Onrechtmatig gepersonaliseerd adverteren: Boete van 40 miljoen voor Criteo

Het besluit van de CNIL ziet op klachten die eind 2018 zijn ingediend door twee privacy organisaties: Privacy International en None Of Your Business (NOYB). Beide partijen klagen in het algemeen dat de manier waarop Criteo de persoonsgegevens verwerkt onrechtmatig is, maar NOYB gaat ook specifiek in op de moeite die het kost om toestemming (die bijvoorbeeld is gegeven via een cookiebanner) weer in te trekken. Volgens de CNIL zijn er op vijf punten gehandeld in strijd met de wet:

1. Er kan niet (in alle gevallen) worden aangetoond dat geldige toestemming is verkregen;
2. Er is onvoldoende duidelijk en onjuist geïnformeerd over respectievelijk de verwerking en de grondslag;
3. Bij toegangsverzoeken van betrokkenen werd niet alle of onvoldoende informatie gedeeld;
4. Bij het intrekken van toestemming werd niet gestopt met het verwerken van persoonlijke identifiers;
5. Er waren geen afspraken voor gezamenlijke verantwoordelijkheid

Verderop in dit artikel lichten we deze punten verder toe.

Daarbij omschrijft de CNIL de activiteiten van Criteo als massaal en indringend. Zo zou het gaan om de registratie van 35 miljard ‘events’ iedere dag en zou het bedrijf beschikken over persoonsgegevens van 370 miljoen internetgebruikers. Deze gegevens worden daarbij ook nog eens gedeeld met andere bedrijven. De CNIL benadrukt dat deze manier van verwerken het bedrijfsmodel vormt van Criteo en dat het bedrijf financieel voordeel behaalde terwijl de verwerkingen in strijd waren met de wet. Mede daarom koos de toezichthouder voor een boete van 40 miljoen euro, zo’n 2 procent van de wereldwijde jaaromzet.

Toelichting van de 5 punten waar het volgens CNIL aan schort

1. Verantwoordelijkheid voor toestemming via cookiebanner

Eén van de vragen gaat over wie de verantwoordelijkheid heeft om aan te tonen dat er geldige toestemming is verkregen, Criteo of de websitehouders. Vanuit de e-privacy richtlijn is namelijk toestemming vereist voor het verzamelen van persoonsgegevens via tracking cookies. Uit het onderzoek van de CNIL bleek dat meerdere webpagina’s:

• Cookies plaatsten voordat toestemming was gegeven;
• Überhaupt geen toestemming uitvroegen via een cookiebanner;
• Cookies werden geplaatst na weigering;
• Dat de optie tot weigeren niet werd aangeboden

De CNIL onderzocht 12 websites met Criteo tracking-cookies, waarvan 9 door Criteo zelf zijn aangemerkt als hofleverancier van Criteo’s datavoorziening. Daarbij concludeert de CNIL dat bij 50% van de websites geen geldige toestemming is verkregen.

Criteo stelt dat de verantwoordelijkheid hiervoor ligt bij de websitehouders, omdat dit contractueel is opgenomen in de algemene gebruikersvoorwaarden. Volgens de CNIL gaat deze vlieger alleen niet op omdat er hier sprake is van ‘gezamenlijke verwerkingsverantwoordelijkheid’. Dat wil zeggen: zowel Criteo als de websitehouders moeten samen afspreken hoe aan de privacywetgeving wordt voldaan én beiden zijn hiervoor verantwoordelijk. Volgens de Franse toezichthouder heeft Criteo er te weinig aan gedaan om hier duidelijke afspraken over te maken én te controleren dat de websitehouders deze geldige toestemming ook daadwerkelijk uitvragen.

Criteo heeft de processen inmiddels heeft aangepast:

• zo is er duidelijker opgenomen dat websitehouders moeten bewijzen dat toestemming is verkregen;
• Criteo doet inmiddels audits om dit te monitoren;
• banden met websitehouders die geen geldige toestemming verkregen zijn doorgesneden.

