☕️ Le Conseil d’État déboute Criteo et confirme l’amende de 40 mill…

D'après les informations rapportées par Next INpact : ☕️ Le Conseil d’État déboute Criteo et confirme l’amende de 40 millions d’euros de la CNIL.

Dans une décision prise ce mercredi 4 mars, le Conseil d’État a rejeté la demande de Criteo d’annuler l’amende de 40 millions d’euros que lui a infligée la CNIL en 2023.

L’autorité avait sanctionné Criteo pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Elle avait cependant réduit le montant de l’amende d’un tiers par rapport à ce que proposait son rapporteur.

La CNIL inflige une amende de 40 millions d’euros à Criteo

L’entreprise a porté cette décision devant le Conseil d’État, considérant notamment qu’elle se basait sur des déclarations obtenues sans qu’il soit indiqué au représentant légal interrogé le droit de se taire. Pour le Conseil d’État, « le droit de se taire ne s’applique pas lors des contrôles ou enquêtes » de la CNIL pour les vérifications « diligentées antérieurement à la notification des griefs ».

Le Conseil d’État a aussi rejeté l’argument de l’entreprise qui considérait avoir pseudonymisé les données concernées. Il explique « qu’une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d’identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre ».

Criteo a fait valoir « que les données qu’elle traite n’ont pas le caractère de données personnelles, au motif qu’elle attribue à chaque personne dont elle collecte les données un identifiant sous forme de pseudonyme, lié à l’adresse IP du terminal ».

Mais le Conseil d’État souligne qu’après instruction, le constat est que « sont notamment associés à cet identifiant, non seulement l’adresse IP elle-même, mais des données telles que l’emplacement géographique lié à cette adresse IP, l’identifiant du terminal, les identifiants, propres aux partenaires de Criteo, des personnes se rendant sur le site de ces partenaires, ainsi que de très nombreux éléments liés à l’activité de navigation de ces personnes, comme les sites visités, les achats faits, les publicités consultées et celles ayant donné lieu à un achat ».