Sanction CRITEO – Encore une sanction cookies !
Mi-juin, la CNIL a sanctionné la société CRITEO pour une affaire de cookies et de consentement, un sujet que l’on commence tous à connaître mais qui fait ici preuve d’originalité. Pourquoi ?
La manière dont la CNIL a été informée :
La CNIL a été « notifiée » du défaut de conformité en cours par deux associations : NOYB et Privacy International. Si nous vous avions déjà parlé de NOYB dans l’affaire des 101 dalmatiens, nous n’avions pas encore eu l’occasion de présenter Privacy International. Tout comme NOYB, l’association Privacy International a pour mot d’ordre de défendre tout individu face à l’utilisation abusive de ses données à caractère personnel. C’est d’ailleurs animé de cette raison que les deux associations ont déposé en 2018, une réclamation très bien documentée auprès de la CNIL (disponible ici) afin de dénoncer les pratiques de la société Criteo.
Ce n’est pas la première fois qu’une autorité de contrôle est informée d’un manquement au RGPD via une association, et, tout comme dans l’affaire des 101 sites non conformes, la CNIL a bien pris en considération la plainte pour finir par prononcer 5 ans plus tard une sanction administrative de 40 millions d’euros.
Les faits
Comme vous pourrez le lire plus en détails sur le site de la CNIL (ici), grâce aux dépôts de cookies sur des sites partenaires, la société CRITEO pouvait suivre des visiteurs et analyser leurs habitudes de navigation. Avec ce système, la société était ensuite en mesure de fournir aux visiteurs une publicité ciblée. Seul hic : les visiteurs ne consentaient pas au dépôt de ce type de cookie !
Le défaut de recueil de consentement était donc imputable à la société mais également à ses partenaires. En effet, lorsque des visiteurs allaient sur les sites partenaires les cookies CRITEO étaient déposés, et ce, sans le consentement de ces derniers. La CNIL a ainsi pu constater un défaut d’encadrement des partenaires qu’elle considère ici comme responsables conjoints.
Pour couronner le tout, la sanction portait également sur un défaut d’information des utilisateurs. En l’occurrence, l’information disponible s’avérait trop vague et ne pouvait pas permettre aux utilisateurs « de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs ».
Les enseignements à en tirer
On peut retenir quelques éléments pertinents liés à cette sanction :
- Les cookies restent un sujet d’actualité et le consentement aussi : si vous n’avez pas déjà procédé à l’audit de vos sites internet, il en est grand temps ! Votre objectif sera de vérifier quelles sont les catégories de cookies déposés, s’il s’agit de cookies tiers, et en fonction quelles sont les règles applicables (consentement ou non). Si cela vous intéresse, RGPD Academy propose d’ailleurs un accompagnement en formation sur ce sujet !
- L’information des personnes reste cruciale et son niveau de granularité prend de l’ampleur. Cinq ans après l’entrée en application du RGPD, on ne veut plus voir des finalités trop englobantes et peu parlantes. On vous invite à consulter les mentions de la CNIL pour vous en inspirer (en prenant comme exemple celles de sa newsletter).
- Les responsables conjoints commencent à intéresser la CNIL : il est temps de se pencher sur les contrats mis en place avec ces acteurs mais aussi à leur identification. Au menu : s’assurer que l’ensemble des obligations sont bien remplies par chacun des acteurs, quitte à attribuer différentes tâches. On vous propose de lire, ou relire, les lignes directrices du CEPD sur le sujet des acteurs pour y voir un peu plus clair.
Et si vous avez besoin d’être accompagné sur l’un de ces sujets, n’hésitez pas à nous contacter et suivre l’une de nos formations RGPD !