Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 40 miljoner euro mot Criteo SA för överträdelser av dataskyddsförordningen (GDPR) och den franska dataskyddslagen.
Av beslutet framgår att Criteo specialiserat på retargeting av reklam, som består i att spåra användarnas surfvanor för att visa personlig reklam. För att göra detta samlar företaget in användarnas surfdata med hjälp av Criteo-cookien, som lagras i användarnas terminaler när de besöker vissa partnerwebbplatser till Criteo. Med hjälp av denna spårare analyserar Criteo surfvanor för att avgöra för vilken annonsör och för vilken produkt det skulle vara mest relevant att visa en annons för en viss användare. Criteo deltar sedan i en budgivningsprocess i realtid och visar, om det vinner budgivningen, den personligt anpassade reklamen.
Efter klagomål från organisationerna Privacy International och None of Your Business (noyb) har CNIL genomfört flera granskningar hos Criteo. CNIL har i samband med sina granskningar konstaterat ett antal brister, bland annat när det gäller avsaknaden av bevis för att användarna gett sitt samtycke till behandlingen av deras uppgifter, information och insyn samt respekten för personernas rättigheter.
Enligt lag får den Criteo-cookie som används för att rikta reklam inte placeras på användarens terminal utan användarens samtycke. Ansvaret för att erhålla detta samtycke ligger hos företagets partner, som står i direkt kontakt med användarna. Detta befriar dock inte Criteo från företagets skyldighet att kontrollera och visa att användarna har gett sitt samtycke. Enligt CNIL har Criteo-cookien deponerats av flera av företagets partner på användarnas terminaler utan deras samtycke.
CNIL konstaterade också att Criteo vid tidpunkten för granskningarna inte vidtagit några åtgärder för att säkerställa att företagets partners på ett giltigt sätt inhämtat samtycke från de användare vars uppgifter företaget sedan behandlade. I detta avseende noterade CNIL särskilt att de avtal som ingåtts med företagets partners inte innehöll någon klausul som ålade dem att till Criteo lämna bevis på användarnas samtycke. Dessutom hade företaget inte genomfört någon revision av sina partners innan CNIL inledde förfarandet.
CNIL konstaterade vidare att Criteos integritetspolicy inte var fullständig, eftersom den inte innehöll alla ändamål för vilka uppgifterna behandlades. Dessutom var vissa av ändamålen uttryckta i vaga och breda termer, vilket inte gjorde det möjligt för användarna att förstå exakt vilka personuppgifter som användes för vilka ändamål.
När en användare utövade sin rätt till tillgång skickade Criteo användaren, i form av tabeller, de uppgifter som hämtats från 3 av de 6 tabeller som utgjorde dess databas. CNIL konstaterade emellertid att personuppgifterna i 2 av de 3 andra tabellerna måste meddelas de enskilda användarna. När Criteo överlämnade dessa tabeller gav det inte användarna tillräcklig information för att de skulle kunna förstå innehållet.
När en användare utövade sin rätt att återkalla sitt samtycke eller att få sina uppgifter raderade, hade den process som Criteo implementerat endast till effekt att stoppa visningen av personlig reklam för användaren. CNIL konstaterade dock att Criteo inte raderade den identifierare som tilldelats den enskilde eller de surfhändelser som var kopplade till denna identifierare.
När det gäller radering av uppgifter uppmanar Criteo användare att skicka sin begäran via e-post till dataskyddsombudet (DPO). CNIL betonar dock att för varje begäran är det upp till Criteo att fastställa och motivera om uppgifter om användaren kan fortsätta att behandlas för andra ändamål och på vilken rättslig grund denna behandling kan baseras.
CNIL konstaterar slutligen att Criteo, i det avtal som företaget ingått med sina partners, inte angett några av de personuppgiftsansvarigas respektive skyldigheter när det gäller kraven i dataskyddsförordningen, såsom de registrerades utövande av sina rättigheter, skyldigheten att anmäla ett dataintrång till tillsynsmyndigheten och till de registrerade eller, om nödvändigt, genomförandet av en konsekvensbedömning enligt artikel 35 GDPR.
Till följd av ovanstående konstaterade CNIL överträdelser av artiklarna 7, 12, 13, 15, 17, 26 och 35 GDPR, och utfärdade en sanktionsavgift mot Criteo på 40 miljoner euro. Vid fastställandet av ett sanktionsbelopp tog CNIL hänsyn till att behandlingen i fråga gällde ett mycket stort antal personer (Criteo har uppgifter om cirka 370 miljoner identifierare i hela EU) och att Criteo samlar in en mycket stor mängd uppgifter om användarnas konsumtionsvanor. CNIL tog också hänsyn till Criteos affärsmodell, som uteslutande bygger på dess förmåga att visa de mest relevanta annonserna för användare i syfte att marknadsföra sina annonskunders produkter, och därmed på dess förmåga att samla in och behandla en enorm mängd uppgifter. CNIL ansåg slutligen att det faktum att Criteo behandlade uppgifter om användare utan giltigt bevis på deras samtycke gjorde det möjligt för företaget att otillbörligt öka antalet personer som berördes av behandlingen och därmed de ekonomiska intäkter som företaget erhöll från sin roll som förmedlare av reklam.
Med tillämpning av den one-stop shop som fastställs i dataskyddsförordningen skickades CNIL:s beslut till samtliga 29 andra europeiska tillsynsmyndigheter, som alla var inblandade i detta gränsöverskridande ärende och som alla godkände det.