Le spécialiste français du ciblage publicitaire sur internet Criteo a assuré jeudi que les violations aux règles sur les données personnelles qui lui sont reprochées ne sont pas de son fait et n’ont entrainé aucune conséquence dommageable pour les personnes, lors d’une audience publique devant la Cnil.
Le gendarme français des données personnelles avait été saisi de plaintes visant les pratiques de Criteo dès 2018, l’année de l’entrée en vigueur en Europe du Règlement général sur les données personnelles (RGPD). L’entreprise utilise des traceurs, dont des cookies, pour suivre la navigation des internautes et leur proposer des publicités ciblées. Elle assure aujourd’hui disposer du «plus grand ensemble de données ouvertes sur les acheteurs au monde», avec plus de 2 milliards d’identifiants.
Lors de contrôles en 2020, les services d’instruction de la Cnil ont relevé 5 manquements au RGPD, notamment sur l’obligation de pouvoir démontrer que les internautes ont bien consenti à l’utilisation de leurs données personnelles. Criteo affirme pourtant ne posséder aucune adresse email, numéro de téléphone, adresse IP, ou information permettant d’identifier directement une personne, mais seulement des versions encodées de ces données. «Si la société (Criteo) ne dispose pas directement de l’identité de la personne physique, j’estime toujours que le risque de ré-identification des personnes est bien plus élevé que ce que la société prétend», a déclaré en retour le rapporteur de la Commission lors de l’audience. «Les données pseudonymisées restent des données à caractère personnel», a-t-il insisté, et celles-ci pourraient être exploitées par un «attaquant extérieur» qui accéderait aux données de la société. Sur le recueil du consentement, «il n’appartient pas à Criteo de vérifier le respect de la loi par ses partenaires, c’est une mission qui incombe à la Cnil», ont défendu les avocats de la société, soulignant le fait que l’institution n’avait rien reproché aux éditeurs visés par les contrôles.
Ceux-ci sont «les mieux placés» pour obtenir le consentement, estime l’entreprise, pourtant «responsable conjointement» du traitement de données. Surtout, l’avocat Yann Padova, ex-secrétaire général de la Cnil et représentant en France du lobby de la publicité en ligne IAPP, a vivement contesté lors de l’audience que les traitements de données reprochés aient eu pour conséquence de «contrôler ou d’avoir des effets négatifs sur les personnes», une position selon lui «politique» et anti-pub du rapporteur.
«Nous estimons que les allégations formulées par le rapporteur de la Cnil ne renvoient aaucun risque pour les particuliers et les citoyens, ni à aucun dommage causé à ces derniers», a appuyé l’entreprise dans un communiqué jeudi soir. Criteo, dont le modèle économique est mis à mal par les évolutions techniques et réglementaires sur le pistage en ligne, est particulièrement remonté contre le montant minimal de l’amende proposée par le rapporteur, 60 millions d’euros, soit 3% de son chiffre d’affaires mondial et 86% de son bénéfice net en 2022. Aucune date n’a été avancée pour la décision à venir, qui devra passer par un consensus avec les homologues de la Cnil au niveau européen.
