فرضت شركة Criteo العملاقة في مجال Adtech غرامة معدلة قدرها 40 مليون يورو من قبل هيئة خصوصية البيانات الفرنسية بسبب انتهاكات القانون العام لحماية البيانات (GDPR)

أصدرت شركة Criteo الفرنسية العملاقة لتكنولوجيا الإعلان غرامة معدلة قدرها 40 مليون يورو (44 مليون دولار) بسبب الإخفاق في الحصول على موافقة المستخدمين بشأن الإعلانات المستهدفة.

تعود القضية المعنية إلى 2018 عندما قدمت منظمة الخصوصية الدولية شكوى رسمية إلى اللجنة الوطنية للمعلوماتية والحريات (CNIL) ، هيئة مراقبة خصوصية البيانات في فرنسا ، باستخدام لوائح الناتج المحلي الإجمالي التي تم تقديمها مؤخرًا في جميع أنحاء الاتحاد الأوروبي. قالت منظمة الخصوصية الدولية إنها “تشعر بقلق بالغ” إزاء أنشطة معالجة البيانات للعديد من اللاعبين في صناعة سمسرة البيانات وتقنية الإعلانات ، ومن بينهم شركة Criteo. لا أحد من عملك (NOYB) ، وهي منظمة غير ربحية مقرها النمسا شارك في تأسيسها المحامي والناشط في مجال الخصوصية ماكس شريمس ، أضافت لاحقًا اسمها إلى الشكوى.

ركز جوهر الشكوى على ما أشارت إليه منظمة الخصوصية الدولية باسم “آلة التلاعب” ، فيما يتعلق بكيفية استخدام تقنيات التتبع ومعالجة البيانات المختلفة لملف تعريف مستخدمي الإنترنت من أجل استهداف إعلانات أكثر دقة ، مثل استخدام الإنترنت مسبقًا للتنبؤ بالمنتجات التي قد يرغب المتسوق عبر الإنترنت في شرائها – يُعرف هذا باسم “إعادة الاستهداف السلوكي”. أكدت منظمة Privacy International و NOYB أن Criteo لم يكن لديها أساس قانوني مناسب لهذا التتبع ، حيث أطلقت CNIL تحقيقًا رسميًا في عام 2020.

قرار أولي

تقدم سريعًا حتى أغسطس 2022 ، وتوصلت اللجنة الوطنية المستقلة للنشر إلى قرار أولي بأن Criteo قد انتهكت بالفعل اللائحة العامة لحماية البيانات (GDPR) وفرضت غرامة قدرها 60 مليون يورو على الشركة التي تتخذ من باريس مقراً لها. ومع ذلك ، في الأشهر التي تلت ذلك ، سعت Criteo لتقليل الرقم.

في الواقع ، في وثيقة موجزة تم نشرها اليوم ، يبدو أن Criteo جادلت بأن أفعالها كانت غير متعمدة ولم ينتج عنها أي ضرر. قالت (الترجمة عبر DeepL):

تعتقد الشركة أن النظر بشكل أفضل في المعايير المنصوص عليها في المادة 83 (2) من اللائحة العامة لحماية البيانات ، لا سيما فيما يتعلق بعدم وجود دليل على الضرر ، والطبيعة غير المتعمدة للانتهاكات ، والتدابير المتخذة لتخفيف الضرر ، و التعاون الذي تقول إنه أظهره مع السلطة الإشرافية وفئات البيانات الشخصية المعنية ، والتي تمثل تدخلاً منخفضًا ، من شأنه أن يبرر أنه إذا قررت اللجنة المقيدة فرض غرامة ، فإنها تقلل بشكل كبير من مبلغ 60 مليون يورو الذي اقترحه المقرر .

علاوة على ذلك ، قالت Criteo إن الغرامة الأولية تمثل نصف أرباحها و 3٪ من مبيعاتها العالمية ، وهي “قريب من الحد الأقصى القانوني “المسموح به بموجب اللائحة العامة لحماية البيانات ، وكان مفرطًا مقارنة بالغرامات الأخرى التي فرضتها CNIL على أمثال Google و Meta الأم لشركة Facebook ، والتي بلغت 0.07٪ و 0.06٪ فقط من المبيعات العالمية لكل منهما.

وهكذا ، فإن CNIL قد اهتمت بشكاوى Criteo وخفضت الغرامة بمقدار الثلث. ومع ذلك ، لا يزال التقرير النهائي لـ CNIL يرسم صورة قاسية لتجاهل Criteo لخصوصية البيانات.

في المجمل ، تقول CNIL إنها وجدت خمسة انتهاكات تتعلق بتقنية تتبع الإعلانات في Criteo ، بما في ذلك الفشل في إثبات أن صاحب البيانات (أي المستخدم) قد أعطى موافقته ، والتي تغطيها المادة 7 (1) من اللائحة العامة لحماية البيانات ؛ فشل في “الامتثال لالتزام المعلومات والشفافية (المادتان 12 و 13) ، مما يعني بشكل فعال أن Criteo لم تفصح عن جميع الطرق التي ستعالج بها بيانات المستخدم ؛ فشل في “احترام حق الوصول” (المادة 15 (1) ، مما يعني أن Criteo لم تزود المستخدمين بجميع البيانات التي يحتفظون بها عند الطلب ؛ فشل في “الامتثال للحق في سحب الموافقة ومحو البيانات” ( المادتان 7.3 و 17.1 GDPR) ، مما يعني أن Criteo لم تحذف أو تزيل جميع بيانات المستخدم عندما طلب ذلك ؛ والفشل في “توفير اتفاق بين المتحكمين المشتركين” (المادة 26) ، مما يعني أن Criteo لم يكن لديها اتفاقيات واضحة مع الشركات الشريكة لها تنص على دور كل طرف والتزامه في إدارة بيانات المستخدمين.