De Franse privacytoezichthouder CNIL heeft advertentiebedrijf Criteo een boete van 40 miljoen euro opgelegd voor het tonen van gerichte advertenties zonder dat het toestemming van gebruikers had gekregen voor het verwerken van hun gegevens. Daarmee heeft het bedrijf de AVG op meerdere punten overtreden, aldus de Franse toezichthouder.

Criteo houdt zich bezig met "retargeting", waarbij eerder verkregen informatie van internetgebruikers wordt gebruikt voor het tonen van gerichte advertenties. Om dit te doen maakt Criteo gebruik van trackingcookies die worden geplaatst wanneer internetgebruikers de websites van Criteo-partners bezoeken. Via de trackers analyseert het advertentiebedrijf voor welke adverteerder en voor welk product het het meest relevant zou zijn om een advertentie te tonen aan een bepaalde internetgebruiker.

Eind 2018 diende privacyorganisatie noyb, opgericht door de bekende privacyactivist Max Schrems, en Privacy International een klacht over Criteo in bij CNIL. Het Franse advertentiebedrijf gaf gebruikers geen goede optie om hun toestemming in te trekken, aldus de klacht. Daarop startte de Franse privacytoezichthouder een onderzoek naar Criteo, dat tot de ontdekking van meer overtredingen van de AVG leidde.

Volgens CNIL beschikt Criteo niet over toestemming van gebruikers voor het verwerken van hun gegevens. De trackingcookies van Criteo mogen alleen met toestemming van internetgebruikers worden geplaatst. Het verkrijgen van deze toestemming is de verantwoordelijkheid van de partners van het advertentiebedrijf. Criteo heeft echter nog steeds de verplichting om aan te tonen dat internetgebruikers toestemming hebben gegeven. Uit het onderzoek kwam naar voren dat de trackingcookies zonder toestemming van gebruikers werden geplaatst.

Verder heeft Criteo de regels voor informatie en transparantie geschonden door niet duidelijk te maken voor welke doeleinden de verwerking van gegevens plaatsvond. Zo werden er onder andere vage en brede bewoordingen gebruikt. Tevens ging het advertentiebedrijf de fout in bij het recht op toegang. Personen die bij Criteo een verzoek deden om de gegevens die het bedrijf van hen had kregen, ontvingen onduidelijke informatie. Wanneer personen besloten om hun toestemming in te trekken werd hier niet volledig gehoor aan gegeven en werden gegevens ook niet gewist. Zo bleef de gebruikte gebruikers-ID gewoon bestaan.

Bij het bepalen van het boetebedrag werd onder andere rekening gehouden met het grote aantal gebruikers dat door de AVG-overtredingen van Criteo is geraakt. Het bedrijf beschikt over gegevens van ongeveer 370 miljoen "identifiers" in de hele Europese Unie. Daarnaast verzamelt het bedrijf een grote hoeveelheid data over het browsegedrag van gebruikers. Het boetebesluit werd voorgelegd aan de andere Europese privacytoezichthouders, die zich ook over de activiteiten van Criteo zorgen maakten en akkoord met het bedrag gingen, aldus CNIL.

"We zijn zeer te spreken over de beslissing van CNIL. Het is een duidelijk signaal aan de adtech-industrie dat ze de gevolgen onder ogen moeten zien voor het overtreden van de wet", reageert noyb-advocaat Romain Robert. Volgens de privacyorganisatie is de beslissing van de Franse toezichthouder een grote klap voor het businessmodel van Criteo.