Réf. : CNIL, délibération n° SAN-2020-013, 7 décembre 2020 (N° Lexbase : X4444CMK)
Lecture: 7 min
N5700BYR
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 11 Décembre 2020
► Dans sa délibération en date du 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société Amazon Europe Core d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site « amazon.fr » sans consentement préalable et sans information satisfaisante ; elle a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS) dans un délai de 3 mois à compter de la notification de la décision.
Contexte. Entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a effectué plusieurs contrôles, notamment en ligne, concernant le site web « amazon.fr ». Ces vérifications ont permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.
Les manquements à la loi Informatique et Libertés. La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi précitée :
La formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site « amazon.fr », un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.
Tout d’abord, la formation restreinte a relevé que dans le cas d’un internaute qui se rendait sur le site « amazon.fr », les informations fournies n’étaient ni claires ni complètes.
Elle a considéré que le bandeau d’information affiché par la société, en l’occurrence « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. En particulier, elle a estimé qu’à la lecture de ce bandeau, l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. Elle a également relevé que le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
Ensuite, la formation restreinte a relevé que le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site « amazon.fr » après avoir cliqué sur une annonce publiée sur un autre site web. Elle a souligné que dans ce cas de figure, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.
La sanction prononcée par la formation restreinte. La formation restreinte condamne la société Amazon Europe Core à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés.
Il a été tenu compte du fait que jusqu’à la refonte du site « amazon.fr », en septembre 2020, la société déposait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir les informations dans des conditions conformes à l’article 82 de la loi Informatique et Libertés. Elle a relevé que, quel que soit le chemin emprunté par l’internaute se rendant sur le site, celui-ci était soit insuffisamment informé soit jamais informé du dépôt de cookies sur son ordinateur. La formation restreinte a considéré que dans le cas des utilisateurs accédant au site « amazon.fr » après avoir cliqué sur une annonce, le dépôt instantané de cookies, combiné à l’absence de toute information, portait particulièrement atteinte aux droits des internautes.
En outre, quand bien même l’activité principale de la société réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, permet d’augmenter considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale occupée par le site « amazon.fr » en matière de commerce en ligne, ce sont des millions de personnes résidant en France qui se rendent quotidiennement sur le site et qui voient des cookies être déposés sur leurs ordinateurs.
La formation restreinte a pris acte des récentes évolutions apportées au site « amazon.fr » et notamment le fait que plus aucun cookie ne soit désormais déposé avant que l’utilisateur n’ait donné son consentement. Elle a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour leur afficher de la publicité personnalisée et que ces derniers n’étaient toujours pas clairement informés de leur possibilité de refuser ces cookies.
Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi précitée dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.
Une compétence de la CNIL. Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération (mécanisme de « guichet unique ») prévu par le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la Directive « ePrivacy » (Directive (CE) n° 2002/58 du Parlement européen et du Conseil du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43), transposée à l’article 82 de la loi Informatique et Libertés.
Elle a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi précitée car le recours à des cookies est effectué dans le « cadre des activités » de la société Amazon France qui constitue « l’établissement » sur le territoire français de la société Amazon Europe Core et y assure la promotion de leurs produits et services.
L’articulation de la sanction avec les travaux de la CNIL sur les cookies. Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du « RGPD », la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives (CNIL, délibération n° 2020-091, 17 septembre 2020 N° Lexbase : X0891CK9) ainsi qu’une recommandation (CNIL, délibération n° 2020-092, 17 septembre 2020 N° Lexbase : X0892CKA) portant sur l’usage de cookies et autres traceurs (CNIL, communiqué de presse , 1er octobre 2020 ; lire N° Lexbase : N4740BY9), la CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.
À cette occasion, elle avait néanmoins précisé qu’elle continuerait à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.
Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par la société Amazon Europe Core préexistaient au « RGPD » et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:475700
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.