Amendes salées pour des cookies de mauvais goût : sanctions records contre Google et Amazon

Publié par le dans , , | Consulté 179 Fois

Le 7 décembre dernier, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé des amendes records à l’encontre de deux géants du web, Google et Amazon. Ces amendes, d’un montant sans précédent, s’élèvent à 100 millions d’euros pour Google, et 35 millions d’euros pour Amazon. Ces sanctions symboliques, par leur forte portée médiatique, retentissent comme un avertissement lancé par la CNIL aux acteurs du web, les invitant à respecter la législation en matière de dépôt de cookies.

Des manquements avérés à la loi « Informatique et Libertés »

Suite à différents contrôles, effectués en mars 2020 pour le site google.fr, et en décembre 2019 et mai 2020 pour le site amazon.fr, la CNIL a relevé que des cookies poursuivant des objectifs publicitaires étaient directement déposés sur l’ordinateur des utilisateurs, par leur simple entrée sur le site. 

Pour rappel, un cookie est un fichier stocké par un serveur sur le terminal de l’utilisateur, associé à un domaine web. Il en existe différents types, comme les cookies nécessaires au fonctionnement du service, les cookies statistiques permettant de suivre les actions de l’utilisateur sur le site, ou encore les cookies publicitaires. Ces derniers, n’étant pas nécessaires au fonctionnement du service, nécessitent le consentement préalable de l’utilisateur. Or, comme le relève la formation restreinte de la CNIL dans ses délibérations, cette obligation n’a pas été respectée.

Cette problématique relative aux cookies ne relèvent non pas du désormais si bien connu RGPD, mais d’un texte qui lui préexiste : la directive dite « ePrivacy » du 12 juillet 2002, transposée en droit français au sein de la loi « Informatique et Libertés ». Les pratiques de Google et Amazon constituent alors des manquements à cette dernière, donnant pleine compétence à la CNIL pour exercer ses pouvoirs de contrôle et de sanction. En effet, les manquements ne relevant pas du RGPD, le mécanisme de « guichet unique », prévu par celui-ci pour harmoniser les décisions des différentes « CNIL européennes », ne trouvait pas à s’appliquer. 

Quels sont les manquements reprochés à Google et Amazon ? 

Dans ses délibérations, la CNIL relève différentes violations de l’article 82 de la loi « informatique et libertés » : 

  • Le dépôt des cookies publicitaires, non essentiels au service, sur l’ordinateur de l’internaute dès son arrivée sur le site était effectué sans que le consentement de celui-ci n’ait été recueilli. 
  • Les informations délivrées à l’internaute sur ce dépôt de cookies faisaient défaut. En effet, le bandeau qui apparaissait en bas de page sur le site google.fr n’informait pas l’utilisateur des cookies qui avaient pourtant déjà été déposés, et cette information n’était pas non plus accessible lorsqu’il cliquait sur le bandeau. Pour amazon.fr, la CNIL a considéré que le bandeau d’information ne fournissait pas une description assez précise des finalités poursuivies par les cookies déposés. 
  • L’utilisateur n’avait pas entièrement la possibilité d’exprimer son opposition au dépôt de ces cookies. En effet, pour le site google.fr, même s’il désactivait la personnalisation des annonces, un cookie publicitaire demeurait stocké. Pour amazon.fr, la CNIL a estimé que le bandeau présent sur le site ne permettait pas à l’utilisateur de comprendre son droit de refuser les cookies et les moyens d’y parvenir. 

Il n’en fallut donc pas plus à la CNIL pour sanctionner les deux géants du web.  

Des amendes exemplaires justifiées par la portée de google.fr et amazon.fr  

Par une délibération du 7 décembre 2020, la CNIL a donc sanctionné la société Google LLC de 60 millions d’euros d’amende, et la société Google Ireland Limited de 40 millions, soit une addition salée de 100 millions d’euros pour le groupe Google. Une amende de 35 millions d’euros a été prononcée le même jour contre la société Amazon Europe Core. 

La CNIL justifie ce prononcé record par la gravité du triple manquement à la loi « Informatique et Libertés ». Elle a également tenu compte de la place qu’occupent Google et Amazon dans leurs secteurs respectifs, et du nombre conséquent d’internautes brassés sur leurs sites. En effet, Amazon détenant une place centrale dans le commerce en ligne français (ce qui a fait grand bruit fin novembre), le nombre d’utilisateurs impactés par ces manquements s’élève à des millions. Il en est de même pour Google, leader des moteurs de recherche, dont les pratiques ont touché près de 50 millions d’utilisateurs. 

De plus, nul n’ignore que ces derniers temps, la tendance est à l’implosion des pratiques numériques et au recours à ces plateformes, le tout catalysé par la crise sanitaire et les mesures de confinement. L’ampleur et l’impact des mauvaises pratiques des plateformes n’en sont alors que démultipliés, d’où l’importance d’une extrême vigilance de la part des autorités de surveillance, et une nécessité de sanctions exemplaires. 

La CNIL relève toutefois que depuis septembre 2020, Google a cessé ce dépôt automatique de cookies publicitaires dès l’arrivée sur le site google.fr. Néanmoins, les informations délivrées demeurent insuffisantes. Il en est de même pour Amazon, qui a également cessé le dépôt de cookies préjudiciable. Néanmoins, comme pour Google, le bandeau d’information reste incomplet. Les deux sociétés disposent donc de 3 mois pour mettre en place une information correcte des internautes, avec une astreinte de 100 000 euros par jour de retard.  

Comme en témoignent ces amendes, la CNIL poursuit son contrôle du respect de la réglementation relative aux cookies, et n’hésite pas à sanctionner en cas de manquement. Cela invite donc tous les acteurs du web à être vigilants et à se conformer aux législations en vigueur, notamment en cette période où les différents usages d’Internet et le commerce en ligne sont plus que jamais sollicités. 

De plus, pour rappel, la CNIL a adopté le 1er octobre dernier des lignes directrices modificatives et une recommandation sur l’usage des cookies et autres traceurs, afin de tenir compte de l’entrée en vigueur du RGPD. Elle laisse donc une période d’adaptation de 6 mois aux acteurs pour s’y conformer, ce qui ne l’empêche toutefois pas de continuer pour le moment son contrôle sur les autres obligations qui n’ont pas été modifiées. Précaution et adaptation sont donc de mise. 

Sources