La Cnil, garante de la vie privée des Français, a infligé une amende de 40 millions d'euros à Criteo. La société de publicité sur Internet est accusée de ne pas avoir respecté le RGPD (règlement général sur la protection des données).

Lire aussiRGPD : 5 milliards d'euros d'amendes en cinq ans, mais pour quels résultats ?

Plusieurs infractions au RGPD

La Cnil relève un « manquement relatif à l'information des personnes » et souligne qu'il a engendré « une perte de contrôle des internautes sur leurs données dans la mesure où la société n'a pas mis à leur disposition une information complète et compréhensible ».

Concernant l'exercice des droits d'accès, de retrait du consentement et d'effacement, elle met en avant « leur caractère structurel et leur gravité en ce que les mesures déployées par la société conduisent non seulement à ce que les demandes des personnes soient incorrectement traitées, mais aussi à ce que ces dernières pensent légitimement que leur demande a bien été respectée ».

La commission « rappelle également que la prise en compte par la société d'une demande d'effacement a pour unique effet d'arrêter l'affichage de publicités personnalisées, la société continuant par ailleurs à conserver les données de la personne à l'origine de la demande, et même à les utiliser pour d'autres finalités ».

Un processus de plusieurs années

En 2018, Privacy International avait déposé une plainte contre sept entreprises, dont Criteo, procédant à la collecte de données à grande échelle. La Cnil avait ensuite ouvert une enquête en 2020, reprochant à Criteo d'avoir enfreint le règlement de l'UE sur la protection des données personnelles (RGPD), concernant le « reciblage publicitaire » à des fins d'affichage de publicité personnalisée, qui ne permet pas une anonymisation des personnes. En août 2022, le rapporteur de la Cnil (Commission nationale de l'informatique et des Libertés) avait proposé une sanction de 60 millions d'euros.

Lire aussiMarie-Laure Denis (Cnil) : « Le RGPD est une illustration concrète de la troisième voie européenne face aux Etats-Unis et à la Chine »

Criteo conserve ses estimations de croissance

Fondée en 2005, Criteo comptait environ 3.000 employés en 2022. Son chiffre d'affaires global était d'environ 1,9 milliard d'euros pour un résultat net d'une dizaine de millions d'euros. Début mai, la société avait maintenu ses prévisions annuelles qui annonçaient une croissance de 10% de ses recettes ex-TAC (hors reversements aux partenaires) à taux de change constants. Cet indicateur s'est élevé à 6% sur le trimestre.

Amendes récentes pour infraction au RGPD

Le RGPD est entré en vigueur dans l'Union européenne en mai 2018. Ce règlement prévoit des amendes pouvant aller jusqu'à 20 millions d'euros ou 4% de chiffre d'affaires mondial d'une entreprise. Et certaines sociétés en ont déjà fait les frais.

Début 2019, Google avait été condamnée par la Cnil à une amende de 50 millions d'euros, sur la base de quatre articles du RGPD, pour manque de transparence sur son système d'exploitation mobile Android. En 2021, l'autorité de protection des données du Luxembourg avait annoncé une amende record de 746 millions d'euros à l'encontre d'Amazon Europe pour la mise en place d'un ciblage publicitaire réalisé sans consentement.

Plus récemment, c'est Meta qui a été condamnée pour non-respect des règles européennes sur la protection des données. En mai, la maison mère de Facebook s'est vu infliger une amende de 1,2 milliard d'euros du régulateur irlandais. Il s'agit de l'amende la plus élevée jamais infligée en Europe pour ce type d'infractions.

(Avec AFP)