Le 4 mars 2026, le Conseil d’État a mis un point final à l’affaire Criteo. L’amende de 40 millions d’euros infligée par la CNIL en juin 2023 est confirmée, définitivement. Le géant français du retargeting publicitaire, qui traite les données de 370 millions d’utilisateurs en Europe, avait pourtant tenté tous les recours possibles. Sans succès.

Cette décision n’est pas juste une mauvaise nouvelle pour Criteo. C’est un séisme pour tout l’écosystème publicitaire européen. Voici pourquoi.

Comment on en est arrivé là

Tout commence en décembre 2018. Deux associations, noyb (fondée par Max Schrems, le militant autrichien qui a fait tomber le Privacy Shield) et Privacy International, déposent une plainte contre Criteo auprès de la CNIL.

Le reproche principal : Criteo déposait des cookies de tracking sur des milliers de sites web partenaires pour analyser les comportements de navigation des internautes et leur afficher des publicités en « retargeting », ces pubs qui vous poursuivent après que vous ayez regardé une paire de baskets sur un site e-commerce !

Le problème, c’est que Criteo ne vérifiait pas que ses éditeurs partenaires avaient effectivement recueilli le consentement des utilisateurs avant de déposer son cookie. L’entreprise se reposait sur des clauses contractuelles avec ses partenaires, en mode « on leur fait confiance ».

Après 5 ans d’instruction, la CNIL rend sa décision le 15 juin 2023 : 40 millions d’euros d’amende et publication de la sanction pendant 2 ans. Criteo fait appel devant le Conseil d’État. Le 4 mars 2026, le recours est rejeté. Affaire classée.

Les 5 violations retenues par la CNIL

La sanction ne porte pas sur un seul manquement. La CNIL a identifié cinq violations du RGPD, et chacune a des implications directes pour l’ensemble des acteurs de l’adtech.

1. Incapacité à prouver le consentement (article 7.1) : Criteo n’a jamais été en mesure de démontrer que les internautes avaient donné leur consentement au dépôt de son cookie de retargeting. L’entreprise s’appuyait sur des engagements contractuels avec ses éditeurs partenaires. Pour la CNIL et le Conseil d’État, ça ne suffit pas. Le responsable de traitement doit pouvoir apporter la preuve du consentement, peu importe qui l’a recueilli.

2. Défaut d’information et de transparence (articles 12 et 13) : les internautes n’étaient pas correctement informés des traitements de données opérés par Criteo. La politique de confidentialité était soit absente des sites partenaires, soit incomplète sur les finalités réelles du traitement.

3. Non-respect du droit d’accès (article 15.1) : quand des utilisateurs demandaient à accéder à leurs données, Criteo ne fournissait pas une réponse complète ni dans les délais requis.

4. Non-respect du droit au retrait du consentement et à l’effacement (articles 7.3 et 17.1) : c’est peut-être le point le plus impactant. Quand un utilisateur retirait son consentement, Criteo arrêtait bien de lui afficher des pubs ciblées. Mais l’entreprise conservait ses données pour « améliorer ses algorithmes de prédiction ». En clair : vous dites stop, on arrête de vous montrer des pubs, mais on continue d’utiliser vos données pour entraîner nos modèles. Le Conseil d’État a confirmé que c’est illégal. Le retrait du consentement implique la suppression totale des données, pas juste la désactivation d’une fonctionnalité.

5. Absence d’accord entre responsables conjoints de traitement (article 26) : Criteo et ses éditeurs partenaires agissaient comme responsables conjoints de traitement sans avoir formalisé d’accord conforme au RGPD. Chacun faisait sa partie sans cadre commun clair.

Les 4 leçons qui changent la donne

Au-delà du cas Criteo, cette décision pose des règles qui s’appliquent désormais à tout l’écosystème publicitaire.
Voici les 4 enseignements majeurs.

1. Données pseudonymisées = données personnelles

C’est le premier argument que Criteo a tenté devant le Conseil d’État : « nous ne traitons que des identifiants pseudonymes, nous ne pouvons pas identifier directement les personnes ». Rejeté.

Le Conseil d’État a confirmé la position de la CNIL : dès qu’un acteur peut recouper des faisceaux d’indices – historique de navigation, géolocalisation, habitudes d’achat – pour individualiser un utilisateur « sans effort démesuré », il traite des données à caractère personnel. Peu importe que l’identifiant soit un cookie ID, un device ID ou un hash.

C’est un coup dur pour tous les acteurs de l’adtech qui se retranchent derrière la pseudonymisation pour échapper au RGPD. L’argument ne tient plus.

2. Vous êtes responsable du consentement, même si quelqu’un d’autre le recueille

C’est la leçon la plus structurante pour l’écosystème. Dans la chaîne publicitaire classique, c’est l’éditeur qui recueille le consentement via sa CMP (Consent Management Platform). Les partenaires adtech – DSPs, SSPs, DMPs, ad networks – se contentent de vérifier qu’un signal de consentement existe dans la TC String.

Le Conseil d’État dit clairement que ce n’est pas suffisant. Le responsable de traitement – ici Criteo, mais demain n’importe quel acteur adtech – doit être en mesure de prouver que le consentement a été valablement recueilli. Un contrat qui dit « le partenaire s’engage à recueillir le consentement » ne vaut pas preuve de consentement.

