère que Criteo n’avait pas à communiquer les données de l’une des tables qui aurait pu porter atteinte aux droits des tiers n’ayant pas formulé de demande d’accès, et considère que les informations supplémentaires permettent à l’utilisateur de mieux comprendre les informations qui lui sont communiquées.
Néanmoins, elle relève que les explications de la société ne justifient pas la non-communication des données de deux tables et du manque d’explications fournies à la personne concernée, qui la plaçait dans une situation d’incertitude quant à la nature des données traitées la concernant.
Un manquement aux articles 12 et 15 du RGPD est donc caractérisé.
4. Manquement à l’obligation de respecter le droit de retrait du consentement et d’effacement des données
L’article 7, paragraphe 3 du RGPD permet à la personne concernée de retirer son consentement au traitement de ses données à caractère personnel, à tout moment.
L’article 17, paragraphe 1 du règlement lui permet d’obtenir l’effacement des données la concernant par le responsable de traitement lorsqu’elle a, notamment, retiré le consentement sur lequel était fondé le traitement, ou lorsque ses données ont fait l’objet d’un traitement illicite.
Criteo permettait aux personnes souhaitant retirer leur consentement au traitement de leurs données d’exprimer leur refus en cliquant sur un bouton « Désactiver les services Criteo », dans la politique de confidentialité se trouvant sur son site criteo.com. Un cookie d’opt-out était alors déposé pour éviter le dépôt ultérieur de nouveaux cookies, ainsi que l’affichage de publicités personnalisées.
Cependant, la société ne supprimait pas de ses tables de données l’identifiant de la personne à l’origine de la demande d’opposition ou d’effacement. Elle précisait néanmoins que la procédure de désactivation rend impossible la réconciliation des évènements liés à l’identifiant de l’utilisateur à l’origine de la demande avec les autres identifiants éventuels qui lui sont liés.
Le rapporteur considère que Criteo contredit les exigences de l’article 17 du RGPD en ne supprimant pas l’identifiant de la personne et en n’effaçant pas les évènements de navigation liés à cet identifiant, alors qu’elle est en capacité technique de le faire.
La société avait tenté de justifier la conservation de ces données par leur nécessité pour des finalités ultérieures fondées sur son intérêt légitime en tant que responsable du traitement.
La formation restreinte de la Cnil en conclut toutefois que la société se borne à mettre un terme à l’affichage de publicités personnalisées dans le terminal de l’utilisateur à l’origine de la demande, sans procéder à une suppression effective des données le concernant.
Elle ajoute que Criteo n’étant pas en mesure de s’assurer que la personne concernée avait bien consenti au traitement de ses données, elle ne pouvait pas continuer à traiter ses données pour des finalités ultérieures fondées sur l’intérêt légitime. Elle aurait donc dû procéder à l’effacement effectif des données traitées, et ne pas se limiter à interrompre l’affichage des publicités personnalisées.
La formation restreinte souligne également le volume important de données provenant de cookies déposés avant toute manifestation de volonté de l’internaute voire, pour certaines, alors qu’il avait exprimé son refus.
Un manquement aux articles 7 et 17 du RGPD est donc caractérisé.
5. Manquement à l’obligation de prévoir un accord entre responsables conjoints du traitement
L’article 26 du RGPD impose aux responsables conjoints de traitement de définir leurs obligations respectives dans un accord conclu entre eux.
Le rapporteur relève que Criteo avait bien conclu avec ses partenaires responsables conjoints de traitement (cf. ses partenaires) un accord contenant une description des traitements objets de la responsabilité conjointe, et du rôle de chacun à leur égard. Toutefois, cet accord n’était pas conforme au RGPD.
La formation restreinte de la Cnil considère en effet que l’accord doit couvrir l’ensemble des obligations prévues par le RGPD afin de déterminer quelle obligation incombera à chaque responsable du traitement. Or, certaines obligations n’étaient pas précisées dans l’accord conclu entre Criteo et ses partenaires.
Bien que Criteo ait, depuis, signé avec ses partenaires un nouvel accord reprenant les mentions attendues au titre de l’article 26 du RGPD, la formation restreinte considère que cette conformité tardive n’exonère pas la société de son manquement passé.
Un manquement à l’article 26 est donc caractérisé.
6. Sur le montant de l’amende administrative
Les observations orales formulées par Criteo devant la formation restreinte de la Cnil s’étaient attardées sur la démonstration, selon la société, de la disproportion de la proposition d’amende administrative formulée par le rapporteur et s’élevant à 60 millions d’euros.
