Conseil d'État
N° 482872
ECLI:FR:CECHR:2026:482872.20260304
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Jean de L'Hermite, rapporteur
SCP GATINEAU, FATTACCINI, REBEYROL, avocats
Lecture du mercredi 4 mars 2026
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et sept nouveaux mémoires, enregistrés les 14 août et 13 novembre 2023, les 29 avril et 16 septembre 2024 et les 5 février, 3 mars, 7 avril, 30 mai et 12 septembre 2025 au secrétariat du contentieux du Conseil d'État, la société Criteo demande au Conseil d'État :
1°) d'annuler la délibération de la formation restreinte de la commission nationale de l'informatique et des libertés (CNIL) en date du 15 juin 2023 mettant à sa charge une amende administrative d'un montant de 40 millions d'euros pour des manquements au règlement général sur la protection des données (RGPD) et ordonnant la publication de sa délibération dans des conditions permettant d'identifier la société requérante pendant deux ans à compter de cette publication ;
2°) à titre subsidiaire, de réformer la délibération attaquée en réduisant le montant de l'amende administrative infligée ;
3°) d'enjoindre à la CNIL de restituer la somme versée, assortie des intérêts au taux légal courant depuis le paiement de l'amende ;
4°) de mettre à la charge de la CNIL la somme de 25 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- le traité sur le fonctionnement de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la décision du Conseil constitutionnel n° 2025-1154 QPC du 8 août 2025 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Jean de L'Hermite, conseiller d'Etat,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Gatineau, Fattaccini, Rebeyrol, avocat de la société Criteo ;
Vu la note en délibéré, enregistrée le 11 février 2026, présentée par la CNIL ;
Vu la note en délibéré, enregistrée le 12 février 2026, présentée par la société Criteo ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la société Criteo, dont l'établissement principal est situé en France, exerce l'activité d'affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l'aide de traceurs de connexion (" cookies "), les données de navigation des personnes situées en France ou dans d'autres Etats membres de l'Union européenne, visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle. Elle demande l'annulation de la délibération du 15 juin 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative de 40 millions d'euros pour des manquements aux articles 7, 12, 13, 15, 17 et 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD) et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du RGPD, est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ".
4. Aux termes du paragraphe 1 de l'article 55 du RGPD : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ". Aux termes du paragraphe 1 de l'article 56 : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".
5. Il résulte des termes mêmes de la délibération attaquée que la formation restreinte de la CNIL a sanctionné la société Criteo, d'une part, pour divers manquements au RGPD, commis en France comme à l'étranger, après avoir informé, conformément aux dispositions de l'article 56 du RGPD citées au point 5, l'ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu'autorité de contrôle chef de file concernant des traitements mis en oeuvre par une société ayant son établissement principal en France et d'autre part, pour des manquements aux obligations d'information des abonnés ou utilisateurs, situés en France, d'un service de communications électroniques, portant sur la finalité du dépôt de " cookies " sur leurs terminaux. Par suite, le moyen tiré de ce que la CNIL aurait été territorialement incompétente pour sanctionner ces manquements s'agissant de faits survenus, pour certains d'entre eux, hors du territoire français, doit être écarté.
Sur la régularité de la procédure de sanction :
6. Aux termes de l'article 9 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable, s'il est jugé indispensable de l'arrêter, toute rigueur qui ne serait pas nécessaire pour s'assurer de sa personne doit être sévèrement réprimée par la loi. " Il en résulte le principe selon lequel nul n'est tenu de s'accuser, dont découle le droit de se taire. Ces exigences s'appliquent non seulement aux peines prononcées par les juridictions répressives mais aussi à toute sanction ayant le caractère d'une punition. Au nombre de ces sanctions figurent notamment celles susceptibles d'être prononcées par la formation restreinte de la CNIL.
