Het Franse advertentiebedrijf Criteo heeft het beroep verloren tegen een boete van 40 miljoen euro die het in 2023 kreeg opgelegd door de Franse privacytoezichthouder CNIL. De boete werd opgelegd omdat Criteo volgens CNIL persoonsgegevens van internetgebruikers verwerkte zonder geldige toestemming, in strijd met de Algemene Verordening Gegevensbescherming (AVG).

Criteo houdt zich bezig met retargeting, waarbij informatie van internetgebruikers wordt gebruikt om gerichte advertenties te tonen. Hiervoor plaatst het bedrijf trackingcookies via de websites van haar partners. CNIL stelde vast dat deze cookies zonder geldige toestemming werden geplaatst en dat Criteo niet voldeed aan de verplichting om aan te tonen dat gebruikers toestemming hadden gegeven. De klacht werd in 2018 ingediend door privacyorganisatie noyb en Privacy International, waarna CNIL een onderzoek startte dat meerdere AVG-overtredingen aan het licht bracht.

In het beroep stelde Criteo dat de gebruikte pseudonieme identifiers geen persoonsgegevens zouden zijn en dat het bedrijf niet over voldoende gegevens beschikte om gebruikers te identificeren. De hoogste Franse bestuursrechter oordeelde echter dat deze identifiers wel als persoonsgegevens moeten worden beschouwd, omdat ze in combinatie met andere informatie kunnen leiden tot identificatie, zeker gezien het doel van gerichte advertenties. Het beroep werd ongegrond verklaard en de boete van 40 miljoen euro bleef van kracht.