Dans sa délibération, la formation restreinte rappelle qu’elle tient compte, pour évaluer l’opportunité de prononcer une amende administrative et évaluer son montant, des critères précisés à l’article 83 du RGPD tels que la nature, la gravité et la durée de la violation, le nombre de personnes concernées, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle, les catégories de données à caractère personnel concernées par la violation et les avantages financiers obtenus du fait du manquement.
Elle constate alors la gravité des manquements reprochés à Criteo :
- la société ne pouvait pas démontrer le consentement des personnes concernées au traitement de leurs données à caractère personnel et des cookies étaient déposés dans leur terminal sans leur consentement ;
- le traitement était réalisé à très grande échelle et revêtait un caractère massif et intrusif ;
- une quantité importante de données étaient collectées, permettant d’établir une image précise des habitudes de consommation des internautes, de leurs préférences ou de leurs préoccupations (Criteo revendiquait sur son site web collecter 35 milliards d’évènements par jour liés à la navigation et aux achats en ligne dans le monde) ;
- les données collectées, bien que faiblement identifiantes prises isolément, pouvaient révéler de nombreux aspects de l’intimité des personnes concernées une fois combinées (ex : genre, âge, habitudes de consommation), faisant du traitement en cause un traitement massif et intrusif ;
- Criteo annonçait disposer de données relatives à environ 370 millions d’identifiants utilisateurs à travers l’Union européenne, dont 50 millions en France ;
- le manque d’information des personnes a engendré une perte de contrôle sur leurs données ;
- les manquements relatifs au traitement des demandes de droit d’accès, de retrait du consentement et d’effacement ont conduit à ce que les personnes concernées pensent que leurs demandes étaient correctement traitées, alors que Criteo conservait ces données et les utilisait pour d’autres finalités ;
- la non-conformité de l’accord conclu avec ses partenaires responsables conjoints de traitement a privé les personnes concernées de la pleine protection de leurs données, telle qu’offerte par le RGPD.
Eu égard au modèle économique de Criteo reposant exclusivement sur sa capacité à afficher aux internautes des publicités pertinentes promouvant les produits de ses clients et pour lequel le traitement d’un nombre massif de données était nécessaire, la formation restreinte de la Cnil considère que les données collectées et traitées sans consentement valable des personnes ont permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements, et donc ses revenus financiers.
Sur le montant de l’amende, la formation restreinte considère qu’un montant de 40 millions d’euros apparait justifié au regard des capacités financières de Criteo et des critères de l’article 83, paragraphe 2 du RGPD. Elle relève également que, bien que ce montant constitue près de 2% du chiffre d’affaires de Criteo, il demeure inférieur au plafond de 4% prévu par le RGPD (article 83, paragraphe 5) et par la loi Informatique et Libertés (article 20, paragraphe III, 7°).
La formation restreinte prononce également la publicité de la décision, eu égard à la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées.
Elle relève également que cette mesure permettra d’informer les personnes concernées de l’existence du traitement mis en œuvre par Criteo. Elles pourront alors, si elles le souhaitent, faire valoir leurs droits auprès de la société.
Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.
* *
*
Deux aspects de cette délibération sont particulièrement intéressants.
Tout d’abord, en réponse aux observations orales formulées par Criteo lors de la séance de la formation restreinte, cette dernière énumère précisément les raisons l’ayant conduite à adopter une sanction d’un montant aussi élevé.
Ensuite, cette délibération, au-delà d’un rappel des obligations essentielles pesant sur un responsable du traitement (recueil du consentement valable des personnes concernées préalable au traitement, respect et gestion des demandes d’exercice de droits des personnes, information complète de la personne concernée,…) permet à la formation restreinte de la Cnil de souligner que la responsabilité conjointe ne permet pas à l’un des responsables du traitement de se décharger de ses obligations pour les mettre à la charge de son responsable conjoint.
L’accord conclu entre les responsables conjoint doit, notamment, comprendre une véritable obligation de mise à disposition des éléments permettant de prouver le recueil d’un consentement valable de la personne concernée, au profit de l’autre partie.
En effet, l’accord unissant les responsables conjoints ne décharge pas la partie qui n’a pas la charge du recueil du consentement de son obligation de vérifier et de pouvoir démontrer que les internautes ont valablement consenti au traitement.
Par cette délibération, la formation restreinte de la Cnil rappelle le caractère véritablement conjoint de l’action des responsables du traitement, comme de leurs obligations.
Le pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel (ex : information sur les supports de collecte des données, procédures de gestion d’exercice de leurs droits par les personnes concernées,…), et en matière de mise en conformité de vos usages en matière de cookies (et autres traceurs ou technologies similaires).
Par AGIL’IT – Pôle IT, Data & Sécurité
Laure LANDES-GRONOWSKI, Avocate associée
Kassandra BERTRAND-BOURDON, Avocate