Rechter beboet Criteo voor plaatsen trackingcookies

Criteo, een exploitant van reclametechnologie, kreeg vorige week te horen dat het moet stoppen met haar cookiepraktijken wegens strijd met de AVG. Dat meldde Emerce vorige week. De Nederlandse rechter volgt daarmee de uitspraak van de Franse CNIL van afgelopen zomer en voegde daar “flagrante schending van de wet” aan toe. Oké.

Criteo biedt, zoals wel meer marktpartijen, tussenhandeldiensten aan voor advertenties en zet daarbij multi-site tracking in. Zij kreeg dus afgelopen zomer een boete (40 miljoen euro), met name omdat zij dit deed zonder adequate toestemming van de personen die zo werden getrackt.

De eiser in deze zaak had gemerkt dat hij nog steeds tracking cookies kreeg van Criteo, zonder daarbij om toestemming te zijn gevraagd. Kan kloppen, aldus het bedrijf, maar wij eisen van onze afnemers dat zij die toestemming regelen. Dus u moet niet bij ons zijn. Wie de afnemers zijn, dat weten we eigenlijk niet maar ze zijn zorgvuldig geselecteerd. Daarop stapte de man naar de rechter.

Dat zulke tracking cookies plaatsen zonder toestemming niet mag, daarover was iedereen het wel eens. Het ging dus over de vraag waar Criteo stond als niemand om toestemming vroeg, en hoe veel informatie het bedrijf moet geven over haar partners.

Volgens de rechter is het klip en klaar: je mag wel naar je partners kijken, en als die het regelen dan is dat mooi, maar als die het niet doen dan krijg jij het gevolg juridisch op je bordje. Zoals de CNIL het deze zomer zei:

“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”

Criteo dient te waarborgen dat vooraf toestemming wordt verkregen, en mag niet vertrouwen op contractuele afspraken en ingrijpen na een piepsysteem. Waarborgen betekent dat je het regelt én dat je blijft kijken of het werkt. En zo nodig zélf de toestemming vraagt, of niet verwerkt als je niet zeker weet dat er toestemming is verkregen.

Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt.
Men citeert deskundige Floor Terra die desgevraagd aangeeft in een middag een scriptje in elkaar te kunnen draaien dat in een nacht 10.000 websites controleert of ze cookies sturen zonder toestemmingsvraag. Als je zó eenvoudig al een basic compliance check kunt doen, dan heb je echt geen argument meer waarom je dat niet zou hoeven doen.

Dit moet stoppen, en wel nu:
Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een – naar voorlopig oordeel – flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure.
Hoe Criteo dit wil gaan inregelen, is niet duidelijk. Maar ze zullen wel moeten: 250 euro per dag dat het weer gebeurt.

Ook moet Criteo een volledige lijst geven van alle partners die de gegevens gekoppeld aan het cookie hebben gekregen. Het Hof van Justitie had in januari al bepaald dat dat moet; enkel categorieën van ontvangers noemen mag wel in je privacyverklaring maar als iemand doorvraagt dan moet je concreet worden. Dit omdat je als doorvragende iemand natuurlijk die partners wilt aanspreken op bijvoorbeeld onrechtmatige verwerking.

Arnoud

Het bericht Rechter beboet Criteo voor plaatsen trackingcookies verscheen eerst op Ius Mentis.

Gerelateerde berichten:

• 40 miljoen euro boete voor cookie-profilering door Criteo (28/06/23 08:09)
• Google beboet voor scannen Franse boeken (18/12/09 22:17)
• Uitzending Peter R. de Vries van 4 april mag doorgaan (02/04/10 08:00)
• Geen account, geen cookie (11/11/15 17:42)
• OPTA gaat met cookiemonitor sites controleren op naleven cookiewet (16/07/12 08:30)

Reacties:

Er zijn nog geen reacties op dit bericht.