De CNIL heeft dit als positief beoordeeld, waarmee niet is uitgesloten dat op deze manier persoonsgegevens verwerkt kunnen worden.

2. Informatieverplichtingen

Een ander punt zien we vaker terugkomen bij besluiten van toezichthouders, namelijk de manier waarop informatie wordt aangeboden. Volgens de CNIL omvatte het privacy statement van Criteo niet alle informatie over de doeleinden waarvoor het bedrijf gegevens verzamelt. Daarnaast was de wel beschikbare informatie vaag en breed opgeschreven, die de CNIL als voldoende duidelijk beschouwt.

3. Recht op inzage

Ook ging de CNIL in op de manier waarop Criteo omging met betrokkenen die inzage van hun persoonsgegevens vroegen. Criteo beschikte over een database met zes tabellen, maar de betrokkenen kreeg op verzoek slechts inzage in drie tabellen. De CNIL concludeerde daarentegen dat ook in twee van de overige tabellen persoonsgegevens waren opgenomen die gedeeld moeten worden. Daarnaast was het bij het verschaffen van toegang ook niet duidelijk voor de betrokkenen wat de betekenis is van gedeelde (technisch ogende) tabellen. Criteo dient daarvoor aanvullende informatie te verschaffen. Ook dit proces is inmiddels door Criteo aangepast.

4. Intrekken toestemming/verwijdering

Het vierde punt ziet op de mogelijkheid voor betrokkenen om hun toestemming in te trekken óf hun persoonsgegevens te verwijderen. Criteo had tot dusver het proces zo ingericht dat bij het intrekken of een verzoek tot verwijdering enkel gestopt werd met het tonen van online advertenties. Criteo stopte dus niet met de verwerking van bepaalde persoonsgegevens, zoals een cookie-identifier. Volgens de CNIL had Criteo ook deze gegevens moeten verwijderen.

Criteo heeft dit gewijzigd door in het privacy statement een proces in te richten met een knop ‘deactivate Criteo services’. Wat betreft het daadwerkelijk verwijderen van persoonsgegevens houdt Criteo alleen wel een slag om de arm en zegt het bedrijf dit per situatie te beoordelen.

5. Gezamenlijke verantwoordelijkheid

Tot slot werd eerder al duidelijk dat de CNIL vindt dat Criteo verantwoordelijkheid deelt met de websitehouders ten aanzien van de verwerkingen. Daarom had het naast de controle op geldige toestemming ook gezamenlijke afspraken moeten maken met de websitehouders. Criteo beriep zich op de verplichtingen die zijn neergelegd in de gebruikersvoorwaarden, maar de CNIL beoordeelt dat als onvoldoende. Volgens de toezichthouder moeten er bijvoorbeeld duidelijke afspraken gemaakt worden over de verplichtingen ten aanzien van de rechten van betrokkenen, het melden van een datalek en wie er, indien nodig, een data privacy impact assessment uit moet voeren. Criteo heeft de gebruikersvoorwaarden inmiddels aangescherpt en daarmee lijkt het te voldoen aan de eisen van de CNIL.

Wat betekent dit voor de sector

Het gebruik van tracking cookies en cookiebanners ligt al een tijdje onder het vergrootglas. Naast het feit dat óók Google volgend jaar stopt met third-party tracking cookies, is er ook veel discussie over de vraag of gepersonaliseerd adverteren wel ethisch of juridisch verantwoord is. Ondanks dat Criteo een fikse boete krijgt in dit besluit, lijkt de Franse toezichthouder ook te erkennen dat het verwerken van persoonsgegevens voor gepersonaliseerde advertenties wél mogelijk is. Voorwaarde hiervoor is wel dat je het proces goed inricht door het verkrijgen van geldige toestemming, duidelijk te informeren en de verantwoordelijkheid te pakken.

Heb je nog vragen en ben je lid? Laat het ons weten via legal@ddma.nl

Romar van der Leij

Voormalig Legal counsel | DDMA