La société française Criteo, en pointe sur du reciblage publicitaire, pourrait connaître une forte déconvenue en 2023 : ses pratiques l’exposent à une amende de 60 millions d’euros.

2023 ne s’annonce pas sous les meilleurs auspices pour Criteo. L’entreprise française Criteo, dont la spécialité est le reciblage publicitaire, pourrait en effet être sanctionnée par une très forte amende. On parle d’un montant qui atteindrait 60 millions d’euros. L’instruction, toutefois, est toujours en cours et les contours de la future décision ne sont pas fixés pour de bon.

Les perspectives d’une condamnation de Criteo ont été saluées immédiatement par des organisations hostiles au pistage publicitaire, comme Privacy International, qui est à l’origine de l’action contre Criteo en 2018, ou La Quadrature du Net. « Pas bravo à la startup nation », a tweeté l’organisation française le 6 août, dans un tacle à Criteo, tout en félicitant son homologue britannique.

Criteo
La page d’accueil de Criteo. // Source : Capture d’écran

Les jeux ne sont pas totalement faits, mais La Quadrature du Net ne croit pas à un coup de théâtre en 2023, même si l’enquête se poursuit encore pour quelques mois. C’est l’observation de Bastien Le Querrec, doctorant en droit public et membre de La Quadrature du Net, qui estime que l’action initiée par la Commission nationale de l’informatique et des libertés ira jusqu’au bout.

Un conflit né il y a quatre ans

Si Privacy International a engagé les hostilités contre Criteo il y a quatre ans, les investigations de la Cnil n’ont démarré qu’en 2020. L’ONG britannique a rappelé à l’occasion de ce point d’étape — le rapporteur dans ce dossier a publié un rapport le 3 août faisant état de diverses violations du Règlement général sur la protection des données (RGPD) — les reproches contre Criteo.

Pour Privacy International, Criteo est une « machine à manipuler ». Il lui est reproché de pister le comportement de navigation pour essayer de prédire la propension du public à aller sur tel ou tel produit et quels types de publicité marchent le mieux. « Criteo [est une entreprise] dont vous n’avez probablement jamais entendu parler, mais dont vous pouvez être sûr qu’elles savent tout sur VOUS. »

Marie-Laure Denis cnil
Marie-Laure Denis, présidente de la CNIL. // Source : DR-CSA

« Tout cela est réalisé en collectant des quantités vertigineuses de données sur les activités des gens, et en achetant des données à d’autres sociétés [de l’industrie publicitaire] et courtiers en données. Tout cela est illégal, avons-nous fait valoir », poursuit l’ONG. C’est du « profilage invasif et illégal des internautes », complète La Quadrature du Net.

Criteo a une appréciation très différente de la situation. Dans un communiqué qui se veut une réaction aux éléments sortis le 3 août, la société française a évidemment balayé les critiques qui sont formulées à son encontre, tout comme elle a largement contesté les conclusions du rapport. Mais dans le doute, la société a commencé à provisionner une somme.

« Nous estimons que le fond de ce rapport est fondamentalement erroné et que les sanctions proposées sont sans commune mesure avec les actions de non-conformité alléguées », a ainsi déclaré le directeur juridique du groupe, Ryan Damon. La société reste à disposition de la Cnil pour continuer à échanger et à faire valoir ses intérêts. Verdict dans un an.

Notre hub sur le RGPD