Après un an d’attente, la CNIL prononce enfin sa décision finale sur le dossier de violations du RGPD par Criteo. Si le montant de l’amende infligée, 40 millions d’euros, peut paraître une somme importante, elle n’en est pas moins réduite d’un tiers par rapport à ce qu’avait proposé le rapporteur de l’autorité l’année dernière. Sur le fond, cette décision pointe notamment le fait que l’entreprise est responsable du bon respect du RGPD par ses sous-traitants.

La CNIL a donc rendu sa décision : Criteo doit payer une amende de 40 millions d’euros pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Le montant peut paraître important, mais cette somme reste bien inférieure à celle proposée par le rapporteur de la CNIL l’an passé, à savoir 60 millions d’euros.

L’association plaignante, Privacy International, estime cependant, dans un communiqué de presse transmis à Next INpact, que la CNIL « a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD ».

Violations du RGPD : la CNIL propose une amende de 60 millions d’euros contre Criteo RGPD : la CNIL enquête sur Criteo

La formation restreinte de la CNIL, dans sa décision prise le 15 juin et publiée ce jour au Journal officiel, suit le rapporteur sur les constats d’infraction au RGPD et évoque cette première proposition d’amende, mais ne donne pas d’explication claire à propos de la différence entre celle-ci et le montant finalement décidé.

L’affaire remonte à novembre 2018, quand l’organisation britannique Privacy International a attaqué sept sociétés dont Criteo, le spécialiste français du reciblage publicitaire, suivi un mois après par l’association None of Your Business (noyb) de Max Schrems.

Non-conformité avec le RGPD et formalisme abusif pour s’opposer au traitement des données

Dans sa plainte, Privacy International soulignait notamment que Criteo ne traitait pas les données conformément au RGPD. De son côté, noyb dénonçait « le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après “le plaignant”). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l’exercice des droits », explique la CNIL dans sa décision.

Dans sa décision, la CNIL explique avoir mené son enquête pendant 2 ans entre 2019 et 2020, échangeant des courriers avec Criteo puis chargeant une délégation pour effectuer des contrôles aussi bien par l’envoi d’un questionnaire que par un contrôle sur place, dans les locaux de la société « au cours duquel elle a notamment procédé à des vérifications sur le site web de deux partenaires de la société ».

Cette délégation a mené un contrôle en ligne de plusieurs des principaux sites à partir desquels Criteo collecte le plus de données « pour vérifier notamment les modalités du dépôt du cookie Criteo dans le terminal des utilisateurs et le dispositif mis en œuvre pour recueillir leur consentement ».

Six articles du RGPD violés

Le rapporteur, François Pellegrini, en a conclu que Criteo manquait à six des articles du RGPD : 7, 12, 13, 15, 17 et 26. Rien que ça ! Ces articles concernent le consentement de la personne concernée à ce que ses données soient collectées et utilisées, la transparence des informations et les informations à fournir lorsque les informations ont été collectées auprès de la personne concernée et quand ce n’est pas le cas, mais aussi le « droit à l’oubli » et enfin l’obligation de s’assurer que les partenaires respectent aussi le RGPD.

Responsable aussi du bon respect du règlement par les sous-traitants

En effet, le cookie que Criteo utilise pour cibler les publicités ne peut être déposé sur le terminal de l’utilisateur sans son consentement. Or, certains partenaires de l’entreprise déposaient ce cookie sans donner d’information sur celui-ci ni demander l’autorisation.

La CNIL a constaté que Criteo n’avait rien fait pour s’assurer que ça soit le cas. Les contrats signés par l’entreprise avec ses partenaires ne contenaient aucune clause spécifique demandant explicitement la preuve de l’obtention du consentement des internautes. Elle pointe aussi le fait que le fleuron français de la publicité en ligne n’avait fait aucun audit de ses sous-traitants.

«  La société avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires », relève la CNIL.

L’Autorité explique que Criteo a ajouté dans ses versions ultérieures à ses contrôles une «  clause relative à la preuve du consentement selon laquelle le partenaire s’engage à “fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire” ».

Depuis lors, la CNIL considère que Criteo s’est mise en conformité sur ce sujet, tout en soulignant que celle-ci est « intervenue tardivement » et qu’elle a bien traité des données à caractère personnel « sans être en mesure de démontrer [que les internautes concernés] ont valablement consenti au traitement ayant pour finalité l’affichage d’une publicité personnalisée ».

