CRITEO est une entreprise qui se consacre au « reciblage publicitaire », une technique qui implique le suivi des activités en ligne des utilisateurs afin de leur présenter des publicités adaptées à leurs intérêts. Pour réaliser cela, l’entreprise recueille les informations de navigation des internautes à travers son traceur, ou cookie, CRITEO, qui est installé sur leurs appareils lorsqu’ils visitent certains sites web affiliés à CRITEO. En utilisant ce traceur, la société peut analyser les comportements de navigation pour déterminer quels annonceurs et quels produits seraient les plus pertinents pour une publicité destinée à un utilisateur spécifique. Par la suite, la société participe à une vente aux enchères en temps réel, connue sous le nom de real time bidding, et si elle gagne, elle diffuse la publicité personnalisée.
I. LES INFRACTIONS CONSTATÉES
La CNIL relève, en premier lieu, une violation de l’obligation de prouver le consentement de l’utilisateur (Article 7.1 du RGPD)
Le traceur CRITEO utilisé pour cibler les publicités ne pouvait être déposé sur l’appareil de l’utilisateur sans son consentement. La collecte de ce consentement incombe aux partenaires de l’entreprise, qui sont en contact direct avec les utilisateurs. Cependant, cela n’exempte pas CRITEO de son obligation de vérifier et de pouvoir prouver que les utilisateurs ont donné leur consentement. Il a été observé que le traceur CRITEO était déposé par plusieurs partenaires de l’entreprise sur les appareils des utilisateurs sans leur consentement.
La CNIL relève, en second lieu, une violation de l’obligation d’information et de transparence (Articles 12 et 13 du RGPD)
La politique de confidentialité de l’entreprise n’était pas complète, car elle ne mentionnait pas toutes les finalités du traitement. De plus, certaines finalités étaient exprimées en termes vagues et généraux, ce qui ne permettait pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.
La CNIL relève, en troisième lieu, une violation du droit d’accès (Article 15.1 du RGPD)
Lorsqu’un utilisateur exerçait son droit d’accès, l’entreprise lui fournissait, sous forme de tableaux, les données extraites de 3 des 6 tables constituant sa base de données. Cependant, la formation restreinte a relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. De plus, lorsque l’entreprise transmettait ces tableaux, elle ne fournissait pas d’informations suffisantes pour permettre aux personnes de comprendre leur contenu.
La CNIL relève, en quatrième lieu, une violation du droit de retrait du consentement et d’effacement des données (Articles 7.3 et 17.1 du RGPD)
Lorsqu’un utilisateur exerçait son droit de retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par l’entreprise avait seulement pour effet de stopper l’affichage de publicités personnalisées à l’utilisateur. Cependant, l’entreprise ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des événements de navigation liés à cet identifiant.
La CNIL relève, en dernier lieu, une violation de l’obligation de prévoir un accord entre les co-responsables du traitement (Article 26 du RGPD)
L’accord conclu par l’entreprise avec ses partenaires ne précisait pas certaines des obligations respectives des responsables du traitement en ce qui concerne les exigences du RGPD, telles que l’exercice des droits par les personnes concernées, l’obligation de signaler une violation de données à l’autorité de contrôle et aux personnes concernées, ou, si nécessaire, la réalisation d’une étude d’impact en vertu de l’article 35 du RGPD.
II. LA MOTIVATION DE LA DÉCISION
Suite à des plaintes déposées par les associations Privacy International et None of Your Business, la CNIL a entrepris plusieurs vérifications auprès de l’entreprise CRITEO. Au cours de ses enquêtes, la CNIL a identifié plusieurs infractions, notamment l’absence de preuve du consentement des utilisateurs au traitement de leurs données, le manque d’information et de transparence, et la violation des droits des utilisateurs.
Pour déterminer le montant de la sanction, la CNIL a pris en compte le fait que le traitement concernait un grand nombre d’individus (l’entreprise détenant des données sur environ 370 millions d’identifiants dans l’Union européenne) et qu’elle collectait un volume important de données sur les habitudes de consommation des internautes. Bien que l’entreprise ne dispose pas du nom de l’utilisateur, la CNIL a jugé que les données étaient suffisamment détaillées pour permettre, dans certains cas, de réidentifier les individus.
