Amende de 40000000€ pour Criteo

Amende de € pour Criteo

Commission Nationale de l'Informatique et des Libertés (CNIL)

Demander une démo

Date de l'amende

15/6/2023

Structure ou entité mise en cause :

Criteo

Quelle est la base légale ?

Respect insuffisant des droits des personnes concernées

Détail des faits

L'APD a infligé une amende de 40 millions d'euros à CRITEO, le responsable du traitement des données. Il s'agit d'une société spécialisée dans le « reciblage publicitaire ». Il s'agit d'une société qui suit le comportement de navigation des internautes via des trackers Criteo (cookies) afin de leur montrer des publicités personnalisées. Au cours de son enquête, l'APD a constaté de nombreuses lacunes dans le traitement des données. Tout d'abord, l'APD a constaté que le responsable du traitement n'avait pas réussi à prouver que les internautes avaient donné leur consentement au suivi à l'aide des trackers Criteo. De plus, le responsable du traitement n'avait pas veillé à ce que ses partenaires obtiennent le consentement des internautes dont il traitait les données. L'APD a également constaté que la politique de confidentialité du responsable du traitement n'était pas complète, car elle n'énumérait pas toutes les finalités pour lesquelles il traitait les données. De plus, certaines finalités n'étaient pas clairement définies. En outre, le responsable du traitement n'avait pas répondu de manière adéquate aux demandes d'informations des personnes concernées concernant leurs données personnelles. L'APD a également constaté que lorsque les personnes concernées demandaient le retrait de leur consentement ou la suppression de leurs données, le responsable du traitement s'était simplement assuré que les utilisateurs ne se voyaient plus présenter de publicités personnalisées. Le responsable du traitement n'a toutefois pas supprimé les données personnelles des personnes concernées. Enfin, l'APD a constaté que l'accord entre le responsable du traitement et un responsable conjoint du traitement était incomplet. Pour déterminer le montant de l'amende, l'APD a considéré comme un facteur aggravant le fait qu'un grand nombre de personnes étaient concernées.

Articles du RGPD concernés :

- Article 7 : Conditions applicables au consentement
- Article 3 : Champ d'application territorial
- Article 12 : Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
- Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
- Article 15 : Droit d'accès de la personne concernée
- Article 17 : Droit à l'effacement («droit à l'oubli»)
- Article 26 : Responsables conjoints du traitement
Télécharger le document officiel de la décision

Questions fréquemment posées

Vous avez encore des questions? Contactez-nous! Nous serons ravis de vous aider.

Qu’est-ce que Leto et à qui s’adresse la solution ?

Leto est une suite logicielle qui aide les entreprises à piloter leur conformité RGPD, la sécurité des données et la sensibilisation des équipes, sans complexité inutile.La solution s’adresse aussi bien aux PME qu’aux ETI, et accompagne les dirigeants, DPO, équipes juridiques, RH et techniques dans la mise en œuvre concrète et continue de la conformité.

Combien de temps faut-il pour mettre en place Leto ?

La prise en main est rapide. En quelques jours, vous pouvez cartographier vos traitements, structurer votre feuille de route RGPD et commencer à sensibiliser vos équipes.Leto repose sur des modèles prêts à l’emploi, une automatisation poussée et un accompagnement guidé par l’IA, ce qui réduit fortement le temps et l’effort nécessaires.

En quoi Leto est-il différent des autres outils RGPD ?

Leto ne se limite pas à produire de la documentation. La plateforme automatise les tâches chronophages, facilite la collaboration entre équipes et transforme la conformité en un processus vivant et pilotable.Avec Hari, l’IA de Leto, vous êtes guidé à chaque étape : génération de documents, réponses aux questionnaires sécurité, priorisation des actions et aide à la décision.

Mes données sont-elles en sécurité avec Leto ?

Oui. Leto est conçu selon les principes de privacy by design.La plateforme ne copie pas vos données personnelles, l’hébergement est 100 % français et les mesures de sécurité sont intégrées nativement pour garantir la confidentialité, l’intégrité et la traçabilité des informations.

Puis-je tester Leto avant de m’engager ?

Oui. Vous pouvez demander une démonstration personnalisée afin de découvrir concrètement la plateforme, ses fonctionnalités et son adéquation avec vos enjeux. Cette démo vous permet d’évaluer rapidement la valeur de Leto pour votre organisation, sans engagement.

Leto peut-il remplacer un DPO ou un cabinet de conseil RGPD ?

Leto est un outil d'aide à la conformité, pas un remplacement du DPO. La plateforme automatise les tâches chronophages et structure votre démarche, mais les décisions et analyses de fond restent de la responsabilité des équipes ou du DPO. Pour les entreprises sans DPO interne ni profil en charge du sujet RGPD, Leto propose un accompagnement complémentaire via des partenaires certifiés.

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026