Cette remarque de la CNIL met en lumière que les entreprises qui traitent des données à caractère personnel doivent pouvoir apporter la preuve, a posteriori, du consentement des internautes, et ce même si le cookie a été déposé par un sous-traitant.

Manques d’information et termes « vagues et larges »

La CNIL a aussi inspecté la politique de confidentialité de Criteo. Elle juge que celle-ci créait « une incertitude quant à la base juridique du traitement en ce qu’elle ne [permettait] pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données [reposait] sur leur consentement ». Certaines finalités étaient aussi « exprimées dans des termes vagues et larges qui ne [permettaient] pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs ».

L’Autorité pointe aussi que cette politique de confidentialité affirmait des choses contradictoires, faisant reposer les finalités relatives aux publicités et au financement des activités des éditeurs tantôt sur la base juridique de l’intérêt légitime, tantôt sur celle du consentement. Elle ajoute « qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée  ».

Elle observe néanmoins que, depuis son investigation, Criteo a modifié sa politique de confidentialité pour inclure les mentions manquantes et utiliser des termes plus simples et compréhensibles.

La CNIL a aussi pu constater que Criteo ne fournissait aux internautes que les données extraites de trois des six tables de sa base de données. Le rapporteur a considéré qu’il aurait fallu que la totalité des tables soient transmises.

Critéo a fait remarquer à la CNIL, suite à la finalisation du rapport, que l’une d’entre elles « s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès », ce qui a convaincu l’autorité que cette table n’était pas communicable. Pour le reste, Criteo s’est engagée à fournir l’ensemble des données dont elle dispose en réponse aux demandes d’internautes.

Pas de suppression du traçage lors du retrait du consentement

Si Criteo arrêtait l’affichage de publicité lorsqu’une personne demandait à exercer son droit de retrait du consentement ou l’effacement de ses données, l’entreprise ne supprimait pas son identifiant et n’effaçait pas les évènements de navigation liés. Un autre point que la CNIL ne pouvait pas laisser passer.

Depuis, Criteo a mis en place une procédure de demande plus claire. Elle peut néanmoins continuer à traiter certaines données pour d’autres finalités, mais seulement en le justifiant au cas par cas.

Mais la CNIL fait remarquer que « la société a également tiré un avantage financier du fait de ne pas procéder à l’effacement des données en continuant à utiliser les données qui ne sont pas effacées à des fins d’amélioration de ses technologies, ce qui participe à sa compétitivité sur le marché de la publicité ciblée ».

Une amende conséquente bien que pas maximale

Comme dit plus haut, le rapporteur avait proposé une amende de 60 millions d’euros. Celle-ci peut, en effet, atteindre un montant maximum de 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise visée.

La CNIL indiquant que le chiffre d’affaires mondial de Criteo en 2022 était de 1,9 milliard, ce montant était tout à fait dans les clous. L’autorité a cependant choisi un montant un peu moins élevé de 40 millions d’euros, remarquant que celui-ci constitue « près de 2 % du chiffre d’affaires mondial ».

Privacy International fait remarquer que « Criteo avait mis en avant son bénéfice net de 10 millions d’euros en 2022 pour plaider en faveur d’une réduction de sa peine » pendant l’audience qui s’est tenue en mars dernier. La décision de la CNIL rappelle quand même que « le montant de l’amende peut être supérieur au bénéfice généré par le responsable de traitement, dans la mesure où cela serait nécessaire afin d’assurer le caractère dissuasif de la sanction ».

Les deux associations plaignantes se félicitent de cette décision. « Nous sommes très heureux de la décision de la CNIL. C’est un signal fort envoyé à l’industrie de l’ad-tech, qui devra faire face à des conséquences désastreuses si elle enfreint la loi », exulte Romain Robert, avocat spécialiste de la protection des données chez noyb dans un communiqué.

Privacy International

, dans son communiqué, que cette sanction « met en cause le système de surveillance généralisée dont les sociétés de l’AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles ».

Criteo n’a, pour l’instant, pas communiqué sur cette sanction.

La CNIL rappelle, comme toujours, que Criteo peut faire un recours devant le Conseil d’État dans un délai de deux mois.

Source : nextinpact.com

j’ai trouvé ça a voir si ya quelque chose de plus marrant ^^

text alternatif

Merci intéressant puis faut voir ce qu’ il rejette bref suis pas expert :x

Google va leur dire ok, plus de Google chrome, plus de moteur de recherche, plus rien ca va vite faire prout

Il y a cinq ans, le règlement général sur la protection des données (RGPD) entrait en vigueur. Sur le terrain, informaticiens, juristes et sociologues rapportent une compréhension et/ou une application contrastée de ce texte phare de la protection de la vie privée.

