Advertentiebedrijf Criteo heeft het beroep verloren dat het had aangespannen tegen een AVG-boete van 40 miljoen euro, die het in 2023 van de Franse privacytoezichthouder CNIL kreeg opgelegd. Volgens CNIL had Criteo geen toestemming gekregen voor het verwerken van de gegevens van internetgebruikers. Deze data werd gebruikt voor het tonen van gerichte advertenties. Daarmee overtrad het bedrijf de AVG, oordeelde de toezichthouder.

Criteo houdt zich bezig met "retargeting", waarbij eerder verkregen informatie van internetgebruikers wordt gebruikt voor het tonen van gerichte advertenties. Om dit te doen maakt Criteo gebruik van trackingcookies die worden geplaatst wanneer internetgebruikers de websites van Criteo-partners bezoeken. Via de trackers analyseert het advertentiebedrijf voor welke adverteerder en voor welk product het het meest relevant zou zijn om een advertentie te tonen aan een bepaalde internetgebruiker.

Eind 2018 diende privacyorganisatie noyb, opgericht door de bekende privacyactivist Max Schrems, en Privacy International een klacht over Criteo in bij CNIL. Het Franse advertentiebedrijf gaf gebruikers geen goede optie om hun toestemming in te trekken, aldus de klacht. Daarop startte de Franse privacytoezichthouder een onderzoek naar Criteo, dat tot de ontdekking van meer overtredingen van de AVG leidde.

Volgens CNIL beschikte Criteo niet over toestemming van gebruikers voor het verwerken van hun gegevens. De trackingcookies van Criteo mogen alleen met toestemming van internetgebruikers worden geplaatst. Het verkrijgen van deze toestemming is de verantwoordelijkheid van de partners van het advertentiebedrijf. Criteo heeft echter nog steeds de verplichting om aan te tonen dat internetgebruikers toestemming hebben gegeven. Uit het onderzoek kwam naar voren dat de trackingcookies zonder toestemming van gebruikers werden geplaatst.

Beroep

Criteo ging bij de hoogste Franse bestuursrechter tegen de boete in beroep. Volgens het advertentiebedrijf zijn pseudonieme identifiers geen persoonlijke data en beschikt het niet over alle gegevens om iemand op basis van een toegekende identifier opnieuw te identificeren. De bestuursrechter is het hier niet mee eens en stelt dat, gezien het doel gerichte advertenties is, een grote hoeveelheid informatie aan een identifier is te koppelen.

Ook Criteo stelt dat het niet technisch onmogelijk is om sommige mensen te identificeren. Volgens de rechter moeten deze identifiers dan ook als persoonlijke data worden beschouwd. De rechter verklaarde het beroep van Criteo ongegrond en handhaafde de eerder door CNIL opgelegde boete van 40 miljoen euro, zo laat privacyorganisatie noyb weten.