L’article 4, 2) du RGPD définit un traitement comme  » toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction « .

En l’espèce, la formation restreinte relève que la société met en œuvre un traitement de données dit de  » reciblage publicitaire  » à des fins d’affichage de publicité personnalisée (ci-après le  » traitement en cause « ).

Concrètement, la société collecte les données de navigation des internautes grâce à des cookies qui sont déposés dans leurs terminaux lorsqu’ils se rendent sur l’un des sites de leurs partenaires, comprenant des éditeurs et des annonceurs. Lorsqu’un internaute se rend sur le site web d’un partenaire, la société inscrit un cookie dans le terminal de son navigateur, lequel se voit attribuer un identifiant unique, appelé Criteo ID, qui lui permettra de le reconnaître lors de ses futures visites sur les autres sites des partenaires.

Ainsi, lorsqu’un internaute visite le site web d’un annonceur partenaire, la société enregistre dans sa base de données les actions de l’internaute via le cookie (par exemple, la visite de la page d’accueil, la connexion à un compte utilisateur, le clic sur une page  » produit « , l’ajout d’un article au panier d’achat).

Ensuite, lorsque l’internaute visite le site web d’un éditeur partenaire, l’éditeur adresse une requête à la société afin de lui transmettre des informations telles que la dimension de l’encart publicitaire, la nature du site éditeur ainsi qu’un identifiant permettant à la société de reconnaître l’internaute.

La société utilise alors ses technologies de traitement de données pour déterminer quelle publicité serait la plus pertinente à afficher à l’internaute en fonction de ses habitudes de navigation et des produits ou services qui pourraient l’intéresser. En fonction de cette analyse, la société participe ensuite à une enchère en temps réel ( » real time bidding  » ou  » RTB « ) pour l’affichage d’une publicité sur l’espace publicitaire de l’éditeur. Si la société remporte l’enchère, la bannière publicitaire d’un annonceur est affichée dans l’encart disponible sur le site web de l’éditeur.

Ainsi, en tant qu’intermédiaire entre des annonceurs et des éditeurs de sites web, la société aide, d’une part, les annonceurs à toucher leur public cible avec des publicités plus pertinentes, d’autre part, les éditeurs à valoriser leurs espaces publicitaires.

Sur la qualification de données à caractère personnel des données traitées par la société CRITEO

L’article 4, 1) du RGPD définit une donnée à caractère personnel comme  » toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée  » personne concernée « ) ; est réputée être une  » personne physique identifiable  » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale « .

Le considérant 30 du RGPD, qui s’inscrit dans une jurisprudence bien établie de la Cour de justice de l’Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SA C 70/10, pt. 51 et 19 oct. 2016, Breyer, C-582/14) prévoit quant à lui qu’un identifiant en ligne associé à une personne physique, tel qu’une adresse IP ou un témoin de connexion, peut  » laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes « .

Dans son arrêt Breyer précité, rendu sous l’empire de la directive 95/46/CE, la CJUE a souligné l’importance d’une approche casuistique du caractère identifiant ou non d’une donnée plutôt qu’une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

La formation restreinte relève également que l’identifiant de cookie Criteo ID, attribué par la société au moyen des cookies qu’elle dépose, a pour but de distinguer chaque individu dont elle collecte les données et que de très nombreuses informations destinées à enrichir le profil publicitaire de l’internaute sont associées à cet identifiant :

– des données liées à l’identification de la personne : emplacement géographique à partir d’adresse IP, identifiant utilisateur Criteo, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires ;

– des données liées à l’activité de la personne, qui correspondent au suivi de l’historique de navigation de l’internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l’acte d’achat. Cela comprend également les éventuelles interactions de l’utilisateur avec les publicités qui lui sont présentées (l’utilisateur a-t-il cliqué sur la bannière ? a-t-il procédé à un achat ?) ;

– des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l’utilisateur les produits les plus pertinents, compte tenu de ses centres d’intérêt.

Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou  » logué « ) sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.

Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD.

Il en résulte que le RGPD est applicable et que, eu égard à ce qui a été indiqué ci-dessus, la société est responsable de traitement du traitement en cause.

(CNIL, Délibération SAN-2023-009 du 15 juin 2023, nos 22-42)

Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063)

Me Philippe Ehrenström, avocat, LLM, CAS, Gemève et Onnens (VD)