7. Toutefois, le droit de se taire ne s'applique pas lors des contrôles ou enquêtes, tels que, s'agissant de la CNIL, les vérifications prévues au g) du 2° de l'article 8 de la loi du 6 janvier 1978, diligentées antérieurement à la notification des griefs. Ne saurait ainsi constituer une méconnaissance des exigences découlant de l'article 9 de la Déclaration de 1789 le fait que, dans le cadre d'un tel contrôle ou d'une telle enquête, les agents de la CNIL auraient recueilli des éléments portant sur des faits susceptibles d'être ultérieurement reprochés au responsable de traitement. Par suite, le moyen tiré de ce que la décision attaquée de la formation spécialisée de la CNIL serait irrégulière au motif que les représentants de la société Criteo n'ont pas été informés du droit qu'ils avaient de se taire dans le cadre de leurs échanges avec les contrôleurs de la CNIL ne peut être qu'écarté. Il en va de même, en tout état de cause, du moyen tiré de ce que, pour ce même motif, la décision contestée, qui n'est pas entachée de détournement de procédure, serait intervenue en méconnaissances des exigences découlant de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
8. Par ailleurs, par sa décision n° 2025-1154 QPC du 8 août 2025, le Conseil constitutionnel a estimé que l'inconstitutionnalité tirée de ce que la procédure devant la CNIL, prévue par l'article 22 de la loi du 6 janvier 1978, ne comportait pas de notification, à la personne mise en cause, du droit qu'elle a de se taire, ne pouvait fonder la contestation des décisions prises avant la publication de sa décision. Par suite, le moyen tiré de l'inconstitutionnalité de la procédure doit être écarté.
9. Enfin, il ne résulte pas de l'instruction que la décision de sanction reposerait de manière déterminante sur les propos que le représentant légal de la société Criteo aurait tenus lors de son audition devant le rapporteur ou devant la formation spécialisée. Dès lors, le moyen tiré de ce que le défaut de notification du droit que la société avait de se taire méconnaîtrait l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, en tout état de cause, qu'être écarté.
Sur les manquements sanctionnés :
En ce qui concerne la qualité de responsable de traitement de la société Criteo :
10. Aux termes du paragraphe 7 de l'article 4 du RGPD, a la qualité de responsable de traitement " la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ". Si, pour l'application de ces dispositions, l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, doivent également être considérés comme responsables de ce traitement les tiers qui déposent des " cookies " à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Par suite, la formation restreinte de la CNIL en relevant, par une appréciation suffisamment motivée et qui n'est pas entachée d'inexactitude matérielle, que la société Criteo avait, s'agissant du traitement consistant à déposer, pour les besoins de sa propre activité, des " cookies " sur les terminaux des personnes visitant les sites internet gérés par ses partenaires commerciaux, la qualité de responsable conjoint de traitement au sens de ces dispositions et qu'elle avait, par ailleurs, la qualité de seule responsable de traitement lorsqu'elle exploitait ensuite les données ainsi recueillies, a fait une exacte application des dispositions citées ci-dessus.
En ce qui concerne le caractère personnel des données en cause :
11. Aux termes du paragraphe 1 de l'article 4 du RGPD, on entend par données à caractère personnel : " toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (...) ". Aux termes du paragraphe 5 du même article, la pseudonymisation correspond au " traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ". Il résulte de ces dispositions, éclairées par la jurisprudence de la Cour de justice de l'Union européenne, qu'une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d'identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main d'oeuvre.
12. Si la société Criteo fait valoir que les données qu'elle traite n'ont pas le caractère de données personnelles, au motif qu'elle attribue à chaque personne dont elle collecte les données un identifiant sous forme de pseudonyme, lié à l'adresse IP du terminal, il résulte de l'instruction que sont notamment associés à cet identifiant, non seulement l'adresse IP elle-même, mais des données telles que l'emplacement géographique lié à cette adresse IP, l'identifiant du terminal, les identifiants, propres aux partenaires de Criteo, des personnes se rendant sur le site de ces partenaires, ainsi que de très nombreux éléments liés à l'activité de navigation de ces personnes, comme les sites visités, les achats faits, les publicités consultées et celles ayant donné lieu à un achat. Ainsi, la finalité même du traitement étant de proposer les publicités les plus adaptées possibles aux habitudes de consommation et centres d'intérêt des internautes, un très grand nombre d'informations, parfois très précises, peuvent être recueillies et recoupées pour un identifiant donné. Par suite, si la société Criteo soutient qu'elle ne dispose pas de clé de réidentification permettant d'identifier, à partir du seul identifiant Criteo, les personnes concernées, il résulte de l'instruction que, ainsi que la société l'avait au demeurant admis devant la CNIL, l'identification de certaines personnes ne serait pas techniquement impossible. Il résulte dès lors de l'ensemble de ces éléments que, pour le responsable du traitement qu'est la société Criteo, une partie au moins des très nombreuses personnes concernées étaient identifiables, par des moyens n'impliquant pas un effort démesuré en termes de temps, de coût et de main d'oeuvre, sans que la société requérante puisse utilement se prévaloir de ce qu'une telle identification ne présenterait pour elle aucun intérêt. C'est donc à bon droit que la formation restreinte de la CNIL a jugé que ces données constituaient, pour la société Criteo, des données personnelles au sens de l'article 4 du RGPD.
En ce qui concerne les manquements à l'article 26 du RGPD :
13. Aux termes de l'article 26 du RGPD : " 1. (...) Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord. / 2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée. / 3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ".
14. Pour retenir que la société Criteo avait méconnu ses obligations au titre des paragraphes 1 et 2 de l'article 26 du RGPD, s'agissant de l'accord qu'elle devait conclure avec ses partenaires en tant que responsable conjoint du traitement relatif aux cookies déposés sur les sites de ces partenaires, la formation restreinte de la CNIL a relevé qu'à la date des faits constatés par les services de la CNIL, l'accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitement, telles que l'exercice par les personnes concernées de leur droits, l'obligation de notification d'une violation de données à l'autorité de contrôle et aux personnes concernées ou la réalisation, le cas échéant, d'une étude d'impact au titre des dispositions de l'article 35 du RGPD. Ces constats, non contestés par la société requérante, traduisant des manquements aux dispositions citées ci-dessus, le moyen tiré de ce que le grief retenu par la délibération attaquée serait dépourvu de fondement doit être écarté.
En ce qui concerne les manquements à l'article 7 du RGPD :
15. Il résulte clairement des dispositions du paragraphe 1 de l'article 7 du RGPD que lorsqu'un traitement de données à caractère personnel est fondé sur le consentement de la personne concernée au traitement de ses données pour une ou plusieurs finalités spécifiques, le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. En retenant, pour estimer que la société Criteo avait méconnu ces dispositions en sa qualité de responsable de traitement ayant pour finalité l'affichage d'une publicité personnalisée, que cette société avait procédé au traitement des données à caractère personnel d'internautes ayant consulté les sites gérés par ses partenaires commerciaux, sans être en mesure de démontrer que ces personnes avaient valablement consenti à ces mêmes traitements, la formation restreinte de la CNIL a fait une exacte application de ces dispositions. La circonstance, invoquée par Criteo, qu'aux termes d'accords contractuels conclus avec ses partenaires pour l'application de l'article 26 du RGPD cité au point 13, il appartenait à ces derniers de recueillir le consentement des personnes concernées, n'est pas de nature, comme l'a à bon droit relevé la CNIL, à exonérer la société Criteo de l'obligation qui était la sienne, en sa qualité de seule responsable du traitement, d'être en mesure d'apporter à tout moment la preuve du recueil, le cas échéant par un tiers, du consentement de la personne concernée. Par suite, le moyen tiré de ce que la délibération attaquée méconnaîtrait sur ce point les principes de légalité des délits, de présomption d'innocence et d'exclusion de la responsabilité pour autrui en matière répressive, garantis par l'article 8 de la déclaration des droits de l'homme et du citoyen et l'article 49 de la charte des droits fondamentaux de l'Union européenne doit être écarté.
En ce qui concerne le manquement au droit d'information et d'accès des personnes concernées à leurs données à caractère personnel :
16. Aux termes de l'article 12 du RGPD : " 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant (...) ". L'article 13 de ce même règlement précise les informations qui doivent obligatoirement être fournies aux utilisateurs. Il résulte clairement de ces dispositions que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.
17. Pour retenir que la société Criteo avait méconnu ses obligations d'information au titre des dispositions précitées des articles 12 et 13 du RGPD, ainsi qu'au titre des dispositions de l'article 15 organisant le droit d'accès des personnes concernées aux informations relatives à leurs droits reconnus par le règlement, la formation restreinte de la CNIL s'est fondée sur la circonstance, non sérieusement contestée par la société Criteo, que n'était indiquée aux personnes concernées que l'unique finalité intitulée " Criteo traite vos données personnelles pour des annonces personnalisées ", sans les informer que ces données seraient également conservées et utilisées afin de configurer et d'améliorer les traitements algorithmiques de ciblage mis en oeuvre par Criteo. En relevant que cette seconde finalité était distincte de celle qui avait été indiquée aux personnes concernées, la formation restreinte a exactement qualifié les faits dont elle était saisie. Par suite les moyens tirés de l'erreur de fait et de l'erreur d'appréciation qui auraient entaché sur ce point la délibération attaquée doivent être écartés.
