Incumplimiento del RGPD: Criteo multado con 40 millones de euros por la Cnil

El Cnil continúa su impulso en materia de represión contra las empresas que incumplen la ley y la normativa sobre protección de datos personales. Después de un año particularmente rico en 2022, es el especialista en retargeting publicitario Criteo el que ha sido señalado esta vez por el regulador francés. “El 15 de junio de 2023, la CNIL multó a la empresa Criteo, especializada en publicidad online, con una multa de 40 millones de euros, en particular por no haber verificado que las personas cuyos datos procesa habían dado su consentimiento”, dijo el regulador cuerpo. Esta multa sigue a una investigación de Cnil realizada sobre la base de denuncias presentadas por las asociaciones Privacy International y None of Your Business. La compañía ya ha anunciado que recurrirá esta decisión “ante las autoridades judiciales competentes”.

En total, se imputaron al editor francés cinco infracciones del RGPD. Estos se refieren a la obligación de verificar el consentimiento de los internautas en relación con el tratamiento de sus datos personales por parte de sus socios (artículo 7.1 del RGPD), información y transparencia (artículos 12 y 13), respeto al derecho de acceso (artículo 15.1 ) sino también el derecho a retirar el consentimiento y borrar los datos personales (artículos 7.3 y 17.1). Finalmente, la CNIL también encontró un incumplimiento de la obligación de prever un acuerdo entre controladores de datos conjuntos (artículo 26).

Criteo viento en contra contra la decisión del Cnil

“Aunque el Cnil redujo la sanción final de 60 millones de euros, la cantidad inicialmente propuesta, a 40 millones de euros, la sanción sigue siendo en gran medida desproporcionada en vista de las supuestas infracciones y está fuera de proporción con la práctica general en esta área. . Además, creemos que una serie de interpretaciones y aplicaciones del RGPD realizadas por la Cnil no son coherentes, ni con la jurisprudencia del Tribunal de Justicia de la Unión Europea, ni con sus propias directrices y recomendaciones. de la Cnil”, dijo Ryan Damon, director legal de Criteo, en un comunicado de prensa. “Consideramos que las denuncias realizadas por la CNIL no implican ningún riesgo para las personas, ni perjuicios para las mismas. Criteo, que se basa únicamente en datos seudonimizados, no identificables directamente y no confidenciales en el curso de sus actividades, está totalmente comprometido con la protección de la privacidad y los datos de los usuarios. La decisión se relaciona con hechos pasados ​​y no conlleva ninguna obligación para Criteo de cambiar sus prácticas actuales”.

“Para determinar el monto de la sanción, el Cnil tuvo especialmente en cuenta el hecho de que el tratamiento en cuestión afectaba a un número muy elevado de personas (la empresa dispone de datos relativos a aproximadamente 370 millones de identificadores en toda la Unión Europea) y que recopila una gran cantidad de datos relativos a la hábitos de consumo de los internautas”, explica el comité restringido. También consideró que los datos personales recopilados por Criteo eran lo suficientemente precisos para volver a identificar a las personas y que "el procesamiento de datos de personas sin prueba de su consentimiento válido ha permitido a la empresa aumentar indebidamente el número de personas afectadas por sus salarios y, por lo tanto, la situación financiera". los ingresos que obtiene de su función de intermediario publicitario".

Esta decisión cae en un contexto delicado para Criteo que debe, como muchos otros jugadores web, prepararse para el anuncio de la eliminación de cookies de terceros en Chrome durante la segunda mitad de 2024 a favor de un "privacy sandbox" también integrado en Android. .