Sanction CRITEO – Encore une sanction cookies !

Sanction CRITEO – Encore une sanction cookies !
Actualité Article RGPD

Mi-juin, la CNIL a sanctionné la société CRITEO pour une affaire de cookies et de consentement, un sujet que l’on commence tous à connaître mais qui fait ici preuve d’originalité. Pourquoi ?

La manière dont la CNIL a été informée :

La CNIL a été « notifiée » du défaut de conformité en cours par deux associations : NOYB et Privacy International. Si nous vous avions déjà parlé de NOYB dans l’affaire des 101 dalmatiens, nous n’avions pas encore eu l’occasion de présenter Privacy International. Tout comme NOYB, l’association Privacy International a pour mot d’ordre de défendre tout individu face à l’utilisation abusive de ses données à caractère personnel. C’est d’ailleurs animé de cette raison que les deux associations ont déposé en 2018, une réclamation très bien documentée auprès de la CNIL (disponible ici) afin de dénoncer les pratiques de la société Criteo.

Ce n’est pas la première fois qu’une autorité de contrôle est informée d’un manquement au RGPD via une association, et, tout comme dans l’affaire des 101 sites non conformes, la CNIL a bien pris en considération la plainte pour finir par prononcer 5 ans plus tard une sanction administrative de 40 millions d’euros.

Les faits

Comme vous pourrez le lire plus en détails sur le site de la CNIL (ici),  grâce aux dépôts de cookies sur des sites partenaires, la société CRITEO pouvait suivre des visiteurs et analyser leurs habitudes de navigation. Avec ce système, la société était ensuite en mesure de fournir aux visiteurs une publicité ciblée. Seul hic : les visiteurs ne consentaient pas au dépôt de ce type de cookie !

Le défaut de recueil de consentement était donc imputable à la société mais également à ses partenaires. En effet, lorsque des visiteurs allaient sur les sites partenaires les cookies CRITEO étaient déposés, et ce, sans le consentement de ces derniers. La CNIL a ainsi pu constater un défaut d’encadrement des partenaires qu’elle considère ici comme responsables conjoints.

Pour couronner le tout, la sanction portait également sur un défaut d’information des utilisateurs. En l’occurrence, l’information disponible s’avérait trop vague et ne pouvait pas permettre aux utilisateurs « de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs ».

Les enseignements à en tirer

On peut retenir quelques éléments pertinents liés à cette sanction :

  • Les cookies restent un sujet d’actualité et le consentement aussi : si vous n’avez pas déjà procédé à l’audit de vos sites internet, il en est grand temps ! Votre objectif sera de vérifier quelles sont les catégories de cookies déposés, s’il s’agit de cookies tiers, et en fonction quelles sont les règles applicables (consentement ou non). Si cela vous intéresse, RGPD Academy propose d’ailleurs un accompagnement en formation sur ce sujet !
  • L’information des personnes reste cruciale et son niveau de granularité prend de l’ampleur. Cinq ans après l’entrée en application du RGPD, on ne veut plus voir des finalités trop englobantes et peu parlantes. On vous invite à consulter les mentions de la CNIL pour vous en inspirer (en prenant comme exemple celles de sa newsletter).
  • Les responsables conjoints commencent à intéresser la CNIL : il est temps de se pencher sur les contrats mis en place avec ces acteurs mais aussi à leur identification. Au menu : s’assurer que l’ensemble des obligations sont bien remplies par chacun des acteurs, quitte à attribuer différentes tâches. On vous propose de lire, ou relire, les lignes directrices du CEPD sur le sujet des acteurs pour y voir un peu plus clair.

Et si vous avez besoin d’être accompagné sur l’un de ces sujets, n’hésitez pas à nous contacter et suivre l’une de nos formations RGPD !

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite