La société de pistage en ligne CRITEO sanctionnée à hauteur de 40 millions d'euros en France

La CNIL a aujourd'hui prononcé une sévère sanction contre Criteo, une des plus grandes sociétés françaises de pistage et publicité en ligne. Le montant de l'amende a été réduit de 60 à 40 millions d'euros depuis l'audience qui s'est tenue à la CNIL en Mars 2023, durant laquelle Criteo avait mis en avant son bénéfice net de 10 millions d'euros en 2022 pour plaider en faveur d'une réduction de sa peine. La CNIL semble avoir entendu ces arguments, mais a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD. La sanction fait suite à une plainte déposée par Privacy International en Novembre 2018.

Privacy International se félicite de cette sanction, qui met en cause le système de surveillance généralisée dont les sociétés de l'AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles. Un des manquements les plus sérieux retenus par la CNIL est notamment l'incapacité de Criteo à s'assurer que les utilisateurs de ses 40,000 sites partenaires avaient bien donné leur consentement au traçage de leurs activités en ligne et à la récolte et au partage massif de leurs données à des fins publicitaires.

Criteo entend faire appel de la décision, citant un désalignement de la décision "avec la pratique générale du marché sur ces questions." Nous considérons cet argument absurde - ce n'est pas parce que tout le monde fait quelque chose de mal qu'il faut faire pareil, et la correction de pratiques répandues mais illégales doit bien commencer quelque part. Ce n'est d'ailleurs pas la première fois qu'une pratique répandue à l'échelle de l'industrie est mise en cause - la décision de l'autorité belge contre IAB Europe a invalidé le mécanisme de consentement utilisé par des milliers de sites.

Eliot Bendinelli, directeur de programme chez Privacy International, a déclaré:

L'industrie publicitaire en ligne et tous les acteurs qui gravitent autour doivent aujourd'hui ouvrir les yeux: la surveillance publicitaire n'est pas compatible avec la vie privée. Criteo est la preuve que nous ne pouvons pas faire confiance à une industrie qui a eu 5 ans pour s'adapter au RGPD et se montre capable de faire le minimum pour ses utilisateurs en recueillant leur consentement. Il est temps pour les publicitaires et investisseurs de reconsidérer cette industrie à la lumière des infractions sur lesquelles elle s'est construite.

Lucie Audibert, avocate à Privacy International, déclare:

Cette sanction est un signal fort pour les milliers d'acteurs de l'AdTech. Ils ont depuis des années construit des chaînes de production et de partage de données personnelles complètement démesurées, sans chercher à s'assurer que les individus qu'ils manipulent ont bien consenti à ce que leurs informations privées soient marchandées sans limites. Criteo étant un acteur central de cette industrie, tout l'écosystème européen va devoir réviser ses pratiques en profondeur - après quelques années de flou, les dents du RGPD commencent à s'affûter contre les pratiques qui se moquent de notre droit à la vie privée.

À une époque où toutes les inquiétudes se tournent vers l'intelligence artificielle (IA), et où le RGPD semble déjà ancien, il est important de rappeler que tous les systèmes d'apprentissage des technologies de l'IA ont été construits sur des bases colossales de données récoltées avec plus ou moins de scrupules. La qualité des systèmes d'IA dépend à 99% des données qui les ont nourris. Les problématiques en question dans le cas de Criteo, quant au consentement, à la licéité et la qualité des données, sont donc tout aussi importantes que les nouveaux projets de loi sur l'IA pour réguler ces systèmes.