Criteo, een exploitant van reclametechnologie, kreeg vorige week te horen dat het moet stoppen met haar cookiepraktijken wegens strijd met de AVG. Dat meldde Emerce vorige week. De Nederlandse rechter volgt daarmee de uitspraak van de Franse CNIL van afgelopen zomer en voegde daar “flagrante schending van de wet” aan toe. Oké.
Criteo biedt, zoals wel meer marktpartijen, tussenhandeldiensten aan voor advertenties en zet daarbij multi-site tracking in. Zij kreeg dus afgelopen zomer een boete (40 miljoen euro), met name omdat zij dit deed zonder adequate toestemming van de personen die zo werden getrackt.
De eiser in deze zaak had gemerkt dat hij nog steeds tracking cookies kreeg van Criteo, zonder daarbij om toestemming te zijn gevraagd. Kan kloppen, aldus het bedrijf, maar wij eisen van onze afnemers dat zij die toestemming regelen. Dus u moet niet bij ons zijn. Wie de afnemers zijn, dat weten we eigenlijk niet maar ze zijn zorgvuldig geselecteerd. Daarop stapte de man naar de rechter.
Dat zulke tracking cookies plaatsen zonder toestemming niet mag, daarover was iedereen het wel eens. Het ging dus over de vraag waar Criteo stond als niemand om toestemming vroeg, en hoe veel informatie het bedrijf moet geven over haar partners.
Volgens de rechter is het klip en klaar: je mag wel naar je partners kijken, en als die het regelen dan is dat mooi, maar als die het niet doen dan krijg jij het gevolg juridisch op je bordje. Zoals de CNIL het deze zomer zei:
“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”
Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt.Men citeert deskundige Floor Terra die desgevraagd aangeeft in een middag een scriptje in elkaar te kunnen draaien dat in een nacht 10.000 websites controleert of ze cookies sturen zonder toestemmingsvraag. Als je zó eenvoudig al een basic compliance check kunt doen, dan heb je echt geen argument meer waarom je dat niet zou hoeven doen.
Dit moet stoppen, en wel nu:
Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een – naar voorlopig oordeel – flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure.Hoe Criteo dit wil gaan inregelen, is niet duidelijk. Maar ze zullen wel moeten: 250 euro per dag dat het weer gebeurt.
Ook moet Criteo een volledige lijst geven van alle partners die de gegevens gekoppeld aan het cookie hebben gekregen. Het Hof van Justitie had in januari al bepaald dat dat moet; enkel categorieën van ontvangers noemen mag wel in je privacyverklaring maar als iemand doorvraagt dan moet je concreet worden. Dit omdat je als doorvragende iemand natuurlijk die partners wilt aanspreken op bijvoorbeeld onrechtmatige verwerking.
Arnoud
Ik ben blij dat er mensen zoals [eiser] bestaan.
365*250 euro, minder dan een ton per jaar. Is het niet goedkoper voor ze om dat te slikken, dan inkomsten te zien verminderen?
Sterker nog, de dwangsom is beperkt tot 25000:
5.1. gebiedt Criteo het onrechtmatig handelen per ommegaande te (doen) staken en gestaakt te (doen) houden door niet langer, al dan niet via third-party websites, tracking cookies op de computer en/of apparaten van [eiser] te (doen) plaatsen alvorens [eiser] rechtsgeldige toestemming heeft gegeven voor het plaatsen van deze tracking cookies, op straffe van een dwangsom van € 250,00 per dag of dagdeel danwel – naar keuze van [eiser] – per overtreding, tot een maximum van € 25.000,00,
Wat wel leuk is: het is per overtreding. Dus die 25000 kan misschien wel in een week bereikt worden.
Dat is niet de bedoeling van dwangsommen. Als jij ervoor kiest die te verbeuren en door te gaan, dan kan de wederpartij terug naar de rechter en die verhonderdvoudigt dan de dwangsom. Het is een prikkel om op te schieten, geen afkoopsom.
Zie mijn blog uit 2012 over minachten van de rechtbank en dwangsommen, met twee voorbeelden.
Moest [eiser] hier wel iets tegenover stellen? Is het niet logisch (zelfs indien niet gesteld), dat als je niet aan de wet kunt voldoen omdat dat te duur/complex is, dat je dan niks te zoeken hebt in die business?
Is dat geen flutverweer van de bovenste plank?
Is het ook. De cookiewet is sinds 2012 van kracht, dus als je daar nu nog geen oplossing voor hebt ben je simpelweg in overtreding, en heb je de afgelopen tien jaar waarschijnlijk ook niet naar een oplossing gezocht. Ze gaan daarmee gewoon keihard op hun bek.
Ja, het is een verweer van niets dat spreekt van gemakzucht en desinteresse. Maar door dat verweer op deze wijze te laten weerspreken door haar expert geeft [eiser] de rechtbank een argument dat hoger beroep zal doorstaan. Als [eiser] niets aanvoert is er een kans dat de rechter het “onmogelijk vanwege kosten en daarom hebben we het contractueel afgedekt” argument als niet weersproken accepteert.
En ja, het is zeker mijn inschatting dat Het programmeren van een automatische test minder tijd zal kosten dan de discussies met de “partners” die de toestemmingsvraag onjuist geïmplementeerd hebben.
De onderzoekster heeft de vijf websites ook zelf getest en doet daarvan verslag in par. 4 van het Rapport, waarna zij concludeert dat de bevindingen niet alleen voor [eiser] gelden maar voor verschillende gebruikers. lol
€ 250 per overtreding, met een maximum van € 25.000. Is dat alleen voor [eiser] of kan eenieder zo’n procedure aanspannen, verwijzend naar deze jurisprudentie? Enerzijds, heel gemakkelijk verdiende € 25.000, anderszijds gaat Criteo dan vast wel heel snel een andere aanpak bezigen.
In principe kan “Eenieder” een procedure aanspannen tegen “Eenander”, maar dat is onverstandig als je geen sterke zaak hebt. Ieder die kan aantonen dat zhij ongewenst door Criteo gevolgd is, kan een zaak aanspannen en de zaak uit het artikel als precedent aanvoeren. Of je dezelfde uitkomst krijgt hangt van de rechter af. Reken je niet vooraf rijk, houd rekening met jouw investering in juridische kosten en de onnodige belasting van het rechterlijk apparaat.
De dwangsom is alleen opeisbaar door de winnende procespartij, dus [eiser]. Als jij met dezelfde argumenten en feiten een zaak aanspant, ligt de uitkomst voor de hand en de dwangsom is niet absurd hoog. De kans lijkt me meer dan 90% dat jij dan ook zo’n vonnis krijgt en die dwangsommen mag gaan halen tot Criteo haar bedrijfspraktijk aanpast. Of je daarmee je tijd en energie plus de kosten van procederen eruit krijgt, kan ik niet inschatten.