Fransk domstol fastställer Criteos GDPR-böter på 40 miljoner euro

Bakgrunden till ärendet är klagomål som lämnades in redan i december 2018 av integritetsorganisationerna noyb och Privacy International. Frågorna gällde bland annat hur samtycke hanterades i samband med beteendebaserad annonsering.

Efter en omfattande granskning kom CNIL fram till att Criteo inte hade kunnat visa att giltigt samtycke enligt GDPR hade inhämtats. Myndigheten pekade också på brister i hur bolaget tillgodosåg registrerades rättigheter, såsom rätten till tillgång och rätten till radering, samt hur tydligt användare informerades om behandlingen av deras personuppgifter.

Eftersom behandlingen omfattade mycket stora datamängder och ett stort antal individer bedömdes överträdelserna som allvarliga, vilket resulterade i böter på 40 miljoner euro.

Criteo är en central aktör inom datadriven annonsering och adtech

Criteo är en välkänd aktör inom europeisk adtech och arbetar med så kallad retargeting, där annonser anpassas utifrån användares tidigare beteenden online, exempelvis vilka produkter en person har tittat på.

Enligt uppgifterna i ärendet rör det sig om data kopplad till omkring 370 miljoner personer i Europa. Det ger en tydlig bild av både omfattningen och komplexiteten i den här typen av databehandling inom digital annonsering och datadriven marknadsföring.

Criteo överklagade beslutet, men i mars 2026 valde Conseil d’État att avslå överklagandet.

En central fråga i målet var om pseudonyma identifierare, alltså data som inte direkt pekar ut en individ, ändå ska betraktas som personuppgifter enligt GDPR. Domstolen var tydlig: för att data ska anses vara anonym krävs att det i praktiken inte går att koppla den till en person.

I Criteos fall bedömde domstolen att det fanns tillräckligt med information och struktur för att identifiering skulle vara möjlig. Därför omfattas uppgifterna fortsatt av GDPR.

Vad betyder Criteo-domen för datadriven marknadskommunikation?

– Det här är ett viktigt klargörande för hela branschen, säger Mattias Grundström, chefsjurist på SWEDMA. Domen visar att varje aktör behöver ha kontroll över sin egen databehandling och inte kan förlita sig på att någon annan i kedjan har gjort rätt.

Han lyfter också att synen på pseudonymiserad data nu blir ännu tydligare.

– Att data är pseudonymiserad innebär inte att den faller utanför regelverket. Om den används på ett sätt som gör det möjligt att koppla den till individer så gäller GDPR fullt ut.

Samtidigt pekar han på behovet av gemensamma lösningar och fortsatt ansvarstagande i branschen.

– För många aktörer handlar det här inte om vilja, utan om komplexitet. Därför behöver branschen fortsätta samarbeta, utveckla gemensamma arbetssätt och stärka självregleringen. Det är så vi bygger både förtroende och långsiktigt hållbara affärer.

Det här bör företag och aktörer se över efter Criteo-domen

Mot bakgrund av domen finns det några frågor som är särskilt viktiga att arbeta vidare med:

säkerställ att ni kan visa hur samtycke har samlats in och att det uppfyller kraven i GDPR
gå igenom er roll i värdekedjan och tydliggör ansvarsfördelningen i avtal och i praktiken
se över hur användare informeras om databehandling, så att informationen är tydlig och begriplig
bedöm hur pseudonymiserad data används och om den i praktiken kan kopplas till individer
stärk dialogen med partners och leverantörer för att säkerställa gemensam efterlevnad

För många aktörer handlar det inte om att göra om allt från grunden, utan om att skapa bättre struktur, dokumentation och kontroll i befintliga arbetssätt.

Domen mot Criteo visar att frågor om samtycke, ansvarsfördelning och personuppgifter fortsatt står högt på den regulatoriska agendan. För företag som arbetar med datadriven marknadskommunikation är det en tydlig signal om att efterlevnad inte bara handlar om juridik, utan också om fungerande processer, tydlig styrning och ett gemensamt ansvar i hela värdekedjan.

För SWEDMA är detta ännu ett exempel på varför självreglering, vägledning och branschgemensamma principer är avgörande för att skapa en marknad som både är innovativ, ansvarsfull och långsiktigt hållbar.