La CNIL inflige des amendes record à Google et Amazon pour leur mauvaise gestion des cookies
Le 7 décembre 2020, la CNIL a prononcé des sanctions historiques à l’encontre d’acteurs majeurs d’Internet : 35 millions d’euros d’amende pour la société Amazon Europe Core et 100 millions d’euros pour les sociétés Google LLC et Google Ireland Limited.
Les règlementations européenne et française prévoient que les cookies non essentiels au service ne peuvent être déposés que lorsque l’internaute y a consenti au préalable. Or, entre décembre 2019 et mai 2020, la CNIL a effectué des contrôles en ligne des sites google.fr et amazon.fr et a constaté que des cookies publicitaires étaient automatiquement déposés sur le terminal des utilisateurs lorsque ces derniers se rendaient sur les sites français de Google et Amazon. En outre, les utilisateurs n’étaient pas informés de manière « claire et complète » sur le dépôt automatique des cookies publicitaires et n'ont pas eu la possibilité de s'y soustraire :
- A titre d’illustration, le bandeau d’information du site Amazon.fr indiquant « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », a été considéré comme ne présentant que d’une manière générale et approximative les finalités des traceurs déposés, sans que l’internaute ne soit mis en mesure de comprendre que les cookies déposés avaient pour objectif de lui proposer de la publicité personnalisée et qu’il avait la possibilité de les refuser.
- De la même manière, la bannière en pied de page du site Google.fr ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur. De plus, le mécanisme d’opposition de l’utilisateur n’était pas effectif, un des cookies publicitaires demeurant stocké sur le terminal de l’utilisateur même après désactivation de la personnalisation des annonces.
Dans ses délibérations, la CNIL a d'abord dû déterminer qu'elle était matériellement compétente pour contrôler et sanctionner le dépôt de cookies, ce indépendamment du mécanisme de coopération du Règlement Général sur la Protection des Données (le mécanisme de guichet unique). Elle a rappelé que ce mécanisme n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la seule directive « ePrivacy »1, transposée à l’article 82 de la loi Informatique et Libertés2 et non du RGPD.
La CNIL s'est également déclarée territorialement compétente en application de la loi Informatique et Libertés car le recours à des cookies était effectué dans le cadre des activités des filiales françaises de Google et Amazon (Google France et Amazon France établies en France). Elle pouvait donc contrôler et infliger des amendes pour les cookies déposés sur les ordinateurs des utilisateurs résidant en France.
Pour justifier les montants des amendes infligées, la CNIL a rappelé les dispositions de l'article 20 de la loi Informatique et Libertés transposant l'article 83 du RGPD. En vertu de cet article, en cas de violation, la CNIL peut imposer une amende administrative allant jusqu'à 2% du chiffre d'affaires annuel mondial total d'une entreprise, en tenant compte des conditions générales pour imposer des amendes administratives énoncées dans le RGPD. Si les amendes et le nombre d'utilisateurs concernés sont significatifs, les sanctions restent bien en deçà du seuil de 2% du chiffre d'affaires mondial des sociétés concernées, le chiffre d'affaires total de Google Ireland Limited ayant atteint 38 milliards d'euros en 2018, celui de Google LLC s’élevant à 160 milliards de dollars en 2019 et celui d’Amazon Europe Core étant de 7,7 milliards d'euros en 2019.
Néanmoins, ces décisions constituent une forte incitation pour toutes les entreprises à revoir leur politique en matière de cookies. Une attention particulière doit être accordée à la conformité avec les recommandations et lignes directrices publiées par la CNIL le 1er octobre 2020 rappelant les principes suivants :
- Le dépôt de cookies publicitaires nécessite le consentement préalable de l’utilisateur ;
- L’information fournie à l’utilisateur doit être claire et complète ;
- L’utilisateur doit pouvoir retirer son consentement.
Read the English version of this article
Notes de bas de page
1 Directive européenne « ePrivacy » (2009/136/EC)
2 Article 82 de la Loi Informatique et Libertés du 6 janvier 1978 (transposant la directive « ePrivacy »)