Sept ans après son adoption, cinq ans après son entrée en vigueur, dans quelle mesure le règlement général sur la protection des données est-il respecté ? En pratique, les internautes savent-ils et peuvent-ils, même, protéger leur vie privée en ligne ?

Ces questions ont sous-tendu une partie des présentations et débats qui ont eu lieu, le 14 juin, lors du riche Privacy Research Day organisé par la CNIL et son laboratoire d’innovation numérique LINC.

Professeur assistant à l’Université Ouverte des Pays-Bas, René Mahieu est, le premier, revenu sur le règlement européen encadrant l’usage fait des données personnelles des internautes. Plus précisément, il s’est penché sur l’efficacité des politiques répressives des Autorités de protection des données (DPA, pour data protection authorities).

Le RGPD expliqué ligne par ligne Le RGPD, un an après La CNIL publie une nouvelle version de son « guide pratique RGPD » Augmenter l’effet dissuasif des sanctions des DPA

Aux Pays-Bas, le juriste s’est en effet penché sur un phénomène particulier : celui du nombre croissant de plaintes enregistrées par l’autorité locale, qui n’entrainait pourtant aucune hausse particulière des sanctions prononcées. Interrogeant des délégués à la protection des données (DPO), René Mahieu s’est régulièrement entendu raconter les demandes des supérieurs et collègues de ses interlocuteurs. En substance, les entreprises ont une interrogation principale : « Quel risque court-on à ne pas être conforme aux obligations du RGPD ? »

Et René Mahieu de rappeler le principe de la théorie de la dissuasion, « ancré dans le RGPD » : il faut que le coût attendu de la mise en conformité soit plus bas que celui de la non-conformité pour qu’elles aient un réel effet sur les comportements. « Autrement dit, résume le juriste, il faut que se conformer à la loi vale quelque chose. » En l’état, le risque est trop faible pour que les entreprises hollandaises agissent.

Sa conclusion a été claire : les DPA ont besoin de trouver des manières plus dissuasives de faire appliquer la loi. Autrement, elles s’enferment dans un cercle vicieux : moins les entreprises se conforment aux textes, plus le nombre de plaintes augmente ; plus les plaintes augmentent, plus les DPA risquent une surcharge de travail ; plus ces dernières sont surchargées, moins elles peuvent contrôler la conformité.

La Commission européenne va surveiller les enquêtes transfrontalières relatives au RGPD Près de 3 milliards d’euros d’amendes ont été infligées en 2022 pour infraction au RGPD

Autre texte européen pour un même type d’acteurs visés : les auteurs du Digital Markets Act (DMA) ont déjà tiré la leçon du problème, puisqu’ils ont prévu des sanctions susceptibles de grimper jusqu’à 10 % du chiffre d’affaires annuel mondial d’une entreprise condamnée (contre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour non-respect du RGPD).

Design déceptif… jusque dans le texte lui-même ?

Mais les problèmes du RGPD ne se logent pas seulement dans la menace que font planer les sanctions pour non-respect du texte. Doctorante au Max Planck Institute for Security and privacy et membre du comité européen de la protection des données (EDPB), Lin Kyi a en effet présenté un travail mené sur le design des bandeaux de recueil du consentement des utilisateurs. Résultat des courses : une démonstration empirique que le design de ces éléments joue sur le taux d’acceptation ou de refus des internautes d’être tracés.

Autre point peut être moins évident à débusquer : le flou qui entoure la notion d’ « intérêt légitime », l’une des bases légales prévues par le RGPD pour permettre le traitement des données personnelles. Quand on parle d’intérêt légitime, s’agit-il de celui de l’utilisateur ? De celui de l’entreprise ? À défaut de certitude, ces dernières utilisent le concept de manière variable, plutôt à leur avantage, et souvent sans donner d’explication claire aux utilisateurs.

Des adaptations aux règlements… souvent faites au dernier moment

Signal plus positif, Yana Dimova, doctorante en informatique à l’université de Louvain, a présenté l’évolution des pratiques de Facebook en matière de dépôt de cookie auprès des non-utilisateurs de la plateforme depuis 2015. Cette année-là, la DPA belge avait intimé à l’entreprise de cesser de déposer le cookie « Datr », qu’elle avait identifié comme servant à tracer toutes sortes d’internautes, y compris non-membres du réseau social.