En ce qui concerne le manquement au droit au retrait du consentement et à l'effacement des données personnelles :
18. Aux termes du paragraphe 3 de l'article 7 du RGPD : " La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. ". Aux termes de l'article 17 du même règlement : " 1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique : / (...) b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement ; / (...) d) les données à caractère personnel ont fait l'objet d'un traitement illicite ; (...) ". Aux termes de l'article 6 du même règlement : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; (...) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. "
19. Il résulte de l'instruction que, lorsque des personnes concernées exerçaient leur droit à l'effacement, la société Criteo se limitait à interrompre l'affichage de publicités personnalisées dans leur terminal, mais ne supprimait pas de ses bases les identifiants individuels qu'elle leur avait précédemment attribués et utilisait les données associées aux fins, notamment, d'amélioration de ses algorithmes, alors pourtant qu'elle aurait été matériellement en mesure de procéder à un effacement effectif de toutes les données ainsi conservées. Si la société Criteo soutient que le traitement en cause était licite en raison de ce qu'elle avait un intérêt légitime à traiter ces données, cette circonstance est sans incidence dès lors que ces mêmes données ne pouvaient être collectées et traitées sans que la personne concernée y ait consenti et que ce consentement, soit n'avait jamais été donné, soit avait été retiré. Par suite le moyen tiré de ce que le grief, retenu sur ce point par la délibération attaquée, ne serait pas fondé, doit être écarté.
Sur la motivation et le montant de la sanction prononcée :
20. En premier lieu, le 2 de l'article 83 du RGPD dispose que : " Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : / a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ". Dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que la formation restreinte de la CNIL devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Il suit de là que les moyens tirés de l'insuffisance de motivation de la décision attaquée qui n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD précité ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée et de l'erreur de droit que révélerait cette insuffisance de motivation, doivent être écartés.
21. En deuxième lieu, aux termes des paragraphes 1 et 5 de l'article 83 du RGPD : " 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. / (...) 5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu : / a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ; / b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 ".
22. Il résulte de ce qui précède qu'eu égard, d'une part, à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, ainsi qu'au nombre d'utilisateurs concernés puisque le traitement mis en oeuvre par la société Criteo pour l'exploitation des données recueillies était transfrontalier et de grande ampleur, concernant plus de 370 millions d'identifiants d'utilisateurs dans l'Union Européenne, dont 50 millions d'identifiants en France, au fait que la société Criteo est un acteur majeur du secteur des services de publicité sur internet et que son activité principale consiste à organiser la pose de " cookies " et à traiter les données ainsi collectées, à la circonstance qu'elle a tiré un gain direct des manquements retenus, dans la mesure où ceux-ci lui ont permis d'être rémunérée par des annonceurs ayant diffusé de la publicité ciblée à des personnes qui n'y auraient pas forcément consenti si leur consentement avait été recueilli au préalable et, d'autre part, aux plafonds prévus par le 4 de l'article 83 du RGPD et à la situation financière de la société, la CNIL en fixant à 40 000 000 d'euros la sanction pécuniaire prononcée à l'encontre de la société Criteo, soit la moitié du montant maximum encouru, n'a, en dépit de l'attitude coopérative de la société requérante, qui a répondu aux sollicitations de la CNIL et de la mise en conformité sur certains des griefs intervenue avant le prononcé de la sanction, pas entaché sa délibération d'erreur de droit, notamment d'aucune méconnaissance de l'article 1er du premier protocole additionnel à la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ni davantage d'erreur d'appréciation.
23. Il résulte de tout ce qui précède que, sans qu'il soit besoin de poser de questions préjudicielles à la Cour de justice de l'Union européenne, la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les conclusions qu'elle présente à fin d'injonctions et au titre de l'article L. 761 1 du code de justice administrative ne peuvent, en conséquence, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de la société Criteo est rejetée.
Article 2 : La présente décision sera notifiée à la société Criteo et à la commission nationale de l'informatique et des libertés.
Copie en sera adressée au Premier ministre et au garde des sceaux, ministre de la justice.
N° 482872
ECLI:FR:CECHR:2026:482872.20260304
Inédit au recueil Lebon
10ème - 9ème chambres réunies
M. Jean de L'Hermite, rapporteur
SCP GATINEAU, FATTACCINI, REBEYROL, avocats
Lecture du mercredi 4 mars 2026
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et sept nouveaux mémoires, enregistrés les 14 août et 13 novembre 2023, les 29 avril et 16 septembre 2024 et les 5 février, 3 mars, 7 avril, 30 mai et 12 septembre 2025 au secrétariat du contentieux du Conseil d'État, la société Criteo demande au Conseil d'État :
1°) d'annuler la délibération de la formation restreinte de la commission nationale de l'informatique et des libertés (CNIL) en date du 15 juin 2023 mettant à sa charge une amende administrative d'un montant de 40 millions d'euros pour des manquements au règlement général sur la protection des données (RGPD) et ordonnant la publication de sa délibération dans des conditions permettant d'identifier la société requérante pendant deux ans à compter de cette publication ;
2°) à titre subsidiaire, de réformer la délibération attaquée en réduisant le montant de l'amende administrative infligée ;
3°) d'enjoindre à la CNIL de restituer la somme versée, assortie des intérêts au taux légal courant depuis le paiement de l'amende ;
4°) de mettre à la charge de la CNIL la somme de 25 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le traité sur l'Union européenne ;
- la charte des droits fondamentaux de l'Union européenne ;
- le traité sur le fonctionnement de l'Union européenne ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- la décision du Conseil constitutionnel n° 2025-1154 QPC du 8 août 2025 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Jean de L'Hermite, conseiller d'Etat,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Gatineau, Fattaccini, Rebeyrol, avocat de la société Criteo ;
Vu la note en délibéré, enregistrée le 11 février 2026, présentée par la CNIL ;
Vu la note en délibéré, enregistrée le 12 février 2026, présentée par la société Criteo ;
Considérant ce qui suit :
1. Il résulte de l'instruction que la société Criteo, dont l'établissement principal est situé en France, exerce l'activité d'affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l'aide de traceurs de connexion (" cookies "), les données de navigation des personnes situées en France ou dans d'autres Etats membres de l'Union européenne, visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle. Elle demande l'annulation de la délibération du 15 juin 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative de 40 millions d'euros pour des manquements aux articles 7, 12, 13, 15, 17 et 26 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD) et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du RGPD, est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ".
4. Aux termes du paragraphe 1 de l'article 55 du RGPD : " Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève ". Aux termes du paragraphe 1 de l'article 56 : " Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60 ".
5. Il résulte des termes mêmes de la délibération attaquée que la formation restreinte de la CNIL a sanctionné la société Criteo, d'une part, pour divers manquements au RGPD, commis en France comme à l'étranger, après avoir informé, conformément aux dispositions de l'article 56 du RGPD citées au point 5, l'ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu'autorité de contrôle chef de file concernant des traitements mis en oeuvre par une société ayant son établissement principal en France et d'autre part, pour des manquements aux obligations d'information des abonnés ou utilisateurs, situés en France, d'un service de communications électroniques, portant sur la finalité du dépôt de " cookies " sur leurs terminaux. Par suite, le moyen tiré de ce que la CNIL aurait été territorialement incompétente pour sanctionner ces manquements s'agissant de faits survenus, pour certains d'entre eux, hors du territoire français, doit être écarté.
Sur la régularité de la procédure de sanction :
6. Aux termes de l'article 9 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable, s'il est jugé indispensable de l'arrêter, toute rigueur qui ne serait pas nécessaire pour s'assurer de sa personne doit être sévèrement réprimée par la loi. " Il en résulte le principe selon lequel nul n'est tenu de s'accuser, dont découle le droit de se taire. Ces exigences s'appliquent non seulement aux peines prononcées par les juridictions répressives mais aussi à toute sanction ayant le caractère d'une punition. Au nombre de ces sanctions figurent notamment celles susceptibles d'être prononcées par la formation restreinte de la CNIL.
7. Toutefois, le droit de se taire ne s'applique pas lors des contrôles ou enquêtes, tels que, s'agissant de la CNIL, les vérifications prévues au g) du 2° de l'article 8 de la loi du 6 janvier 1978, diligentées antérieurement à la notification des griefs. Ne saurait ainsi constituer une méconnaissance des exigences découlant de l'article 9 de la Déclaration de 1789 le fait que, dans le cadre d'un tel contrôle ou d'une telle enquête, les agents de la CNIL auraient recueilli des éléments portant sur des faits susceptibles d'être ultérieurement reprochés au responsable de traitement. Par suite, le moyen tiré de ce que la décision attaquée de la formation spécialisée de la CNIL serait irrégulière au motif que les représentants de la société Criteo n'ont pas été informés du droit qu'ils avaient de se taire dans le cadre de leurs échanges avec les contrôleurs de la CNIL ne peut être qu'écarté. Il en va de même, en tout état de cause, du moyen tiré de ce que, pour ce même motif, la décision contestée, qui n'est pas entachée de détournement de procédure, serait intervenue en méconnaissances des exigences découlant de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
8. Par ailleurs, par sa décision n° 2025-1154 QPC du 8 août 2025, le Conseil constitutionnel a estimé que l'inconstitutionnalité tirée de ce que la procédure devant la CNIL, prévue par l'article 22 de la loi du 6 janvier 1978, ne comportait pas de notification, à la personne mise en cause, du droit qu'elle a de se taire, ne pouvait fonder la contestation des décisions prises avant la publication de sa décision. Par suite, le moyen tiré de l'inconstitutionnalité de la procédure doit être écarté.
9. Enfin, il ne résulte pas de l'instruction que la décision de sanction reposerait de manière déterminante sur les propos que le représentant légal de la société Criteo aurait tenus lors de son audition devant le rapporteur ou devant la formation spécialisée. Dès lors, le moyen tiré de ce que le défaut de notification du droit que la société avait de se taire méconnaîtrait l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, en tout état de cause, qu'être écarté.
Sur les manquements sanctionnés :
En ce qui concerne la qualité de responsable de traitement de la société Criteo :
10. Aux termes du paragraphe 7 de l'article 4 du RGPD, a la qualité de responsable de traitement " la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ". Si, pour l'application de ces dispositions, l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, doivent également être considérés comme responsables de ce traitement les tiers qui déposent des " cookies " à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Par suite, la formation restreinte de la CNIL en relevant, par une appréciation suffisamment motivée et qui n'est pas entachée d'inexactitude matérielle, que la société Criteo avait, s'agissant du traitement consistant à déposer, pour les besoins de sa propre activité, des " cookies " sur les terminaux des personnes visitant les sites internet gérés par ses partenaires commerciaux, la qualité de responsable conjoint de traitement au sens de ces dispositions et qu'elle avait, par ailleurs, la qualité de seule responsable de traitement lorsqu'elle exploitait ensuite les données ainsi recueillies, a fait une exacte application des dispositions citées ci-dessus.
En ce qui concerne le caractère personnel des données en cause :
11. Aux termes du paragraphe 1 de l'article 4 du RGPD, on entend par données à caractère personnel : " toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (...) ". Aux termes du paragraphe 5 du même article, la pseudonymisation correspond au " traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ". Il résulte de ces dispositions, éclairées par la jurisprudence de la Cour de justice de l'Union européenne, qu'une donnée ne peut être considérée comme ayant été rendue anonyme par une pseudonymisation que si le risque d'identification est insignifiant, une telle identification étant irréalisable en pratique, notamment parce qu'elle impliquerait un effort démesuré en termes de temps, de coût et de main d'oeuvre.
12. Si la société Criteo fait valoir que les données qu'elle traite n'ont pas le caractère de données personnelles, au motif qu'elle attribue à chaque personne dont elle collecte les données un identifiant sous forme de pseudonyme, lié à l'adresse IP du terminal, il résulte de l'instruction que sont notamment associés à cet identifiant, non seulement l'adresse IP elle-même, mais des données telles que l'emplacement géographique lié à cette adresse IP, l'identifiant du terminal, les identifiants, propres aux partenaires de Criteo, des personnes se rendant sur le site de ces partenaires, ainsi que de très nombreux éléments liés à l'activité de navigation de ces personnes, comme les sites visités, les achats faits, les publicités consultées et celles ayant donné lieu à un achat. Ainsi, la finalité même du traitement étant de proposer les publicités les plus adaptées possibles aux habitudes de consommation et centres d'intérêt des internautes, un très grand nombre d'informations, parfois très précises, peuvent être recueillies et recoupées pour un identifiant donné. Par suite, si la société Criteo soutient qu'elle ne dispose pas de clé de réidentification permettant d'identifier, à partir du seul identifiant Criteo, les personnes concernées, il résulte de l'instruction que, ainsi que la société l'avait au demeurant admis devant la CNIL, l'identification de certaines personnes ne serait pas techniquement impossible. Il résulte dès lors de l'ensemble de ces éléments que, pour le responsable du traitement qu'est la société Criteo, une partie au moins des très nombreuses personnes concernées étaient identifiables, par des moyens n'impliquant pas un effort démesuré en termes de temps, de coût et de main d'oeuvre, sans que la société requérante puisse utilement se prévaloir de ce qu'une telle identification ne présenterait pour elle aucun intérêt. C'est donc à bon droit que la formation restreinte de la CNIL a jugé que ces données constituaient, pour la société Criteo, des données personnelles au sens de l'article 4 du RGPD.
En ce qui concerne les manquements à l'article 26 du RGPD :
13. Aux termes de l'article 26 du RGPD : " 1. (...) Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du présent règlement, notamment en ce qui concerne l'exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d'accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l'Union ou par le droit de l'État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l'accord. / 2. L'accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l'accord sont mises à la disposition de la personne concernée. / 3. Indépendamment des termes de l'accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l'égard de et contre chacun des responsables du traitement ".
14. Pour retenir que la société Criteo avait méconnu ses obligations au titre des paragraphes 1 et 2 de l'article 26 du RGPD, s'agissant de l'accord qu'elle devait conclure avec ses partenaires en tant que responsable conjoint du traitement relatif aux cookies déposés sur les sites de ces partenaires, la formation restreinte de la CNIL a relevé qu'à la date des faits constatés par les services de la CNIL, l'accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitement, telles que l'exercice par les personnes concernées de leur droits, l'obligation de notification d'une violation de données à l'autorité de contrôle et aux personnes concernées ou la réalisation, le cas échéant, d'une étude d'impact au titre des dispositions de l'article 35 du RGPD. Ces constats, non contestés par la société requérante, traduisant des manquements aux dispositions citées ci-dessus, le moyen tiré de ce que le grief retenu par la délibération attaquée serait dépourvu de fondement doit être écarté.
En ce qui concerne les manquements à l'article 7 du RGPD :
15. Il résulte clairement des dispositions du paragraphe 1 de l'article 7 du RGPD que lorsqu'un traitement de données à caractère personnel est fondé sur le consentement de la personne concernée au traitement de ses données pour une ou plusieurs finalités spécifiques, le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. En retenant, pour estimer que la société Criteo avait méconnu ces dispositions en sa qualité de responsable de traitement ayant pour finalité l'affichage d'une publicité personnalisée, que cette société avait procédé au traitement des données à caractère personnel d'internautes ayant consulté les sites gérés par ses partenaires commerciaux, sans être en mesure de démontrer que ces personnes avaient valablement consenti à ces mêmes traitements, la formation restreinte de la CNIL a fait une exacte application de ces dispositions. La circonstance, invoquée par Criteo, qu'aux termes d'accords contractuels conclus avec ses partenaires pour l'application de l'article 26 du RGPD cité au point 13, il appartenait à ces derniers de recueillir le consentement des personnes concernées, n'est pas de nature, comme l'a à bon droit relevé la CNIL, à exonérer la société Criteo de l'obligation qui était la sienne, en sa qualité de seule responsable du traitement, d'être en mesure d'apporter à tout moment la preuve du recueil, le cas échéant par un tiers, du consentement de la personne concernée. Par suite, le moyen tiré de ce que la délibération attaquée méconnaîtrait sur ce point les principes de légalité des délits, de présomption d'innocence et d'exclusion de la responsabilité pour autrui en matière répressive, garantis par l'article 8 de la déclaration des droits de l'homme et du citoyen et l'article 49 de la charte des droits fondamentaux de l'Union européenne doit être écarté.
En ce qui concerne le manquement au droit d'information et d'accès des personnes concernées à leurs données à caractère personnel :
16. Aux termes de l'article 12 du RGPD : " 1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l'article 34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant (...) ". L'article 13 de ce même règlement précise les informations qui doivent obligatoirement être fournies aux utilisateurs. Il résulte clairement de ces dispositions que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.
17. Pour retenir que la société Criteo avait méconnu ses obligations d'information au titre des dispositions précitées des articles 12 et 13 du RGPD, ainsi qu'au titre des dispositions de l'article 15 organisant le droit d'accès des personnes concernées aux informations relatives à leurs droits reconnus par le règlement, la formation restreinte de la CNIL s'est fondée sur la circonstance, non sérieusement contestée par la société Criteo, que n'était indiquée aux personnes concernées que l'unique finalité intitulée " Criteo traite vos données personnelles pour des annonces personnalisées ", sans les informer que ces données seraient également conservées et utilisées afin de configurer et d'améliorer les traitements algorithmiques de ciblage mis en oeuvre par Criteo. En relevant que cette seconde finalité était distincte de celle qui avait été indiquée aux personnes concernées, la formation restreinte a exactement qualifié les faits dont elle était saisie. Par suite les moyens tirés de l'erreur de fait et de l'erreur d'appréciation qui auraient entaché sur ce point la délibération attaquée doivent être écartés.