Concrètement, ça signifie que chaque maillon de la chaîne publicitaire doit pouvoir auditer la conformité de ses partenaires. Pas juste signer un contrat et détourner le regard.

3. L’illégalité de la collecte initiale contamine tout le reste

Si la collecte de données est illégale à l’origine (pas de consentement valide), alors tous les traitements ultérieurs de ces mêmes données sont illégaux. On ne peut pas « blanchir » des données mal collectées en les utilisant pour une autre finalité.

Pour l’adtech, c’est un signal d’alarme. L’intégralité de la chaîne de valeur repose sur la validité du consentement initial. Si ce premier maillon est défaillant, tout le reste s’écroule.

4. Le droit à l’effacement, c’est l’effacement total

Criteo avait une interprétation créative du droit à l’effacement : arrêter le ciblage publicitaire mais garder les données pour améliorer ses modèles algorithmiques. Le Conseil d’État a tranché : effacement veut dire effacement. Pas désactivation partielle, pas archivage « à froid », pas réutilisation pour l’entraînement de modèles.

Pour les acteurs qui utilisent des données comportementales pour entraîner des modèles d’IA ou d’optimisation, c’est un vrai sujet. La donnée ne vous appartient pas, et le retrait du consentement doit être total et irréversible.

Ce que ça change pour les éditeurs

Si vous êtes éditeur de site web, cette décision vous concerne directement. Pas parce que vous risquez 40 millions d’amende, mais parce que vous êtes un maillon essentiel de la chaîne du consentement.

Première conséquence : vos partenaires adtech vont vous demander des comptes. Attendez-vous à recevoir des questionnaires plus poussés sur votre CMP, votre gestion de la TC String, et votre capacité à prouver que le consentement a été valablement recueilli.

Deuxième conséquence : la qualité du consentement devient un avantage concurrentiel. Un éditeur capable de prouver un consentement irréprochable, traçable et conforme, aura plus de valeur aux yeux des annonceurs et des partenaires adtech qu’un éditeur avec un taux de consentement élevé mais invérifiable.

Et troisième conséquence : les éditeurs qui négligent leur CMP prennent un risque juridique croissant. En 2025, la CNIL a sanctionné 21 organisations pour des manquements liés aux cookies et traceurs. Ce n’est plus un risque théorique.

Ce que ça change pour les annonceurs

Pour les annonceurs, le message est tout aussi clair. Quand vous achetez de l’espace publicitaire en programmatique, vous avez une responsabilité sur la provenance des données utilisées pour le ciblage.

La nouvelle question à poser à vos prestataires est « comment pouvez-vous nous prouver que le consentement est valide pour chaque impression servie ? ».

Les annonceurs les plus avancés intègrent déjà des audits de conformité dans leurs appels d’offres. Après cette décision, ce sera la norme.

Le contexte : une CNIL plus offensive que jamais

Cette décision s’inscrit dans un contexte de durcissement massif des sanctions. En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 487 millions d’euros – un record absolu, presque 9 fois plus qu’en 2024.

Parmi les sanctions marquantes de 2025 : Google (325 millions), Shein (150 millions), et une série de sanctions plus modestes mais ciblées sur les cookies. En janvier 2026, Free et Free Mobile ont écopé de 42 millions d’euros combinés, et France Travail de 5 millions.

Le message est limpide : la CNIL considère désormais que certaines mesures de conformité sont des prérequis non négociables. L’authentification multi facteur, la traçabilité du consentement, la gestion stricte du cycle de vie des données, tout ça n’est plus optionnel.

Et Criteo dans tout ça ?

L’ironie de l’histoire, c’est que Criteo n’est même plus vraiment un acteur du retargeting classique. L’entreprise a pivoté vers le retail media, qui représente désormais 37% de son chiffre d’affaires. Son CA global est de 1,18 milliard de dollars en 2025, mais la croissance ralentit pour 2026 (entre 0% et 2% de croissance attendue).

Plus symbolique encore : Criteo a annoncé le transfert de son siège social de la France vers le Luxembourg via une conversion transfrontalière, soumise au vote de ses actionnaires.

L’enfant terrible de l’adtech française, fondé en 2005, tourne une page. Mais la jurisprudence qu’il laisse derrière lui restera.

Ce qu’il faut retenir

La décision Criteo n’est pas juste une amende de plus. C’est une clarification juridique qui redéfinit les règles du jeu pour toute l’adtech européenne. En résumé :

• Les données pseudonymisées sont des données personnelles.
• La preuve du consentement incombe aussi au responsable de traitement.
• Un contrat ne remplace pas une preuve. Dire « mon partenaire s’engage à recueillir le consentement » ne suffit pas.
• Le retrait du consentement implique la suppression totale des données, y compris pour l’entraînement de modèles.
• L’illégalité de la collecte initiale contamine l’ensemble des traitements ultérieurs.

Pour les éditeurs et les annonceurs, le consentement n’est plus un sujet de conformité parmi d’autres. C’est le socle sur lequel repose l’intégralité du modèle publicitaire européen. Et le Conseil d’État vient de rappeler que ce socle doit être béton.

---

Thomas Gicquel – CEO de Gimii / Les Cookies Solidaires