Menu
Fermer le menu
Droit des affaires

Non-respect de la règlementation sur les cookies : Amazon Europe Core sanctionnée d’une amende de 35 millions d’euros par la CNIL

Publié le - Mise à jour le

Voir toutes les actualités

 

Par une délibération du 7 décembre 2020, la CNIL a sanctionné la société Amazon Europe Core exploitant le site web marchand Amazon.fr notamment d’une amende de 35 millions d’euros en raison de manquements à la règlementation applicable sur les cookies.

 

Pour en savoir plus :

Trois contrôles en ligne ont été réalisés par la CNIL en décembre 2019, mars et mai 2020 du site Amazon.fr exploité par la société Amazon Europe Core, société luxembourgeoise du groupe Amazon et un contrôle dans les locaux de la société Amazon Online France SAS, établissement français du groupe en janvier 2020, aux fins de vérifier le respect des dispositions de l’article 82 de loi Informatique et Libertés relatives au traitement des cookies déposés sur les ordinateurs des internautes résidant en France lors de leur visite du site web Amazon.fr. Suite à l’instruction du dossier, aux échanges écrits entre le rapporteur du dossier de la CNIL et la société Amazon Europe Core, aux observations orales lors de la séance de la formation restreinte (formation de sanction) de la CNIL du 12 novembre 2020 tenue à huis clos, la société a été sanctionnée par la CNIL pour des manquements à la règlementation applicable sur les cookies.  Il ressort de cette décision que :

 

  1. La CNIL est matériellement et territorialement compétente pour contrôler et engager une procédure de sanction en cas de non-respect de la règlementation sur les cookies

La société Amazon Europe Core a contesté la compétence de la CNIL, considérant que seule l’autorité de contrôle Luxembourgeoise (la CNPD) était compétente pour engager une procédure de sanction et éventuellement la sanctionner. La formation restreinte de la CNIL a rappelé que :

  • la procédure de sanction concerne les opérations de dépôt et de lecture des cookies sur le terminal (ordinateur, ordiphone, etc) des utilisateurs par le site web Amazon.fr. Est donc applicable l’article 5(3) de la directive européenne 2002/58/CE du 12 juillet 2002 sur la vie privée et les communications électroniques dite directive ePrivacy, transposé en droit français à l’article 82 de la loi n°78-17 du 6 janvier 1978 dite Loi Informatique et Libertés ;
  • le législateur français a chargé la CNIL de veiller à la bonne application de cette disposition et de sanctionner le cas échéant les manquements. La compétence de la CNIL a d’ailleurs été rappelée par le Conseil d’Etat (CE, 19 juin 2020, req.434684, pt.3) ;
  • le mécanisme du guichet unique prévu au RGPD ne s’applique pas à date à des faits relevant de la directive ePrivacy ;
  • les références au RGPD contenues dans certains documents communiqués par la CNIL durant la mission de contrôle sont sans incidence sur la légalité de la procédure ; la CNIL n’a poursuivi que les manquements à l’article 82 de la loi Informatique et Libertés, clairement indiqués dans la notification des griefs à la société Amazon Europe Core ;
  • la CNIL est en l’occurrence compétente territorialement car la loi française est applicable au vu de l’existence d’un établissement du responsable de traitement sur le territoire français soit la société Amazon Online France SAS et de l’existence d’un traitement effectué dans le cadre des activités de cet établissement au sens de l’article 3 de la loi Informatique et Libertés par la promotion et la commercialisation des outils publicitaires développés par la société Amazon Europe Core.

Au regard de la contestation de la régularité de la procédure, la formation restreinte de la CNIL a estimé que les droits de la défense ont été respectés et que le contrôle en ligne contesté par la société n’était pas entaché d’irrégularité.

 

  1. La société Amazon Europe Core n’a pas respecté les dispositions de l’article 82 de la loi Informatique et libertés sur les cookies

  • Sur le dépôt de cookies sur le terminal de l’utilisateur avant toute action de sa part et sans recueil de son consentement préalable

La loi Informatique et Libertés en son article 82 prévoit expressément que les opérations de dépôt et de lecture des cookies dans le terminal de l’utilisateur d’un site web ne peuvent, sauf exceptions, avoir lieu qu’après le recueil du consentement de l’utilisateur. La CNIL a considéré que les cookies publicitaires ne peuvent pas entrer dans le champ des exceptions de cette disposition légale car ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La CNIL a constaté lors des contrôles en ligne que plus de 40 cookies publicitaires étaient déposés sur le terminal des internautes situés en France se rendant sur la page d’accueil du site Amazon.fr ou s’y rendant via une annonce publicitaire affichée sur un site tiers, avant toute action de leur part et sans le recueil de leur consentement.  La formation restreinte de la CNIL a donc estimé que le manquement à l’article 82 de la loi Informatique et Libertés était constitué.

