Criteo mag van rechter geen trackingcookies zonder toestemming plaatsen

In dit artikel:

Reclamebedrijf Criteo mag van de rechter niet zonder toestemming trackingcookies op de systemen van een Nederlandse man plaatsen. Het gerecht in Amsterdam oordeelde eind 2023 — en verhoogde in april 2024 de sanctie — dat Criteo als verwerkingsverantwoordelijke volgens de AVG zelf verantwoordelijk is voor het verkrijgen van toestemming en zich niet kan verschuilen achter partners. Het is de derde achtereenvolgende rechtszaak die Criteo verliest.

Criteo gebruikt trackingcookies om surfgedrag en interesses te analyseren, gebruikersprofielen te bouwen en via het Real Time Bidding-systeem binnen enkele seconden gerichte advertenties te tonen. Na een boete van 40 miljoen euro door de Franse privacytoezichthouder CNIL in 2023 klaagde een Nederlander het bedrijf aan nadat een deskundigenrapport van Privacy Company stelde dat Criteo zonder toestemming cookies plaatste.

De rechtbank beval Criteo per direct te stoppen met het plaatsen van die cookies op het systeem van de klager en gaf hem binnen zeven dagen inzage in zijn gegevens, onder dreiging van een dwangsom. De dwangsom werd aanvankelijk vastgesteld op €250 per dag (max. €25.000) en later verhoogd naar €500 per dag (max. €50.000). Criteo stelde dat een algemeen verbod zijn bedrijfsmodel zou ondermijnen en dat partners verantwoordelijk zijn voor toestemming, maar ging in hoger beroep bij de rechtbank Rotterdam om de beperkingen te laten opheffen en proceskosten te verhalen op de eiser.

De zaak illustreert de groeiende juridische druk op adtech-bedrijven: toezichthouders en rechters leggen steeds vaker de verantwoordelijkheid bij de data-processor of -controller zelf, waardoor uitschakeling van ongevraagde tracking en strengere handhaving van toestemmingseisen volgen.