Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Criteo, 15 juin 2023

Résumé des faits

Des contrôles ont été réalisés par la CNIL auprès de la société Criteo à la suite de plaintes déposées par les associations Privacy International et None of Your Business, et plusieurs manquements ont été constatés à la règlementation sur les données personnelles.

La société Criteo a ainsi été sanctionnée d’une amende publique d’un montant de 40 millions d’euros pour non-respect notamment des règles sur le consentement, sur l’information et les droits des personnes.

Cette sanction a été approuvée par les 29 autorités de contrôle européennes concernées par ce dossier transfrontalier auxquelles elle a été transmise en application du guichet unique.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 7.1 du RGPD

Pas possibilité de démontrer la collecte du consentement.

  • Non-respect de l’art. 12 du RGPD

Présentation non conforme des informations.

  • Non-respect de l’art. 13 du RGPD

Informations insuffisantes mises à disposition des personnes.

  • Non-respect de l’art. 15.1 du RGPD

Réponse partielle aux demandes d’accès aux données.

  • Non-respect de l’art. 7.3 du RGPD

Pas possibilité de retirer le consentement.

  • Non-respect de l’art. 17.1 du RGPD

Absence de gestion conforme des demandes d’effacement.

  • Non-respect de l’art. 26 du RGPD

Absence d’accord conforme entre responsables conjoints de traitement.

Que retenir de la décision ?

  • Un organisme collectant des données permettant de faciliter la réidentification des personnes doit respecter les exigences sur le traitement de données personnelles, et ce même s’il ne dispose pas directement de l’identité des personnes auxquelles sont liés les terminaux de connexion.
  • Seule une véritable anonymisation des données traitées permettant de faire perdre aux données leur caractère personnel et donc ne plus réidentifier la personne peut faire échapper le traitement aux exigences du RGPD.
  • Les responsables conjoints sont tenus de s’assurer de leur respect mutuel du RGPD et d’organiser entre eux la manière de répondre aux droits des personnes.
  • Bien que la collecte du consentement des personnes est à la charge des partenaires, l’organisme doit pouvoir démontrer que la personne concernée a effectivement donné son consentement.
  • Une clause imposant que la politique de confidentialité des sites des partenaires inclut « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permet pas à elle seule de garantir l’existence d’un consentement valide. Une précision sur la preuve du consentement doit en plus être incluse selon laquelle le partenaire s’engage à fournir à l’organisme, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenue par le partenaire.
  • La formulation sur la base juridique utilisée ne doit pas créer une incertitude quant à la base juridique du traitement et doit permettre à l’utilisateur de comprendre sur quelle base juridique se base le traitement de leurs données.
  • Les finalités du traitement ne doivent pas être présentées en des termes vagues et doivent permettre à l’utilisateur de comprendre dans le cadre de quels objectifs ses données sont utilisées.
  • Les informations mises à disposition de l’utilisateur ne doivent pas contenir une description approximative, contradictoire ou erronée pouvant entrainer une perte de contrôle des personnes de leurs données.
  • La réponse à une demande d’accès ne doit pas placer l’utilisateur dans l’incertitude quant à la nature des données traitées le concernant.
  • Une demande d’accès formulée par l’utilisateur implique que l’organisme communique l’intégralité des données personnelles le concernant et qu’il mette à sa disposition la documentation permettant de comprendre les données qui lui sont communiquées.
  • Une simple interruption de l’affichage de publicités personnalisées dans le terminal d’une personne ayant exercé son droit à l’effacement ne suffit pas et un effacement effectif des données relatives à la personne doit avoir lieu.
  • Les responsables conjoints de traitement sont tenus de conclure un accord explicitant les responsabilités de chacun.
  • L’acte de répartition des obligations des responsables conjoints du traitement doit comporter l’ensemble des obligations prévues par la règlementation pour déterminer pour chacune des obligations lequel des responsables conjoints du traitement en aura la charge.

Le + DLD

  • Lors du prononcé d’une amende, la CNIL tient compte notamment de la nature, de la gravité et de la durée de la violation, du nombre des personnes concernées, des mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, du degré de coopération avec l’autorité de contrôle, des catégories de données à caractère personnel concernées par la violation et des avantages financiers obtenus du fait du manquement.
  • Pour déterminer le montant de l’amende, la CNIL prend en compte notamment de la situation financière de la société et de l’avantage financier tiré des manquements.
  • Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement, et du nombre de personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi