La Cnil condamne Amazon à une amende de 35 millions d'euros
Pour avoir enfreint la législation française sur les cookies
Le 2020-12-10 10:49:30, par Stéphane le calme, Chroniqueur Actualités
Entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a effectué plusieurs contrôles, notamment en ligne, concernant le site web amazon.fr. Ces vérifications ont permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.
Les manquements à la loi Informatique et Libertés
La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi Informatique et Libertés :
La sanction prononcée par la formation restreinte
La formation restreinte condamne la société AMAZON EUROPE CORE à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifie par la gravité des manquements constatés.
Il a été tenu compte du fait que jusqu’à la refonte du site amazon.fr, en septembre 2020, la société déposait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir les informations dans des conditions conformes à l’article 82 de la loi. Elle a relevé que, quel que soit le chemin emprunté par l’internaute se rendant sur le site, celui-ci était soit insuffisamment informé soit jamais informé du dépôt de cookies sur son ordinateur. La formation restreinte a considéré que dans le cas des utilisateurs accédant au site amazon.fr après avoir cliqué sur une annonce, le dépôt instantané de cookies, combiné à l’absence de toute information, portait particulièrement atteinte aux droits des internautes.
En outre, quand bien même l’activité principale de la société réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, permet d’augmenter considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale occupée par le site amazon.fr en matière de commerce en ligne, ce sont des millions de personnes résidant en France qui se rendent quotidiennement sur le site et qui voient des cookies être déposés sur leurs ordinateurs.
La formation restreinte a pris acte des récentes évolutions apportées au site amazon.fr et notamment le fait que plus aucun cookie ne soit désormais déposé avant que l’utilisateur n’ait donné son consentement. Elle a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour leur afficher de la publicité personnalisée et que ces derniers n’étaient toujours pas clairement informés de leur possibilité de refuser ces cookies.
Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.
Sources : Délibération du 7 décembre 2020 concernant la société AMAZON EUROPE CORE, Cnil
Et vous ?
Les manquements à la loi Informatique et Libertés
La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi Informatique et Libertés :
- Un dépôt de cookies sans recueillir le consentement de l’utilisateur : la formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.
- Un défaut d’information des utilisateurs du site amazon.fr : tout d’abord, la formation restreinte a relevé que dans le cas d’un internaute qui se rendait sur le site amazon.fr, les informations fournies n’étaient ni claires ni complètes.
Elle a considéré que le bandeau d’information affiché par la société, en l’occurrence « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. En particulier, elle a estimé qu’à la lecture de ce bandeau, l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. Elle a également relevé que le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
Ensuite, la formation restreinte a relevé que le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web. Elle a souligné que dans ce cas de figure, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.
La sanction prononcée par la formation restreinte
La formation restreinte condamne la société AMAZON EUROPE CORE à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifie par la gravité des manquements constatés.
Il a été tenu compte du fait que jusqu’à la refonte du site amazon.fr, en septembre 2020, la société déposait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir les informations dans des conditions conformes à l’article 82 de la loi. Elle a relevé que, quel que soit le chemin emprunté par l’internaute se rendant sur le site, celui-ci était soit insuffisamment informé soit jamais informé du dépôt de cookies sur son ordinateur. La formation restreinte a considéré que dans le cas des utilisateurs accédant au site amazon.fr après avoir cliqué sur une annonce, le dépôt instantané de cookies, combiné à l’absence de toute information, portait particulièrement atteinte aux droits des internautes.
En outre, quand bien même l’activité principale de la société réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, permet d’augmenter considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale occupée par le site amazon.fr en matière de commerce en ligne, ce sont des millions de personnes résidant en France qui se rendent quotidiennement sur le site et qui voient des cookies être déposés sur leurs ordinateurs.
La formation restreinte a pris acte des récentes évolutions apportées au site amazon.fr et notamment le fait que plus aucun cookie ne soit désormais déposé avant que l’utilisateur n’ait donné son consentement. Elle a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour leur afficher de la publicité personnalisée et que ces derniers n’étaient toujours pas clairement informés de leur possibilité de refuser ces cookies.
Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.
Sources : Délibération du 7 décembre 2020 concernant la société AMAZON EUROPE CORE, Cnil
Et vous ?