Fondée en 2005 en France, la société CSA (ci-après la  » société « ) est spécialisée dans l’affichage de publicités ciblées sur le web.  La société met en œuvre des traitements de données dits de  » reciblage publicitaire « , qui consistent à suivre les habitudes de navigation des internautes pour leur afficher des publicités personnalisées, au moyen de cookies déposés dans les terminaux des utilisateurs.

Sur le manquement aux obligations d’information et de transparence :

L’article 12, paragraphe 1, du RGPD dispose que :  » Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique « .

Aux termes de l’article 13 du RGPD, le responsable de traitement doit fournir à la personne concernée les informations suivantes :

 » a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b) le cas échéant, les coordonnées du délégué à la protection des données ;

c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et

f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition « .

En l’espèce, le rapporteur soutient que l’information fournie par la société aux personnes concernées n’était pas complète en ce qu’elle ne renseignait pas toutes les finalités relatives au traitement en cause dans la version de sa politique de confidentialité [Privacy Notice – cf https://gdpr.eu/privacy-notice/] applicable à la date des constatations, notamment la finalité relative à l’amélioration de ses technologies.

La formation restreinte rappelle, en premier lieu, que le RGPD distingue le régime de l’obligation d’information qui s’impose au responsable de traitement en fonction de la nature de la collecte des données : le responsable de traitement est soumis aux dispositions de l’article 13 du RGPD lorsque les données sont collectées directement auprès de la personne concernée et aux dispositions de l’article 14 du RGPD dans le cas contraire.

Elle ajoute qu’au point 26 de ses lignes directrices du 29 novembre 2017 sur la transparence, dans leur version révisée du 11 avril 2018, le CEPD rappelle que l’article 13 du RGPD s’applique aussi lorsque les données sont collectées par le responsable de traitement  » par observation « , c’est-à-dire lorsque le responsable de traitement collecte les données via l’utilisation de capteurs de toute sorte.

La formation restreinte relève que le Conseil d’Etat a adopté la même interprétation dans une décision rendue avant l’entrée en application du RGPD, en considérant que le fait que la collecte ne nécessite aucune intervention des personnes concernées était sans incidence sur le caractère direct de cette collecte (Conseil d’Etat, 10ème – 9ème chambres réunies, 8 février 2017, JCDecaux, n° 393714).

En l’espèce, la formation restreinte relève que les données sont bien collectées par la société directement auprès de l’internaute, dès lors que lorsque ce dernier navigue sur le site web d’un partenaire de la société, les requêtes du cookie C permettant à cette dernière de savoir qu’un internaute arrive sur la page d’accueil, se connecte à un compte ou encore clique sur une page  » produit « , sont directement adressées à ses serveurs, sans transiter par un autre responsable de traitement.

La collecte des données étant réalisée auprès des personnes, la formation restreinte en conclut que l’article 13 du RGPD s’applique à la société.

En deuxième lieu, la formation restreinte relève que les conditions générales d’utilisation des services C prévoient que les partenaires de la société doivent intégrer dans leur site web une politique de protection des données à caractère personnel comportant un lien vers la politique de confidentialité de Criteo.

Elle relève que la section  » Base juridique du traitement des données  » de la politique de confidentialité de la société C, dans sa version applicable à la date des constatations, mentionnait que :  » Les opérations de traitement de C respectent les réglementations en vigueur, dans les pays exigeant le consentement des utilisateurs pour l’utilisation de cookies ou de toute autre technologie similaire. Ce consentement est recueilli sur les sites Web et les applications mobiles des Annonceurs et des Éditeurs « .

Par ailleurs, il était également mentionné sous la même section que :  » C considère avoir un intérêt légitime à traiter vos données aux fins exprimées dans la présente politique de confidentialité, notamment pour :

– respecter les accords commerciaux passés avec nos clients et partenaires ;

– permettre à nos Annonceurs de promouvoir leurs produits et services ;

– permettre à nos Éditeurs de financer leurs activités « .

La formation restreinte considère, d’abord, que la première formulation crée une incertitude quant à la base juridique du traitement en ce qu’elle ne permet pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données repose sur leur consentement.

Elle estime, ensuite, que les finalités annoncées par la société dans la seconde formulation sont exprimées dans des termes vagues et larges qui ne permettent pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs. Par ailleurs, la formation restreinte considère contradictoire de mentionner que les finalités relatives à la promotion des produits des annonceurs et au financement des activités des éditeurs reposent sur la base juridique de l’intérêt légitime alors lors que ces finalités sont directement liées au traitement d’affichage de publicité personnalisé, lequel repose, selon la société elle-même, sur la base juridique du consentement des internautes. La formation restreinte ajoute qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée.

La formation restreinte relève que la société a répondu à ces lacunes dans la nouvelle version de sa politique de confidentialité, dès lors que cette dernière précise désormais que le consentement s’applique aux personnes résidant dans l’Espace économique européen et qu’elle inclut un tableau synthétisant l’ensemble des finalités de son traitement, dont celles reposant sur la base juridique de l’intérêt légitime, qui comprend une description détaillée de ces finalités et des catégories de données concernées. La formation restreinte observe que la société a également mis fin à la contradiction relevée ci-avant.

En troisième lieu, la formation restreinte relève que la rubrique  » Finalité du traitement de données personnelles  » de la politique de confidentialité de la société, dans sa version applicable à la date des constatations, contenait uniquement la ligne suivante :  » C traite vos données personnelles pour des annonces personnalisées « .

Or, dans le cadre du contrôle sur place des 16 et 17 septembre 2020, la société précisait à la délégation que le traitement permettait également  » d’optimiser les réponses à donner aux enchères, la sélection d’articles à présenter dans une publicité et proposer la meilleure disposition pour cette bannière « .

Si la formation restreinte admet que certaines opérations techniques décrites par la société concourent directement à la finalité principale d’affichage de la publicité personnalisée, elle estime que d’autres servent en revanche une finalité distincte.

En effet, la société utilise les données collectées par le biais des cookies afin d’améliorer ses propres technologies (finalité dite de  » machine learning « , mobilisant les données collectées par la société pour autoconfigurer des traitements algorithmiques de ciblage). Ainsi, l’objectif principal de ce traitement subséquent vise à améliorer l’efficacité du ciblage publicitaire effectué par C de façon générale. Il s’agit donc d’une finalité distincte, qui devait bien être portée à la connaissance des personnes concernées.

La formation restreinte relève que dans la nouvelle version de sa politique de confidentialité, mise en ligne le 4 novembre 2022, la société distingue désormais bien, au sein de la rubrique  » Utilisation de vos données « , d’une part, la finalité d’ » affichage de la publicité personnalisée  » et, d’autre part, la finalité d’  » entrainement des modèles « , définie comme permettant d’  » améliorer les performances des opérations publicitaires de C « .

Il résulte de ce qui précède qu’en ne délivrant pas aux personnes concernées l’intégralité des informations prévues, en ayant recours à des termes insuffisamment clairs et précis et en présentant une base juridique des traitements erronée, la société a manqué à ses obligations de transparence et d’information prévues aux articles 12 et 13 du RGPD.

(CNIL, Délibération SAN-2023-009 du 15 juin 2023, nos 81-105)

Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)