40 miljoen euro boete voor cookie-profilering door Criteo


De Franse toezichthouder op de privacy legt Criteo een geldboete op van veertig miljoen euro, las ik bij Emerce. Criteo biedt ‘behavioral retargeting’-diensten aan en gebruikt daarbij cross-site trackingcookies, maar kon niet aantonen dat het toestemming had om profieldata te verwerken van een groep online gebruikers. Ook intrekken van toestemming en andere AVG-rechten waren niet goed geregeld. De boete is stevig gezien het bedrijf, maar het precedent is interessanter: dit raakt vele, vele online advertentiedienstverleners.

De boete is het gevolg van een handhavingsverzoek van het Britse Privacy International, waar de bekende Oostenrijkse ngo none of your business (noyb) zich bij aansloot. Het leidde tot een uitgebreid onderzoek door de Franse privacywaakhond CNIL, die tal van schendingen van de AVG aan het licht bracht.

Allereerst begint men met vaststellen dat al die tracking profielen wel degelijk persoonsgegevens zijn, ondanks dat je geen namen of contactgegevens hebt. Ik signaleer dit even omdat het argument nog steeds gemaakt wordt, onder meer in discussies over wanneer mensen “identificeerbaar” zijn als je niet weet hoe ze heten. Maar je identiteit is dus meer dan enkel de naam in je paspoort, het nummer van je trackingcookie is gewoon ook een identifier.

Toestemming vragen was het grote probleem. Criteo vraagt niet zelf om toestemming, maar laat haar partners dat doen. De meesten gebruiken daar standaard popups voor, maar sommigen bleken dat niet te doen. De CNIL rekent dat Criteo aan (en terecht), want zij gebruiken die gegevens als zelfstandig verwerkingsverantwoordelijke en moeten dus nagaan of alles klopt. Natuurlijk hebben ze dan vrijwaringen en garanties in de contracten geëist met de partners, maar dat betekent hooguit dat ze een deel van die 40 miljoen als schadeclaim bij hun partners kunnen verhalen.

De privacyverklaring van Criteo was inhoudelijk ontoereikend, onder meer door gebruik van vage en generieke termen. Dat is ondertussen aangepast lees ik. Maar het ging ook mis bij de rechten van betrokkenen: niet alle data werd verstrekt bij een inzageverzoek, en je toestemming intrekken of je gegevens laten wissen bleek ook niet goed te gaan:

When a person exercised their right to withdraw consent or deletion of their data, the process implemented by the company only stopped the display of personalised advertisements to the user. However, the company did not delete the identifier assigned to the person or erase navigational events related to that identifier.

Dat klopt natuurlijk niet. Dit is ondertussen dan ook aangepast:

As regards the erasure of data, the company invites the users to send their requests by email to the Data Protection Officer (DPO). For each request, it is up to the company to determine and justify whether data concerning the user may continue to be processed for other purposes and on what legal basis such processing may be based.

Hier heb ik dan een tikje moeite mee, omdat het nogal wat gedoe is om aan te tonen dat het jouw data is. Plus, die arme DPO zal ondergesneeuwd worden. Waarom is niet geëist dat hier een knopje voor gebouwd wordt?

Wie nu denkt, dit klinkt niet alsof Criteo het nu heel bizar had aangepakt, dit lijkt op hoe iedereen het doet: die heeft een punt. Maar zoals dat zo vaak gaat bij de AVG, iedereen kijkt het aan, past wellicht drie zinnen aan in de privacyverklaring en gaat verder tot de volgende incidentele boete. Of ben ik nu te cynisch?

Arnoud



https://blog.iusmentis.com/2023/06/28/40-miljoen-euro-boete-voor-cookie-profilering-door-criteo/