Au fil du temps – et des amendes, notamment infligées par la CNIL –, Facebook a bien adapté ses pratiques. En revanche, note l’informaticienne, la définition donnée aux utilisateurs des cookies et de leur utilité reste vague. Et les internautes restent « nudgés » (instrumentalisés, sans contrainte, ndlr) vers l’acceptation des traceurs.

Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

Autre enseignement pour les travaux futurs : en s’appuyant sur les données open source disponibles sur Github, le doctorant en informatique à l’école polytechnique de Zürich Karel Kubicek s’est de son côté penché sur la manière dont les développeurs implémentent des évolutions d’outils pour se conformer au RGPD.

Résultat des courses : un pic net d’activité est apparu en 2018, autour de l’entrée du texte en vigueur, et après deux ans de quasi-inactivité, ce qui « pose la question de l’utilité de cette période de grâce ». Après étude des actions des développeurs californiens, l’informaticien rapporte par ailleurs un relatif entremêlement des modifications réalisées pour se conformer au RGPD et à la loi californienne sur la protection des données. « Il semblerait que la communauté open source s’intéresse plus à la simplicité qu’au fait de chercher à récupérer un maximum de données », note-t-il.

Enfin, que ce soit directement au sujet des effets du RGPD, pour Lin Kyi, ou à propos de sujets connexes de protection de la vie privée, pour la représentante de la Security and Privacy Research team de Google Sunny Consolvo ou la doctorante en sociologie Laurianne Trably, plusieurs intervenantes ont souligné le besoin de créer des espaces de discussion plus mixtes, intégrant notamment les utilisateurs finaux.

Exposant les résultats d’une étude menée auprès d’internautes français vivant en milieu rural, cette dernière a en effet montré que la compréhension de la vie privée qu’ont les utilisateurs peut s’éloigner, ou a minima varier, de l’idée que s’en font les experts du sujet, tant du côté juridique que du côté technique.

Source : nextinpact.com

pas tres efficace avoir de la gloire quand il pleut …

je savais même pas que y’avait des conducteurs de ces engins !

@Psyckofox va au four près de chez toi :ahah:

@Violence a dit dans Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste. :

@Ashura a dit dans Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste. :

@Pollux a dit dans Affaire du 8 décembre : le chiffrement des communications assimilé à un comportement terroriste. :

En résumé, aux yeux de la police et de la justice, utilisé Tor, Signal, Telegram ou Proton mail, voire, installé Linux ou être anti GAFA vous rend potentiellement suspect de radicalisation.

hop, on va être fiché S parce qu’on protège notre vie privée :cule_un_smiley:

Le chiffrement de nos connexions, de nos échanges les emmerdent au plus haut point. La suite va être de nous empêcher d’utiliser ses outils au maximum afin de faciliter la cyber surveillance des citoyens.

Déjà que je suis sous vpn h24 sur tous mes appareils a part la shield, ca plus les applis ou mails cryptés ils ne vont pas m’aimer.

@Psyckofox Ben ? Tout le monde sait bien ce que sont les Dalek ! 🙂

@Memorex91 Ubershit avec un compte Telegram et t’es tranquille, ni balles ni flicaille 😉

@Ashura Pas à vie.
Celles qui sont prononcées sont souvent contestées et tous ceux qui l’ont fait devant le tribunal administratif ont obtenu gain de cause.

Le football c’est une page importante de ma vie, je maitrise bien le sujet. 😉

@Violence ba, c’est que j’avais vu ailleurs, c’était peut-être exagérer

Impressionnant pour ceux qui en ont besoin

@Pollux a dit dans Le plus Grand Scandale de Manipulation que les Médias vous cachent. :

j’ai juste repris le titre, certes bien putaclic, de la vidéo

C’est bien de le reconnaître!

Moi c’est mon chat qui me contrôle, et je ne peux rien y faire, il est trop fort.

@Snoubi Et on dit que les suisses sont lents…

https://www.metrotime.be/fr/videos/un-employe-de-disneyland-deguise-en-apprenti-de-marraine-la-bonne-fee-provoque-lindignation-des-visiteurs

Ne pas oublier jeux video magazine qui relai des infos super genre :ahah: :affole:

https://www.reddit.com/r/PSP/comments/qpwma4/daniel_craig_playing_with_a_psp/