Amende CNIL Critéo : le Conseil d’État confirme 40 M€ Le Conseil d’État confirme l’amende CNIL de 40 M€ contre Criteo pour non-respect du RGPD.
Le Conseil d’État a rejeté la requête déposée par Criteo visant à annuler l’amende CNIL de 40 millions d’euros infligée en 2023 pour des violations du RGPD, notamment sur le consentement, l’information et le droit d’accès des personnes concernées. Cette décision maintient une sanction lourde, même si l’autorité a initialement réduit le montant par rapport à l’estimation du rapporteur.
La décision du Conseil d’État et le cadre juridique
Dans une décision rendue le mercredi 4 mars, le Conseil d’État confirme que l’affaire porte bien sur des manquements au RGPD commis par Criteo. La CNIL avait SANCTIONNÉ Criteo sur plusieurs volets et avait ramené le montant de l’amende d’un tiers par rapport à ce que proposait le rapporteur. Le point central reste le respect des droits des personnes et la transparence des traitements utilisés par l’entreprise dans le cadre de la publicité en ligne.
Les arguments de Criteo et la réponse du Conseil
Criteo avait avancé plusieurs motifs pour annuler la sanction, notamment que des déclarations recueillies lors des contrôles ne mentionnaient pas le droit de se taire du représentant légal. Le Conseil d’État répond que
« le droit de se taire ne s’applique pas lors des contrôles ou enquêtes de la CNIL pour les vérifications diligentées antérieurement à la notification des griefs ».
Sur la question de la pseudonymisation, le Conseil rappelle qu’une donnée ne peut être considérée comme anonymisée que si le risque d’identification est insignifiant et qu’elle serait irréalisable en pratique sans un effort démesuré en temps, coût et main-d’œuvre. Critéo soutenait que les données traitées n’étaient pas des données personnelles, arguant qu’un identifiant pseudonymisé est lié à l’adresse IP du terminal. Le Conseil d’État précise toutefois que l’identifiant est associé non seulement à l’adresse IP, mais aussi à l’emplacement géographique, à l’identifiant du terminal, aux identifiants des partenaires et à de nombreux éléments relatifs à l’activité de navigation et aux achats, ce qui permet d’identifier potentiellement une personne dans le cadre du RGPD.
Ce que cela change pour Criteo et pour le RGPD
Cette décision signifie que l’amende demeure et que les éléments constitutifs des violations du RGPD sont confirmés par le juge administratif. Elle rappelle aussi les limites de la pseudonymisation lorsqu’elle ne couvre pas l’ensemble des éléments permettant d’identifier une personne. Pour Criteo, cela renforce l’exigence d’un cadre de conformité renforcé autour du consentement, de l’information fournie aux utilisateurs et des mécanismes d’accès et de rectification des données.
Contexte et limites
Le cas Criteo illustre les limites pratiques de la pseudonymisation et la nécessité d’une preuve robuste du consentement des utilisateurs. L’affaire, centrée sur une sanction administrative, ne précise pas les répercussions pénales ni les effets sur les partenaires de Criteo, mais elle envoie un signal clair sur la vigilance que doit exercer l’écosystème publicitaire autour des données personnelles et du RGPD.
Pour terminer
En pratique, cette décision rappelle que les contrôles CNIL s’appuient souvent sur des éléments collectés au cours des enquêtes et que les entreprises doivent maintenir une traçabilité et une transparence exemplaires dans le traitement des données personnelles, sous peine de sanction élevée et durable.
