Fransk domstol fastställer Criteos GDPR-böter på 40 miljoner euro
Den franska högsta förvaltningsdomstolen, Conseil d’État, har fastställt beslutet där dataskyddsmyndigheten CNIL bötfällde adtechbolaget Criteo med 40 miljoner euro för överträdelser av GDPR. Domen ger viktig vägledning för aktörer inom datadriven marknadskommunikation, inte minst i frågor som rör samtycke, transparens och användningen av pseudonymiserad data.
Ett långvarigt ärende med stor betydelse
Bakgrunden till ärendet är klagomål som lämnades in redan i december 2018 av integritetsorganisationerna noyb och Privacy International. Frågorna gällde bland annat hur samtycke hanterades i samband med beteendebaserad annonsering.
Efter en omfattande granskning kom CNIL fram till att Criteo inte hade kunnat visa att giltigt samtycke hade inhämtats. Myndigheten pekade också på brister i hur bolaget tillgodosåg registrerades rättigheter, som rätten till tillgång och rätten till radering, samt hur tydligt användare informerades om behandlingen av deras data.
Eftersom behandlingen omfattade mycket stora datamängder och ett stort antal individer bedömdes överträdelserna som allvarliga, vilket resulterade i böter på 40 miljoner euro.
En central aktör inom datadriven annonsering
Criteo är en välkänd aktör inom europeisk adtech och arbetar med så kallad retargeting, där annonser anpassas utifrån användares tidigare beteenden online, exempelvis vilka produkter man har tittat på.
Enligt uppgifterna i ärendet rör det sig om data kopplad till omkring 370 miljoner personer i Europa. Det ger en tydlig bild av både omfattningen och komplexiteten i den här typen av databehandling.
Domen tydliggör gränsen för vad som är personuppgifter
Criteo överklagade beslutet, men i mars 2026 valde Conseil d’État att avslå överklagandet.
En central fråga i målet var om pseudonyma identifierare, alltså data som inte direkt pekar ut en individ, ändå ska betraktas som personuppgifter. Domstolen var tydlig: för att data ska anses vara anonym krävs att det i praktiken inte går att koppla den till en person.
I Criteos fall bedömde domstolen att det fanns tillräckligt med information och struktur för att identifiering skulle vara möjlig. Därför omfattas uppgifterna fortsatt av GDPR.
Vad betyder detta för branschen?
– Det här är ett viktigt klargörande för hela branschen, säger Mattias Grundström, chefsjurist på SWEDMA. Domen visar att varje aktör behöver ha kontroll över sin egen databehandling och inte kan förlita sig på att någon annan i kedjan har gjort rätt.
Han lyfter också att synen på pseudonymiserad data nu blir ännu tydligare.
– Att data är pseudonymiserad innebär inte att den faller utanför regelverket. Om den används på ett sätt som gör det möjligt att koppla den till individer så gäller GDPR fullt ut.
Samtidigt pekar han på behovet av gemensamma lösningar och fortsatt ansvarstagande i branschen.
– För många aktörer handlar det här inte om vilja, utan om komplexitet. Därför behöver branschen fortsätta samarbeta, utveckla gemensamma arbetssätt och stärka självregleringen. Det är så vi bygger både förtroende och långsiktigt hållbara affärer.
Det här bör du som aktör se över nu
Mot bakgrund av domen finns det några frågor som är särskilt viktiga att arbeta vidare med:
- säkerställ att du kan visa hur samtycke har samlats in och att det uppfyller kraven i GDPR
- gå igenom din roll i värdekedjan och tydliggör ansvarsfördelningen i avtal och i praktiken
- se över hur användare informeras om databehandling, så att informationen är tydlig och begriplig
- bedöm hur pseudonymiserad data används och om den i praktiken kan kopplas till individer
- stärk dialogen med partners och leverantörer för att säkerställa gemensam efterlevnad
För många aktörer handlar det inte om att göra om allt från grunden, utan om att skapa bättre struktur, dokumentation och kontroll i befintliga arbetssätt.
Ett viktigt avgörande för den datadrivna marknaden
Domen mot Criteo visar att frågor om samtycke, ansvarsfördelning och personuppgifter fortsatt står högt på den regulatoriska agendan. För företag som arbetar med datadriven marknadskommunikation är det en tydlig signal om att efterlevnad inte bara handlar om juridik, utan också om fungerande processer, tydlig styrning och ett gemensamt ansvar i hela värdekedjan.
För SWEDMA är detta ännu ett exempel på varför självreglering, vägledning och branschgemensamma principer är avgörande för att skapa en marknad som både är innovativ, ansvarsfull och långsiktigt hållbar.
Alla artiklar