S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Le Conseil d’État déboute Criteo et confirme l’amende de 40 millions d’euros de la CNIL

Le 05 mars à 12h35

Dans une décision prise ce mercredi 4 mars, le Conseil d’État a rejeté la demande de Criteo d’annuler l’amende de 40 millions d’euros que lui a infligée la CNIL en 2023.

L’autorité avait sanctionné Criteo pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Elle avait cependant réduit le montant de l’amende d’un tiers par rapport à ce que proposait son rapporteur.

L’entreprise a porté cette décision devant le Conseil d’État, considérant notamment qu’elle se basait sur des déclarations obtenues sans qu’il soit indiqué au représentant légal interrogé le droit de se taire. Pour le Conseil d’État, « le droit de se taire ne s’applique pas lors des contrôles ou enquêtes » de la CNIL pour les vérifications « diligentées antérieurement à la notification des griefs ».

Le Conseil d’État a aussi rejeté l’argument de l’entreprise qui considérait avoir pseudonymisé les données concernées. Il explique « qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ».

Criteo a fait valoir « que les données qu’elle traite n’ont pas le caractère de données personnelles, au motif qu’elle attribue à chaque personne dont elle collecte les données un identifiant sous forme de pseudonyme, lié à l’adresse IP du terminal ».

Mais le Conseil d’État souligne qu’après instruction, le constat est que « sont notamment associés à cet identifiant, non seulement l’adresse IP elle-même, mais des données telles que l’emplacement géographique lié à cette adresse IP, l’identifiant du terminal, les identifiants, propres aux partenaires de Criteo, des personnes se rendant sur le site de ces partenaires, ainsi que de très nombreux éléments liés à l’activité de navigation de ces personnes, comme les sites visités, les achats faits, les publicités consultées et celles ayant donné lieu à un achat ».

Le 05 mars à 12h35

Commentaires (3)

votre avatar
sont notamment associés à cet identifiant, non seulement l’adresse IP elle-même
Je suis curieux, vous avez lu ça où ? Je ne le vois pas dans le lien donné en introduction.

J'ai bossé à Criteo jusqu'en 2020, et à l'époque l'adresse IP était anonymisée (justement pour éviter les soucis avec la CNIL). Si mes souvenirs sont bons, seuls les deux premiers nombres étaient gardés (255.255.x.x). Mais ça a pu changer depuis.

Ou alors ils veulent dire que même tronquée, l'adresse IP devient identifiante quand elle est combinée avec les autres informations.
votre avatar
Je me suis trompé de lien dans l'édition, la décision est ici (lien corrigé dans le brief)
votre avatar
Le lien vers la décision était mauvais (il pointait vers une décision de 2025), il a été corrigé après que je l'ai signalé.