la Cnil a sanctionné la société Criteo d'une amende de 40 millions d'euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement. La société, basée à Paris mais cotée à New York, collecte les données de navigation des internautes grâce à son traceur ("cookie") implanté sur des sites internet partenaires pour déterminer leurs habitudes, afin de leur transmettre des publicités ciblées.
Cette sanction fait suite à une plainte déposée par les associations britannique Privacy International et None of Your Business, qui visait des entreprises procédant à la collecte à grande échelle de données, dont Criteo. La Cnil avait lancé une enquête en mars 2020.
Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes.
La CNIL a estimé que les données étaient sufisamment précises pour permettre, dans certains cas, de réidentifier les personnes. la CNIL a également pris en compte le modèle économique de la société qui repose exclusivement sur sa capacité à afficher aux internautes les publicités les plus pertinentes pour promouvoir les produits de ses clients annonceurs et donc sur son aptitude à collecter et à traiter une immense quantité de données.
Enfin, la CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire.
Cette sanction fait suite à une plainte déposée par les associations britannique Privacy International et None of Your Business, qui visait des entreprises procédant à la collecte à grande échelle de données, dont Criteo. La Cnil avait lancé une enquête en mars 2020.
Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que le traitement en cause concernait un très grand nombre de personnes (la société dispose de données relatives à environ 370 millions d’identifiants à travers l’Union européenne) et qu’elle collecte une très grande quantité de données relatives aux habitudes de consommation des internautes.
La CNIL a estimé que les données étaient sufisamment précises pour permettre, dans certains cas, de réidentifier les personnes. la CNIL a également pris en compte le modèle économique de la société qui repose exclusivement sur sa capacité à afficher aux internautes les publicités les plus pertinentes pour promouvoir les produits de ses clients annonceurs et donc sur son aptitude à collecter et à traiter une immense quantité de données.
Enfin, la CNIL a considéré que le fait de traiter les données des personnes sans preuve de leur consentement valable a permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc les revenus financiers qu’elle tire de son rôle d’intermédiaire publicitaire.