 

  • Sur l’information délivrée à l’utilisateur relative au dépôt de cookies

L’article 82 de la loi Informatique et Libertés prévoit expressément que l’utilisateur doit être informé de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont il dispose pour s’y opposer. La CNIL a estimé que le bandeau d’information affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés, ne permettant pas à l’utilisateur de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement. De plus, les liens Cookies présents en pied de page et qui renvoient vers une page d’information ne permettaient pas de délivrer une information préalable satisfaisante dès lors que le dépôt de cookies était réalisé avant toute action de l’utilisateur. Le bandeau d’information ne faisait pas non plus état des moyens dont disposait l’utilisateur pour refuser le dépôt de cookies. Enfin, lorsque l’utilisateur résident français se rendait sur le site Amazon.fr par le biais d’une annonce publiée sur un site tiers, des cookies publicitaires étaient déposés sur son terminal sans qu’aucune information préalable ne lui soit délivrée. La CNIL a considéré que le manquement à la loi Informatique et Libertés était constitué dans la mesure où l’information délivrée par la société était soit incomplète soit inexistante.

 

  1. Sur les sanctions prononcées par la CNIL à l’encontre d’Amazon Europe Core

La formation restreinte de la CNIL a considéré que les manquements susvisés constatés lors des contrôles sont graves et a prononcé une amende de 35 millions d’euros à l’encontre d’Amazon Europe Core, responsable de traitement. Le montant de l’amende a été estimé notamment au vu du nombre important de personnes concernées et de l’avantage financier réalisé par la société du fait des publicités personnalisées possibles grâce aux cookies publicitaires. Ensuite, la formation restreinte de la CNIL a estimé que le nouveau dispositif mis en place par la société en septembre 2020 qui recueille le consentement exprès préalable de l’utilisateur au dépôt des cookies, ne délivre toujours pas une information claire et complète telle que prévue par l’article 82 de la loi Informatique et libertés.  Ainsi, un délai de trois mois a été accordé à la société pour se mettre en conformité sur l’information claire et complète des finalités des cookies et des moyens de s’y opposer par une injonction assortie d’une astreinte de 100 000 euros par jour de retard à compter de la notification de la décision. Enfin, la formation restreinte de la CNIL a décidé de rendre publique sa décision, non anonymisée pendant 2 ans, à titre de sanction complémentaire.

Remarque :  Editeurs de sites web, soyez vigilants sur le respect de la règlementation applicable sur les cookies ! Rappelons que la CNIL a laissé jusqu’à fin mars 2021 aux éditeurs de sites web pour prendre en compte ses lignes directrices modificatives relatives à l’application de l’article 82 de la loi Informatique et Libertés modifiée et sa recommandation du 1er octobre 2020 sur les modalités pratiques de recueil du consentement exprès (tel que défini dans le RGPD) au dépôt des cookies.

 

Délibération de la formation restreinte n°SAN-2020-013 du 7 décembre 2020 concernant la société Amazon Europe Core

Vanessa Younès-Fellous, avocate en droit de la protection des données personnelles

 

 

Découvrez notre formation sur la gestion des controles CNIL 

 

Formations qui pourraient vous intéresser

Formation Techniques contractuelles (niveau 2) : optimisation rédactionnelle des clauses sensibles

Session garantie
FORMATIONS CATALOGUE
Incontournables
2 jours
2 036 € HT

Formation Techniques contractuelles (niveau 1) : cadre légal et rédaction des clauses usuelles

Session garantie
FORMATIONS CATALOGUE
Incontournables
2 jours
1 803 € HT

Formation Cession du fonds de commerce : aspects juridiques, sociaux et fiscaux

Session garantie
FORMATIONS CATALOGUE
Incontournables
2 jours
1 803 € HT

Formation Contrats informatiques (niveau 1) : détermination du cadre légal

Session garantie
FORMATIONS CATALOGUE
Incontournables
2 jours
1 803 € HT

Formation RSE pour juristes : maîtriser le cadre légal

Session garantie
FORMATIONS CATALOGUE
Nouveauté
2 jours
1 792 € HT

Formation Contrats informatiques (niveau 2) : négociation et rédaction des clauses sensibles

Session garantie
FORMATIONS CATALOGUE
Incontournables
2 jours
2 036 € HT
Voir plus de formations Droit des affaires
tealium