CNIL – Criteo – SAN-2023-009

Décision

Autorité:

CNIL ou équivalent

Numéro:

SAN-2023-009

Nom:

Criteo

Date:

15 juin 2023

Pays:

France

Lien:

Cliquer ici

Contexte

Le 8 novembre 2018, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie d’une plainte adressée par l’association " Privacy International ", qui soulignait notamment que la société ne traitait pas les données des internautes conformément aux principes fixés à l’article 5, paragraphe 1, du RGPD. Le 4 décembre 2018, la CNIL a été saisie d’une réclamation adressée par l'association " None of Your Business " (ci-après " NOYB ") mandatée par […], qui dénonçait le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après " le plaignant "). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l'exercice des droits.

Le 3 août 2022, à l’issue de l'enquête qui a été menée, le rapporteur a fait notifier à la société un rapport détaillant les manquements aux articles 7, 12, 13, 15, 17 et 26 du RGPD qu’il estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de la société d’un montant qui ne saurait être inférieur à soixante millions d’euros.

Apport(s)
Donnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application Extrait(s) pertinent(s)40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé. 41. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Fashion ID – C-40/17 > CJUE – Scarlet Extended – C-70/10 Autres informations
Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement Extrait(s) pertinent(s)60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement. Article(s) du RGPD Article 7 – Conditions applicables au consentement Article 26 – Responsables conjoints du traitement Fait référence à Autres informations

Apport(s)

Donnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application

Extrait(s) pertinent(s)40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.

41. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD
Article(s) du RGPD Article 4 – Définitions
Fait référence à > CJUE – Fashion ID – C-40/17
> CJUE – Scarlet Extended – C-70/10
Autres informations

Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement

Extrait(s) pertinent(s)60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie.

61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.
Article(s) du RGPD Article 7 – Conditions applicables au consentement
Article 26 – Responsables conjoints du traitement
Fait référence à
Autres informations

Références

Cette décision cite...

> CJUE – Fashion ID – C-40/17

29 juillet 2019

> CJUE – Breyer – C-582/14

19 octobre 2016

> CJUE – Scarlet Extended – C-70/10

24 novembre 2011

Cette décision est citée par...

Signaler une erreur / Faire une suggestion