Accueil " Amende de 35 millions d'euros pour Amazon

PROTECTION DES DONNÉES EN FRANCE DE LA PROTECTION DES DONNÉES - ACTUALITÉS

https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core

Cookies : 35 millions d'euros d'amende contre AMAZON EUROPE CORE

10 décembre 2020

Entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a procédé à plusieurs contrôles, notamment en ligne, concernant le site amazon.fr. Ces contrôles ont révélé que lorsqu'un utilisateur se rendait sur le site internet, des cookies étaient automatiquement déposés sur son ordinateur, sans aucune action de sa part. Plusieurs de ces cookies avaient une finalité publicitaire.

Violations de la loi sur la protection des données

Le Comité restreint, organe de la CNIL chargé de prononcer les sanctions, a constaté deux violations de l'article 82 de la loi française sur la protection des données :

Placement de cookies sans recueil préalable du consentement de l'utilisateur

La Commission restreinte a constaté que lorsqu'un internaute se rendait sur l'une des pages du site amazon.fr, un grand nombre de cookies publicitaires étaient automatiquement déposés sur son ordinateur, sans aucune action de sa part. Toutefois, la Commission restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu'après que l'internaute ait exprimé son consentement. Il a considéré que le fait de placer des cookies concomitamment à l'arrivée sur le site était une pratique par nature incompatible avec le consentement préalable.

Un défaut d'information des utilisateurs du site amazon.fr

Tout d'abord, le Comité restreint a constaté que dans le cas d'un internaute visitant le site amazon.fr, l'information fournie n'était ni claire ni complète.

Elle a considéré que la bannière d'information affichée par la société, à savoir "En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus", ne contenait qu'une description générale et approximative des finalités de tous les cookies placés. En particulier, elle a considéré qu'en lisant cette bannière, l'utilisateur n'était pas en mesure de comprendre que les cookies placés sur son ordinateur avaient pour objectif principal d'afficher de la publicité personnalisée. Elle a également constaté que la bannière n'indiquait pas à l'utilisateur qu'il avait le droit de refuser ces cookies et les moyens dont il disposait à cette fin.

En second lieu, la Commission restreinte a relevé que le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une publicité publiée sur un autre site Internet. Elle a souligné que dans ce cas, les mêmes cookies étaient placés sans qu'aucune information ne soit délivrée aux internautes.

La sanction prononcée par le comité restreint

Le Comité restreint sanctionne la société AMAZON EUROPE CORE d'une amende de 35 millions d'euros, qui a été rendue publique. Le montant de l'amende, ainsi que son caractère public, sont justifiés par la gravité des manquements constatés.

Il a été pris en compte le fait que jusqu'à la refonte du site amazon.fr en septembre 2020, la société plaçait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir l'information dans des conditions conformes à l'article 82 de la loi. Elle a constaté que, quel que soit le chemin emprunté par l'internaute se rendant sur le site, celui-ci était soit insuffisamment informé, soit jamais informé du dépôt de cookies sur son ordinateur. La Commission restreinte a considéré que dans le cas d'utilisateurs accédant au site amazon.fr après avoir cliqué sur une publicité, le dépôt instantané de cookies, combiné à l'absence d'information, était particulièrement préjudiciable aux droits des internautes.

En outre, même si l'activité principale de l'entreprise réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, augmente considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale qu'occupe le site amazon.fr en matière de commerce en ligne, des millions de personnes résidant en France visitent quotidiennement le site et voient des cookies être déposés sur leur ordinateur.

Le Comité restreint a pris note des récentes modifications apportées au site amazon.fr et notamment du fait que les cookies ne sont désormais plus placés avant que l'utilisateur n'ait donné son consentement. Il a néanmoins considéré que la nouvelle bannière d'information déployée ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour afficher de la publicité sur le site.

Par conséquent, en plus de l'amende administrative, le Comité restreint a également adopté une injonction sous astreinte afin que la société procède à l'information des personnes conformément à l'article 82 de la loi sur la protection des données dans un délai de 3 mois à compter de la notification de la décision. A défaut, la société sera redevable d'une astreinte de 100.000 euros par jour de retard.

Une compétence de la CNIL

Dans sa délibération, la commission restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les entreprises sur les ordinateurs des utilisateurs résidant en France. Elle a ainsi souligné que le mécanisme de coopération prévu par le RGPD (mécanisme de " guichet unique ") n'avait pas vocation à s'appliquer dans cette procédure puisque les opérations liées à l'utilisation des cookies relèvent de la directive " ePrivacy ", transposée à l'article 82 de la loi Informatique et Libertés.

Elle a considéré que la CNIL est également territorialement compétente en vertu de l'article 3 de la loi Informatique et Libertés car l'utilisation des cookies se fait dans le " cadre des activités " de la société AMAZON FRANCE qui est " l'établissement " sur le territoire français de la société AMAZON EUROPE CORE et assure la promotion de leurs produits et services.

L'articulation de la sanction avec les travaux de la CNIL sur les cookies

Dans le cadre de son plan d'action sur le ciblage publicitaire et pour tenir compte de l'entrée en vigueur du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives et une recommandation sur l'utilisation des cookies et autres traceurs. La CNIL a demandé aux acteurs de se mettre en conformité avec les règles ainsi clarifiées, considérant que cette période d'adaptation ne devrait pas excéder six mois.

A cette occasion, elle a néanmoins précisé qu'elle continuerait à contrôler pleinement le respect des autres obligations non modifiées et, le cas échéant, à adopter des mesures correctives pour protéger la vie privée des utilisateurs d'Internet.

Les obligations que la CNIL sanctionne aujourd'hui au titre de la non-conformité des entreprises au RGPD étaient préexistantes et ne font donc pas partie de celles qui ont été précisées par les nouvelles lignes directrices et la recommandation du 1er octobre 2020.

Note : la société Amazon Europe Core est une société de droit luxembourgeois qui fait partie du groupe Amazon et qui est responsable des sites web européens "Amazon", y compris le site amazon.fr.