Dans le dernier coup porté au complexe effrayant des « publicités de suivi », le géant français de la technologie publicitaire Criteo a été reconnu coupable d’infraction à la réglementation de l’Union européenne sur la protection des données et frappé d’une sanction de 60 millions d’euros (~ 65 millions de dollars) par l’organisme national de surveillance de la vie privée du pays dans un décision préliminaire à la suite d’une enquête pluriannuelle.
Le groupe de défense des droits numériques Privacy International, qui a déposé une plainte officielle contre le géant de la technologie de surveillance en 2018, lorsque le règlement général sur la protection des données (RGPD) du bloc est entré en vigueur, tweeté nouvelles de la sanction aujourd’hui.
Il accuse Criteo d’exploiter ce qu’il appelle une « machine de manipulation », via l’application d’une suite de techniques de suivi et de pratiques de traitement des données conçues pour profiler les internautes afin qu’ils puissent être ciblés avec des publicités comportementales et que les annonceurs paient pour des « niveaux individuels ». prédictions des acheteurs ».
La plainte de Privacy International fait valoir que Criteo ne dispose pas de bases juridiques appropriées pour que tout ce suivi et ce profilage soient conformes au RGPD – et il semble que le chien de garde de la France soit d’accord.
Une porte-parole de Privacy International a déclaré ne pas avoir reçu de copie de la décision préliminaire de la CNIL mais avoir été informée de l’évolution par l’organisme de surveillance français suivant la procédure standard de traitement des plaintes.
« La CNIL nous a informés mardi 3 août car elle a l’obligation de tenir les plaignants informés de l’évolution de leurs réclamations. Ce n’est pas encore une décision finale, c’est pourquoi ce n’est pas public », a-t-elle déclaré à TechCrunch. « Ils ne peuvent même pas le partager avec nous. Criteo a maintenant la possibilité de faire des représentations et de mettre en œuvre des mesures correctives, après quoi il y aura une audience, suivie d’une décision finale probablement en 2023. »
Nous avons également contacté la CNIL.
Un dépôt Criteo, en date du 3 août, confirme le constat préliminaire de la CNIL de ce qui est décrit dans le formulaire 8-K/A comme « certaines violations du RGPD, notamment relatives aux relations contractuelles de la Société avec ses annonceurs et éditeurs en matière de surveillance du recueil du consentement ».
«Le rapport comprend une proposition de sanction financière contre la société de 60,0 millions d’euros (65,4 millions de dollars). Dans le cadre des procédures de sanction de la CNIL, Criteo a le droit de répondre par écrit au rapport, à la fois en ce qui concerne les conclusions du RGPD et la valeur de la sanction, à la suite de quoi il y aura une audition formelle devant la Commission des sanctions de la CNIL. La Commission des sanctions de la CNIL rendra alors un projet de décision qui sera soumis pour consultation aux autres autorités européennes de protection des données dans le cadre du mécanisme de coopération mandaté par le RGPD. Toute décision finale sur la résolution et les sanctions financières potentielles n’interviendrait probablement pas avant 2023 », poursuit le dossier de Criteo.
Nous avons contacté Criteo pour obtenir de plus amples commentaires sur la sanction et une porte-parole nous a signalé une déclaration sur son site Web dans laquelle Ryan Damon, son directeur juridique, écrit également :
Nous sommes fortement en désaccord avec les conclusions du rapport de l’enquêteur de la CNIL, tant sur le fond relatif aux affirmations de l’enquêteur de non-conformité au RGPD que sur le quantum de la sanction proposée. Nous estimons que les mérites de ce rapport sont fondamentalement erronés et que les sanctions proposées sont sans commune mesure avec les prétendues actions non conformes. Nous attendons avec impatience la poursuite du dialogue avec la CNIL ainsi que la défense de notre dossier devant l’arbitre ultime d’une décision finale. Criteo continue de respecter les normes de confidentialité les plus élevées et exploite une entreprise mondiale entièrement transparente et conforme à la réglementation. Nous n’aurons pas d’autres commentaires tant que ces procédures en cours ne seront pas résolues.
La CNIL ne semble pas avoir publié de notification de la décision sur son propre site Internet, probablement parce qu’elle est préliminaire. (Bien que les APD de l’UE ne publient pas toujours les décisions non plus.)
Il reste à voir si le chien de garde s’en tiendra à ses armes alors qu’un géant français de l’adtech repousse agressivement ses conclusions.
Mais la décision préliminaire n’est que le dernier coup (en Europe) pour l’écosystème dit de « publicité de surveillance » – qui, au cours des premières années de sommeil réglementaire sur la protection des données, s’est donné pour mission de priver les internautes de leur vie privée dans le but pour optimiser la capacité des annonceurs à manipuler l’attention des individus.
Une série de scandales liés à la vie privée et aux données ont fait prendre conscience de ce que certains critiques appellent la plus grande violation de données de tous les temps, ce qui a conduit à un réveil brutal autour des technologies publicitaires effrayantes et sans consentement. mode opératoirece qui conduit à son tour à un double calcul réglementaire et législatif (même si de nombreuses mesures d’application réelles du RGPD restent à venir).
Plus tôt cette année, la DPA belge a confirmé une conclusion préliminaire antérieure contre l’organisme de l’industrie publicitaire, l’IAB Europe, et sa norme intersectorielle phare pour la collecte des choix des utilisateurs concernant le suivi des publicités, appelée Transparency and Consent Framework/TCF – identifiant une longue liste de RGPD violations et donner à l’IAB un délai strict de six mois pour réformer le cadre afin de le mettre en conformité (bien que les experts en matière de confidentialité aient suggéré qu’une reconfiguration racine et branche de ces systèmes suffirait).
Ces dernières années, la CNIL française a également prononcé des sanctions majeures contre les violations de cookies de suivi – en vertu de la législation ePrivacy du bloc – et plus tôt cette année, Google (l’un des géants de la technologie sanctionnés) a publié une bannière de cookies révisée en Europe qui offre enfin aux utilisateurs un choix clair. pour nier son suivi. Tout à fait la victoire.
Cette année, les législateurs de l’UE ont également convenu d’interdire l’utilisation de données sensibles et de données d’enfants à des fins de publicité ciblée dans les nouvelles réglementations numériques. Alors qu’un jugement rendu cette semaine par le plus haut tribunal du bloc semble sur le point de renforcer cette restriction entrante en cimentant une définition non étroite de ce qui constitue des données sensibles.