La CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

Par cette décision, la CNIL a eu l’opportunité de qualifier le retargeting publicitaire en traitement de données personnelles.

La qualification de donnée personnelle

L’article 4, 1) du RGPD définit une donnée à caractère personnel comme ” toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée ” personne concernée “) ; est réputée être une ” personne physique identifiable ” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale “.

Une jurisprudence établie

Le considérant 30 du RGPD, qui s’inscrit dans une jurisprudence bien établie de la Cour de justice de l’Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SA C 70/10, pt. 51 et 19 oct. 2016, Breyer, C-582/14) prévoit quant à lui qu’un identifiant en ligne associé à une personne physique, tel qu’une adresse IP ou un témoin de connexion, peut ” laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes “.

Dans son arrêt Breyer précité, rendu sous l’empire de la directive 95/46/CE, la CJUE a souligné l’importance d’une approche casuistique du caractère identifiant ou non d’une donnée plutôt qu’une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

Le rapprochement des données est déterminant

La société CRITEO traite des données à caractère personnel, compte tenu de ce qu’au regard du nombre et de la diversité des données collectées et du fait qu’elles sont toutes reliées à un identifiant, il est possible, avec des moyens raisonnables, de réidentifier les personnes physiques auxquelles ces données se rapportent.

Dans cette affaire, CRITEO a estimé à tort qu’elle traite des ” évènements de navigation “, qui sont des données techniques pseudonymisées qui ne lui permettent pas d’identifier directement les internautes auxquelles elles sont rattachées. Elle soutient qu’elle n’est amenée à reconnaître l’identité d’une personne que dans l’hypothèse d’une demande de droit d’accès où elle pourra faire la correspondance entre l’identifiant de cookie Criteo (Criteo ID) et l’identité de la personne physique. En dehors d’une telle hypothèse, elle estime que le risque de réidentification est très faible et produit sur ce point des simulations effectuées par des prestataires.

Elle en tire comme conclusion que dès lors qu’elle ne traite que des données pseudonymisées, les éventuels manquements qu’elle aurait commis ont eu un impact très restreint pour les personnes concernées, ce dont la formation restreinte devrait tenir compte dans son appréciation.

Pas de véritable anonymisation des données

Or, seule une véritable anonymisation des données traitées, en faisant perdre aux données leur caractère ” personnel “, c’est-à-dire, sans possibilité de réidentifier la personne physique à laquelle elles se rapportent, ferait échapper le traitement à l’ensemble des exigences du RGPD.

Si la société ne prétend pas traiter des données anonymisées, elle affirme ne traiter que des données pseudonymisées présentant un risque de réidentification très faible.

L’identifiant de cookie Criteo ID, attribué par la société au moyen des cookies qu’elle dépose, a pour but de distinguer chaque individu dont elle collecte les données et que de très nombreuses informations destinées à enrichir le profil publicitaire de l’internaute sont associées à cet identifiant, parmi lesquelles :

– des données liées à l’identification de la personne : emplacement géographique à partir d’adresse IP, identifiant utilisateur Criteo, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires ;

– des données liées à l’activité de la personne, qui correspondent au suivi de l’historique de navigation de l’internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l’acte d’achat. Cela comprend également les éventuelles interactions de l’utilisateur avec les publicités qui lui sont présentées (l’utilisateur a-t-il cliqué sur la bannière ? a-t-il procédé à un achat ?) ;

– des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l’utilisateur les produits les plus pertinents, compte tenu de ses centres d’intérêt.

La CNIL a considéré que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou ” logué “) sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.

Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD.

Il en résulte que le RGPD est applicable, la société CRITEO étant responsable de traitement du traitement en cause.