De plus, la CNIL a considéré que le modèle d’affaires de l’entreprise, qui repose entièrement sur sa capacité à afficher des publicités pertinentes pour promouvoir les produits de ses annonceurs, dépend de sa capacité à collecter et traiter une quantité considérable de données.
Enfin, la CNIL a pris en compte le fait que le traitement des données sans preuve de consentement valide a permis à l’entreprise d’augmenter de manière indue le nombre de personnes affectées par ses traitements, augmentant ainsi ses revenus financiers provenant de son rôle d’intermédiaire publicitaire (voy. spéc. le pt. 172 de la décision).
III. LES EFFETS CONCURRENTIELS DE LA VIOLATION DU RGPD
Il est de jurisprudence constante que la violation d’une règle applicable à une entreprise constitue pour cette dernière un avantage indu, en ce sens qu’elle évite le coût lié au respect de la norme.
En sus de ce coût évité, l’entreprise en situation illicite acquiert une position qu’elle n’aurait probablement pas pu occuper sans la violation qui lui est reprochée. C’est d’ailleurs ce que constate la CNIL lorsqu’elle affirme que « les données à caractère personnel collectées et traitées sans consentement valable des personnes ont permis à la société d’augmenter indûment le nombre de personnes concernées par ses traitements et donc ses revenus financiers ».
Sur un plan concurrentiel, la violation du RGPD, comme celle de toute règle juridique, caractérise une rupture d’égalité dans la compétition économique dont les concurrents sont fondés à demander réparation.
Conformément à la jurisprudence récente (Cass. Com., 12 février 2020, n° 17-31-614, Cass. Com. 7 juillet 2021, n° 20-11.146), les réparations peuvent être évaluées sur la base des bénéfices indus retirés par Criteo de ses actions, et ensuite réparties entre les demandeurs (concurrents) à hauteur de leur part de marché (hors Criteo).
En matière de concurrence déloyale, la notion de bénéfice indu recouvre :
- La marge sur coûts variables afférente au surcroît d’activité généré par les pratiques fautives : au cas particulier, Criteo a pu collecter, utiliser et conserver davantage de données, ce qui lui a permis d’optimiser son reciblage publicitaire et donc d’attirer davantage d’entreprises demandeuses dans sa vente aux enchères en temps réel (real time bidding), pour adjuger in fine ces enchères au meilleur prix.
- L’ensemble des coûts et investissements de fonctionnement économisés grâce aux pratiques : en l’espèce, l’ensemble des coûts de mise en conformité qu’aurait dû engager Criteo s’il s’était mis en conformité avec le RGPD.
Étant donné que les pratiques dénoncées par la CNIL sont systématiques, le préjudice porte sur l’ensemble de l’activité publicitaire française de Criteo depuis l’entrée en vigueur du RGPD le 25 mai 2018 (étant précisé que sur le dernier exercice clos, le chiffre d’affaires réalisé par Criteo en France s’élevait à plus de 111 millions de dollars – cf. Form 10-K 2022 de Criteo p. F-49).
Le préjudice réparable est potentiellement de l’ordre de plusieurs dizaines de millions d’euros.
À titre alternatif, si certains des demandeurs ont vu leur chiffre d’affaires chuter fortement après mise en conformité RGPD, il est possible de réaliser un chiffrage de gain manqué plus classique par rapport à leurs comptes annuels historiques . Ce gain manqué serait alors équivalent à la marge sur coûts variables perdue par le demandeur du fait de la mise en conformité avec le RGPD à laquelle a échappé Criteo.
Un contentieux indemnitaire consécutif à la condamnation de la CNIL serait donc envisageable.
Bruzzo Dubucq et Æque Principaliter assistent les victimes de pratiques concurrentielles illicites.
Retrouvez la Délibération SAN-2023-009 du 15 juin 2023 dans son intégralité ici.