En ce qui concerne le manquement au droit au retrait du consentement et à l'effacement des données personnelles :
18. Aux termes du paragraphe 3 de l'article 7 du RGPD : " La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. ". Aux termes de l'article 17 du même règlement : " 1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique : / (...) b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement ; / (...) d) les données à caractère personnel ont fait l'objet d'un traitement illicite ; (...) ". Aux termes de l'article 6 du même règlement : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : / a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; (...) f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. "
19. Il résulte de l'instruction que, lorsque des personnes concernées exerçaient leur droit à l'effacement, la société Criteo se limitait à interrompre l'affichage de publicités personnalisées dans leur terminal, mais ne supprimait pas de ses bases les identifiants individuels qu'elle leur avait précédemment attribués et utilisait les données associées aux fins, notamment, d'amélioration de ses algorithmes, alors pourtant qu'elle aurait été matériellement en mesure de procéder à un effacement effectif de toutes les données ainsi conservées. Si la société Criteo soutient que le traitement en cause était licite en raison de ce qu'elle avait un intérêt légitime à traiter ces données, cette circonstance est sans incidence dès lors que ces mêmes données ne pouvaient être collectées et traitées sans que la personne concernée y ait consenti et que ce consentement, soit n'avait jamais été donné, soit avait été retiré. Par suite le moyen tiré de ce que le grief, retenu sur ce point par la délibération attaquée, ne serait pas fondé, doit être écarté.
Sur la motivation et le montant de la sanction prononcée :
20. En premier lieu, le 2 de l'article 83 du RGPD dispose que : " Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : / a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; / b) le fait que la violation a été commise délibérément ou par négligence ; / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ; / d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en oeuvre en vertu des articles 25 et 32 ; / e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ; / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ; / g) les catégories de données à caractère personnel concernées par la violation ; / h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ; / i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ; / j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ". Dans l'hypothèse où la légalité d'une décision administrative repose sur la prise en compte d'un certain nombre de considérations, le respect de l'exigence de motivation qu'elles prévoient ne conduit son auteur à ne devoir énoncer que celles sur lesquelles se fonde la décision qu'il a prise. Il ne résulte en outre d'aucune disposition que la formation restreinte de la CNIL devrait procéder à une explicitation du montant des sanctions qu'elle prononce. Il suit de là que les moyens tirés de l'insuffisance de motivation de la décision attaquée qui n'avait ni à se prononcer sur l'ensemble des critères prévus à l'article 83 du RGPD précité ni à indiquer les éléments chiffrés relatifs au mode de détermination du montant de la sanction infligée et de l'erreur de droit que révélerait cette insuffisance de motivation, doivent être écartés.
21. En deuxième lieu, aux termes des paragraphes 1 et 5 de l'article 83 du RGPD : " 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives. / (...) 5. Les violations des dispositions suivantes font l'objet, conformément au paragraphe 2, d'amendes administratives pouvant s'élever jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu : / a) les principes de base d'un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ; / b) les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 ".
22. Il résulte de ce qui précède qu'eu égard, d'une part, à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, ainsi qu'au nombre d'utilisateurs concernés puisque le traitement mis en oeuvre par la société Criteo pour l'exploitation des données recueillies était transfrontalier et de grande ampleur, concernant plus de 370 millions d'identifiants d'utilisateurs dans l'Union Européenne, dont 50 millions d'identifiants en France, au fait que la société Criteo est un acteur majeur du secteur des services de publicité sur internet et que son activité principale consiste à organiser la pose de " cookies " et à traiter les données ainsi collectées, à la circonstance qu'elle a tiré un gain direct des manquements retenus, dans la mesure où ceux-ci lui ont permis d'être rémunérée par des annonceurs ayant diffusé de la publicité ciblée à des personnes qui n'y auraient pas forcément consenti si leur consentement avait été recueilli au préalable et, d'autre part, aux plafonds prévus par le 4 de l'article 83 du RGPD et à la situation financière de la société, la CNIL en fixant à 40 000 000 d'euros la sanction pécuniaire prononcée à l'encontre de la société Criteo, soit la moitié du montant maximum encouru, n'a, en dépit de l'attitude coopérative de la société requérante, qui a répondu aux sollicitations de la CNIL et de la mise en conformité sur certains des griefs intervenue avant le prononcé de la sanction, pas entaché sa délibération d'erreur de droit, notamment d'aucune méconnaissance de l'article 1er du premier protocole additionnel à la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ni davantage d'erreur d'appréciation.
23. Il résulte de tout ce qui précède que, sans qu'il soit besoin de poser de questions préjudicielles à la Cour de justice de l'Union européenne, la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les conclusions qu'elle présente à fin d'injonctions et au titre de l'article L. 761 1 du code de justice administrative ne peuvent, en conséquence, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de la société Criteo est rejetée.
Article 2 : La présente décision sera notifiée à la société Criteo et à la commission nationale de l'informatique et des libertés.
Copie en sera adressée au Premier ministre et au garde des sceaux, ministre de la justice.