Advertentiebedrijf Criteo verliest beroep tegen hoge AVG-boete
Het Franse advertentiebedrijf Criteo heeft het beroep tegen een flinke boete van de Franse privacytoezichthouder CNIL verloren. De boete, ter hoogte van veertig miljoen euro, werd opgelegd vanwege schendingen van de Algemene Verordening Gegevensbescherming (AVG). De Raad van State in Frankrijk heeft het besluit van de toezichthouder nu grotendeels bevestigd, waarmee de financiële sanctie definitief lijkt te zijn.
De aanleiding voor de boete
Criteo is een bekende speler op het gebied van online marketing en gepersonaliseerde reclame. Het bedrijf verzamelt online surfgedrag van miljoenen internetgebruikers om advertenties af te stemmen op individuele interesses. Deze werkwijze is echter sterk afhankelijk van het gebruik en de verwerking van persoonlijke gegevens, wat het bedrijf onder het bereik van de AVG brengt. Na onderzoek concludeerde de CNIL in 2022 dat Criteo onvoldoende transparantie bood en dat het bedrijf zonder geldige toestemming persoonsgegevens verwerkte.
Waar Criteo volgens de toezichthouder de fout in ging
Uit het onderzoek van de CNIL bleek dat Criteo niet duidelijk genoeg informeerde over de manier waarop gegevens werden verzameld en gebruikt. Internetgebruikers zouden geen inzicht krijgen in welke data precies werden verwerkt en met welk doel. Daarnaast ontving Criteo data van samenwerkende websites, waarbij niet altijd kon worden vastgesteld dat de bezoekers daar daadwerkelijk toestemming voor hadden gegeven. Volgens de CNIL ging het om een fundamenteel gebrek aan naleving van de regels over toestemming en transparantie, kernpunten van de AVG.
De rol van toestemming in online advertenties
Centraal in de zaak stond de vraag of Criteo actief en aantoonbaar toestemming had verkregen van gebruikers voor het verwerken van hun gegevens. De AVG vereist dat toestemming wordt gegeven voordat trackingcookies geplaatst en persoonlijke gegevens verwerkt mogen worden. De CNIL stelde dat Criteo vertrouwde op de toestemming die werd gevraagd door externe websites, maar dat het bedrijf zelf onvoldoende had gecontroleerd of die toestemming werkelijk geldig was. Daarmee schond Criteo volgens de toezichthouder de verplichting om zelf toe te zien op naleving.
Criteo’s verweer en argumenten
Criteo voerde in de beroepsprocedure aan dat het bedrijf altijd in lijn met de Europese privacywetgeving heeft gehandeld. Volgens het bedrijf lag de verantwoordelijkheid voor het informeren van gebruikers bij de websites die hun technologie integreren, niet bij Criteo zelf. Criteo benadrukte bovendien dat het geen direct identificeerbare persoonsgegevens, zoals namen of e-mailadressen, verwerkte. De gebruikte gegevens zouden grotendeels anoniem of pseudoniem zijn. Verder stelde het bedrijf dat de hoogte van de boete buitenproportioneel was in vergelijking met de ernst van de vermeende overtredingen.
De beoordeling door de Franse Raad van State
De hoogste Franse bestuursrechter volgde de kern van de redenering van de CNIL. Volgens de Raad van State had Criteo als gegevensverantwoordelijke wel degelijk een eigen plicht om te controleren of toestemming op correcte wijze was verkregen. Het feit dat partnerwebsites met Criteo samenwerkten, ontslaat het bedrijf niet van verantwoordelijkheid. Wel oordeelde de Raad dat één onderdeel van de opgelegde sanctie niet voldoende onderbouwd was, namelijk het verwijt dat gebruikers onvoldoende controle hadden over hun gegevens. Ondanks dat punt bleef de boete van veertig miljoen euro grotendeels in stand, omdat de overige inbreuken zwaar wogen.
De impact van de uitspraak
De uitspraak heeft belangrijke gevolgen voor de reclame- en dataverwerkingssector. Advertentiebedrijven die afhankelijk zijn van gebruikersprofielen en trackingmechanismen zullen zich bewuster moeten zijn van hun eigen verantwoordelijkheid bij het verkrijgen van toestemming. De beslissing van de Raad van State maakt duidelijk dat het niet volstaat om te vertrouwen op externe partners of websites om aan de AVG te voldoen. Bedrijven moeten actief aantonen dat alle gegevens op rechtmatige wijze worden verwerkt en dat gebruikers volledig geïnformeerd zijn over wat er met hun data gebeurt.
Reactie en toekomstverwachting
Na de uitspraak liet Criteo weten teleurgesteld te zijn over de uitkomst, maar benadrukte het bedrijf dat het blijft streven naar een verantwoorde omgang met privacy. Volgens Criteo is de advertentiemarkt sterk in beweging en vraagt de balans tussen personalisatie en privacy om voortdurende aanpassing. Tegelijkertijd geeft de zaak een krachtig signaal af aan andere spelers in de digitale marketingwereld. De handhaving door de CNIL en de bevestiging door de Raad van State tonen dat toezichthouders in Europa bereid zijn om streng op te treden tegen organisaties die niet volledig aan de AVG voldoen. Daarmee wordt het belang van transparantie en naleving opnieuw onderstreept.
Conclusie: een duidelijke waarschuwing voor de sector
Met de definitieve bevestiging van de boete tegen Criteo zet de Franse Raad van State de toon voor toekomstige handhaving van privacyregels in de advertentiewereld. De zaak maakt duidelijk dat bedrijven die persoonsgegevens verzamelen en verwerken, ook indirect via partners, een eigen verantwoordelijkheid dragen om te zorgen dat toestemming op de juiste manier is verkregen. De boete van veertig miljoen euro illustreert dat overtredingen van de AVG niet alleen reputatieschade opleveren, maar ook grote financiële risico’s met zich meebrengen. Voor de gehele online advertentiebranche is dit een belangrijk moment van bezinning over hoe men met gebruikersdata omgaat en hoe privacy structureel beter kan worden geborgd.