40 miljoen euro boete voor cookie-profilering door Criteo

De Franse toezichthouder op de privacy legt Criteo een geldboete op van veertig miljoen euro, las ik bij Emerce. Criteo biedt ‘behavioral retargeting’-diensten aan en gebruikt daarbij cross-site trackingcookies, maar kon niet aantonen dat het toestemming had om profieldata te verwerken van een groep online gebruikers. Ook intrekken van toestemming en andere AVG-rechten waren niet goed geregeld. De boete is stevig gezien het bedrijf, maar het precedent is interessanter: dit raakt vele, vele online advertentiedienstverleners.

De boete is het gevolg van een handhavingsverzoek van het Britse Privacy International, waar de bekende Oostenrijkse ngo none of your business (noyb) zich bij aansloot. Het leidde tot een uitgebreid onderzoek door de Franse privacywaakhond CNIL, die tal van schendingen van de AVG aan het licht bracht.

Allereerst begint men met vaststellen dat al die tracking profielen wel degelijk persoonsgegevens zijn, ondanks dat je geen namen of contactgegevens hebt. Ik signaleer dit even omdat het argument nog steeds gemaakt wordt, onder meer in discussies over wanneer mensen “identificeerbaar” zijn als je niet weet hoe ze heten. Maar je identiteit is dus meer dan enkel de naam in je paspoort, het nummer van je trackingcookie is gewoon ook een identifier.

Toestemming vragen was het grote probleem. Criteo vraagt niet zelf om toestemming, maar laat haar partners dat doen. De meesten gebruiken daar standaard popups voor, maar sommigen bleken dat niet te doen. De CNIL rekent dat Criteo aan (en terecht), want zij gebruiken die gegevens als zelfstandig verwerkingsverantwoordelijke en moeten dus nagaan of alles klopt. Natuurlijk hebben ze dan vrijwaringen en garanties in de contracten geëist met de partners, maar dat betekent hooguit dat ze een deel van die 40 miljoen als schadeclaim bij hun partners kunnen verhalen.

De privacyverklaring van Criteo was inhoudelijk ontoereikend, onder meer door gebruik van vage en generieke termen. Dat is ondertussen aangepast lees ik. Maar het ging ook mis bij de rechten van betrokkenen: niet alle data werd verstrekt bij een inzageverzoek, en je toestemming intrekken of je gegevens laten wissen bleek ook niet goed te gaan:

When a person exercised their right to withdraw consent or deletion of their data, the process implemented by the company only stopped the display of personalised advertisements to the user. However, the company did not delete the identifier assigned to the person or erase navigational events related to that identifier.
Dat klopt natuurlijk niet. Dit is ondertussen dan ook aangepast:
As regards the erasure of data, the company invites the users to send their requests by email to the Data Protection Officer (DPO). For each request, it is up to the company to determine and justify whether data concerning the user may continue to be processed for other purposes and on what legal basis such processing may be based.
Hier heb ik dan een tikje moeite mee, omdat het nogal wat gedoe is om aan te tonen dat het jouw data is. Plus, die arme DPO zal ondergesneeuwd worden. Waarom is niet geëist dat hier een knopje voor gebouwd wordt?

Wie nu denkt, dit klinkt niet alsof Criteo het nu heel bizar had aangepakt, dit lijkt op hoe iedereen het doet: die heeft een punt. Maar zoals dat zo vaak gaat bij de AVG, iedereen kijkt het aan, past wellicht drie zinnen aan in de privacyverklaring en gaat verder tot de volgende incidentele boete. Of ben ik nu te cynisch?

Arnoud

8 reacties

  1. Ik signaleer dit even omdat het argument nog steeds gemaakt wordt, onder meer in discussies over wanneer mensen “identificeerbaar” zijn als je niet weet hoe ze heten. Maar je identiteit is dus meer dan enkel de naam in je paspoort, het nummer van je trackingcookie is gewoon ook een identifier.

    Ik voer die discussie ook geregeld en deze bevestiging komt voor mij niet als een verrassing. De definitie van persoonsgegevens was m.i. glashelder; een online identificator wordt expliciet genoemd. Het hele idee van retargeting is ook juist dat je dezelfde persoon (althans hetzelfde device) nogmaals kunt bereiken; dan moet je hem dus kunnen identificeren, dat is inherent aan het concept.

    Waarom is niet geëist dat hier een knopje voor gebouwd wordt?

    Biedt de AVG daar mogelijkheden voor? De betrokkene heeft (niet-absolute) rechten, maar de verantwoordelijke geen plichten om dat op een specifieke manier te faciliteren. Op basis waarvan zou een toezichthouder (of een betrokkene) dat kunnen verlangen, eisen of afdwingen?

    1. Als je met een knopje toestemming kan geven, moet je ook met een knopje je toestemming kunnen intrekken. Artikel 7 lid 3 AVG: “Het intrekken van de toestemming is even eenvoudig als het geven ervan”.

      1. Een knopje in het privacy statement zie ik niet als ‘even eenvoudig’ als een toestemmingsvraag in een cookiebalk of cookie-pop-up. Ken je goede voorbeelden en/of is hier jurisprudentie over?

    2. Ik voer die discussie ook geregeld en deze bevestiging komt voor mij niet als een verrassing. De definitie van persoonsgegevens was m.i. glashelder; een online identificator wordt expliciet genoemd.

      Ja, precies. Het valt me vooral op als het gaat om de vraag of iets een persoonsgegeven is. Neem kentekens, waarom zijn die niet gewoon persoonsgegevens (behoudens zakelijke voertuigen)? Dat is toch een identifier, AA-321-A? Ik wil best geloven dat het moeilijk is de NAW gegevens van de eigenaar te achterhalen bij de RDW, maar dat is helemaal niet relevant bij de vraag of het een persoonsgegeven is.

    1. Dit resultaat betekent dat privacy-organisaties veel makkelijker handhavingsverzoeken voor vergelijkbare bedrijven geaccepteerd krijgen en dat deze bedrijven ook een groter risico lopen om een veroordeling aan de broek te krijgen. Wat het uiteindelijke resultaat zal zijn is niet helemaal te voorspellen, maar ik verwacht dat een aanzienlijk deel van deze bedrijven zich uit de Europese markt zal terugtrekken. Een beperkt aantal websites zal de risico’s om met dergelijke partners in zee te gaan herkennen en ze de laan uit sturen.

      Eens dat de eerste steen een beperkt effect gaat hebben, maar als er serieus doorgepakt wordt zal op den duur deze complete bedrijfstak uit Europa verdwijnen.

  2. Natuurlijk hebben ze dan vrijwaringen en garanties in de contracten geëist met de partners, maar dat betekent hooguit dat ze een deel van die 40 miljoen als schadeclaim bij hun partners kunnen verhalen.

    Het is te hopen dat ze de schadeclaim verhalen. Dan mogen er een pak bedrijven even over nadenken 😉

    Plus, die arme DPO zal ondergesneeuwd worden.

    Het zal geen arme DPO zijn. Het is bovendien te hopen, dan zal die ook verder nadenken.

    Maar zoals dat zo vaak gaat bij de AVG, iedereen kijkt het aan, past wellicht drie zinnen aan in de privacyverklaring en gaat verder tot de volgende incidentele boete. Of ben ik nu te cynisch?

    Ja, maar ik zie toch meer en meer boetes die minder leuk zijn. Bovendien vaak met een aanpassingseis die het bedrijfsmodel toch deftig aantast. De toezichthouders accepteren het veel minder en ik zie reglmatig verwijzingen naar 2016 en dat de redelijk termijn echt wel ruimschoots verstreken is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.