Criteo définitivement sanctionné pour non-respect du RGPD : 4 enseignements pour l’adtech

Par une décision du 4 mars 2026, le Conseil d’État a rejeté le recours formé par Criteo contre la sanction infligée par la CNIL en juin 2023. L’entreprise française demandait l’annulation de la décision rendue par la formation restreinte de la CNIL, qui lui inflige une amende administrative de 40 millions d’euros pour non-respect du RGPD, et ordonne la publication de cette décision pendant une durée de deux ans. Voici 4 leçons que les acteurs de l’adtech peuvent en tirer.

Leçon n°1 : Le caractère pseudonyme des données de navigation et de profilage n’exclut pas l’application du RGPD

Premier enseignement, central : les données de navigation et de profilage, même associées à un identifiant pseudonyme (ID) qui ne permet pas une identification directe des personnes (via le nom ou prénom, par exemple), demeurent des données à caractère personnel pleinement soumises au RGPD.

Devant la CNIL, Criteo soutenait simplement que le caractère pseudonyme des données atténuait l’impact des traitements publicitaires pour les personnes concernées, et donc la gravité des traitements allégués par l’autorité. 

Devant le Conseil d’État, son argumentation a évolué : la société a tenté de démontrer que les données traitées étaient en réalité anonymes, notamment à la lumière d’un arrêt récent de la Cour de justice de l’Union européenne (4 septembre 2025) admettant qu’une donnée pseudonymisée puisse, sous conditions strictes, être qualifiée d’anonyme pour certains tiers.

Le Conseil d’État écarte cet argument en retenant que les données sont enrichies par de multiples informations (IP, localisation, identifiants partenaires, historique de navigation et d’achat), permettant de construire des profils détaillés. Il juge ainsi qu’une partie au moins des personnes reste identifiable par des moyens raisonnables, sans effort disproportionné. 

Le Conseil d’état note par ailleurs que lorsqu’elle reçoit une demande d’accès, la société est bien en mesure de ré-identifier, dans ses systèmes, la personne faisant la demande.

Le message est clair pour le secteur de la publicité en ligne : le fait que vous ne puissiez pas identifier immédiatement et directement les personnes dont vous collectez les données ne signifie pas que celles-ci sont anonymes. En pratique, sauf cas très marginaux, les données de navigation et de profilage publicitaire sont bien des données personnelles, pleinement soumises au RGPD.

Leçon n°2 : Le consentement ne peut pas se déléguer complètement

Deuxième enseignement : vous ne pouvez pas vous retrancher passivement derrière vos partenaires – éditeurs, plateformes, data brokers, etc. – pour la collecte et la preuve du consentement.

Le Conseil d’État confirme une position constante : lorsqu’un traitement repose sur le consentement, le responsable de traitement doit être en mesure d’en démontrer l’existence et la validité, y compris lorsque son recueil a été confié à un partenaire. 

C’est une situation classique pour la publicité en ligne : l’éditeur recueille, via sa CMP, les consentements des internautes pour lui-même et pour les tiers. Mais le raisonnement vaut aussi notamment lorsque les données sont collectées indirectement via des plateformes ou des data brokers.

Dans ces cas, une simple obligation contractuelle imposant au partenaire de recueillir un consentement valable ne suffit donc pas.

Concrètement, cela implique :

• D’obtenir contractuellement une communication effective des preuves de consentement (logs, CMP, horodatage).
• De prévoir et d’exercer des droits d’audits de vos partenaires.
• D’être prêt à suspendre les flux ou la relation en cas de non-conformité.

Leçon n°3 : L’amélioration des modèles est une finalité de traitement distincte

Troisième enseignement, particulièrement actuel : la juridiction confirme que la réutilisation des données pour entraîner ou améliorer les systèmes de ciblage constitue une finalité distincte de la publicité ciblée.

Dès lors, indiquer que les données sont utilisées pour « afficher des publicités personnalisées » ne suffit pas si elles servent également à améliorer, entre autres, les modèles algorithmiques. Vous devez explicitement décrire cette finalité, qui ne peut être diluée dans une formulation générale.

Pour les CMP, le Transparency and Consent Framework (TCF) de l’IAB prévoit la finalité n°10 « Develop and improve services », qui peut reposer sur le consentement ou sur l’intérêt légitime. Si vous êtes vendors vous devez donc activer cette finalité et la reprendre également dans votre politique de confidentialité.

Leçon n°4 : Le droit à l’effacement des données ne se limite pas à un opt-out 

Dernier apport : le droit à l’effacement consacré par l’article 17 du RGPD ne peut être contourné par une simple désactivation du traitement.

En l’espèce, lorsqu’elle recevait une demande d’effacement liée à l’absence de consentement valide pour la publicité ciblée, Criteo se contentait de cesser ce traitement spécifique, tout en conservant les données pour d’autres finalités fondées sur son intérêt légitime (amélioration des modèles, lutte contre la fraude, etc.).

Le Conseil d’État valide la position de la CNIL : l’illicéité (caractère illégal d’un acte) de la collecte initiale des données contamine les traitements ultérieurs de ces mêmes données, de sorte que vous ne pouvez pas les conserver et les réutiliser pour d’autres finalités.