Criteo: le Conseil d’État confirme 40 M€ — le consentement prime en AdTech

4 mars 2026 — Conseil d’État: confirmation de l’amende de 40 M€ prononcée par la CNIL contre Criteo pour publicité personnalisée sans preuve de consentement valide. Enseignement pour les dirigeants et DPO: en AdTech, l’article 6 RGPD impose dans la quasi‑totalité des cas un consentement conforme et prouvable.

L’affaire

• Organisation: Criteo (adtech, reciblage publicitaire)
• Autorité: CNIL (France); contentieux clos par le Conseil d’État
• Décision: Conseil d’État, 10e–9e ch. réunies, 4 mars 2026, n° 482872 — texte intégral sur Légifrance
• Montant: 40 000 000 € (confirmé)
• Motifs: manquements aux art. 7, 12–13, 15, 17 et 26 RGPD; rappel ePrivacy (cookies) et critères de l’art. 83 RGPD. Traitement transfrontalier (>370 M d’identifiants UE) et proportionnalité retenue.

La décision confirme la sanction CNIL du 15 juin 2023 pour absence de preuve d’un consentement valable collecté via les partenaires éditeurs, information lacunaire et gestion imparfaite des droits. Voir communication CNIL.

Le raisonnement juridique

1. Base légale (art. 6 RGPD). Pour la publicité comportementale avec traceurs, l’intérêt légitime (6(1)(f)) n’est pas la base par défaut: les Lignes directrices 05/2020 de l’EDPB exigent un consentement conforme (6(1)(a) + 4(11) et 7). Pas de cases précochées ni de consentement implicite. Source: EDPB 05/2020.
2. Cookies et ePrivacy. Le dépôt/lecture de cookies non essentiels requiert un consentement préalable (directive 2002/58/CE, art. 5(3)), avec preuve au sens de l’art. 7(1) RGPD. Références CNPD: contexte juridique et principes applicables.
3. Jurisprudence Planet49. La CJUE (1er oct. 2019, C‑673/17) a jugé invalide le consentement par case précochée, qu’il s’agisse ou non de données personnelles. Texte: eur-lex.
4. Responsabilité conjointe (art. 26). Éditeur et émetteur du cookie peuvent être responsables conjoints; l’accord doit répartir précisément obligations et information. Le Conseil d’État relève des lacunes chez Criteo. Voir l’arrêt.
5. Sanction (art. 83). Gravité, ampleur, bénéfices tirés des manquements et situation financière justifient 40 M€ (env. la moitié du plafond applicable). Réf.: Légifrance.

Position des régulateurs

• CNIL: centralité du consentement, exigence de preuve et responsabilité propre des acteurs AdTech, y compris vis‑à‑vis des partenaires. CNIL.
• CNPD (Luxembourg): consentement préalable pour le ciblage; tenue de la preuve et renouvellement (souvent ≤12 mois). CNPD — principes.
• EDPB: consentement et transparence exigés pour retargeting et social ads. Lignes directrices 05/2020.

Ce que ça change concrètement

• Publicité comportementale web/app: base légale = consentement explicite, documenté et traçable. Les partenaires ne « transfèrent » pas la preuve: le tiers AdTech doit exiger et auditer la preuve (art. 7(1) RGPD). Pour structurer ce dispositif, l’appui d’un DPO externalisé peut sécuriser les contrôles et registres.
• Chaîne AdTech: mettez à jour les accords art. 26 (droits, sécurité art. 32, AIPD art. 35, violations art. 33–34, information art. 12–13). Le défaut de clarté expose à sanction. Référentiel: arrêt du 4 mars 2026 et cadre RGPD.
• Bannières cookies: CMP conforme (pas de pré‑cochage; refus aussi simple; granularité par finalité; journal de preuve; renouvellement). La CNPD recommande souvent un renouvellement ≤12 mois et une information en deux niveaux. Voir principes CNPD.
• Droits des personnes: fournir toutes les données pertinentes avec explications compréhensibles; parcours de retrait du consentement (art. 7(3)) et d’effacement (art. 17) effectifs. Pour les organisations au Luxembourg, cet alignement s’inscrit dans la conformité CNPD locale.

Arbre de décision express (art. 6 RGPD)

• Traceurs non essentiels pour du ciblage publicitaire? Oui → consentement explicite (art. 4(11), 7 RGPD + ePrivacy), preuve, refus aussi simple, pas de mur de cookies abusif. Réf.: EDPB 05/2020.
• Données clients sans traceurs (p.ex. segmentation CRM pour emails transactionnels)? Intérêt légitime possible si information claire et test de mise en balance documenté; pas pour le reciblage cross‑site. Réf.: EDPB.
• Pixels et custom audiences sur réseaux sociaux? Consentement requis et responsabilité conjointe à cadrer (art. 26). Informer précisément, y compris l’optimisation algorithmique.

Pièges fréquents observés en audit

1. « Intérêt légitime pour tout marketing ». Faux avec cookies/SDK de ciblage: consentement requis. CNPD — contexte.
2. CMP non conforme: cases précochées, refus moins simple, absence de journal de preuve, renouvellement >12 mois. CNPD — principes.
3. Accords insuffisants avec éditeurs/plateformes: absence d’accord art. 26 ou clauses lacunaires (droits, AIPD, violations). Légifrance.
4. Réponses incomplètes aux demandes d’accès: extraction partielle, sans notice explicative intelligible. CNIL.
5. Mentions d’information vagues: « publicités personnalisées » sans préciser conservation, enrichissement et optimisation algorithmique.

Sources officielles (sélection)

• Conseil d’État (France), arrêt Criteo, 4 mars 2026, n° 482872 — legifrance.gouv.fr
• CNIL, délib. SAN‑2023‑009 — cnil.fr
• EDPB, Lignes directrices 05/2020 — edpb.europa.eu
• CNPD (Luxembourg), cookies — contexte et principes
• CJUE, Planet49 (C‑673/17) — eur-lex.europa.eu

En synthèse: au Luxembourg comme chez nos voisins, pour le ciblage publicitaire reposant sur des traceurs, la base légale est le consentement, dûment prouvé et gouverné contractuellement sur l’ensemble de la chaîne.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.