Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante.
Entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a effectué plusieurs contrôles, notamment en ligne, concernant le site web amazon.fr. Ces vérifications ont permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire.
Les manquements à la loi Informatique et Libertés
La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi Informatique et Libertés :
Un dépôt de cookies sans recueillir le consentement de l’utilisateur
La formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.
Un défaut d’information des utilisateurs du site amazon.fr
Tout d’abord, la formation restreinte a relevé que dans le cas d’un internaute qui se rendait sur le site amazon.fr, les informations fournies n’étaient ni claires ni complètes.
Elle a considéré que le bandeau d’information affiché par la société, en l’occurrence « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus », ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. En particulier, elle a estimé qu’à la lecture de ce bandeau, l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées. Elle a également relevé que le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.
Ensuite, la formation restreinte a relevé que le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web. Elle a souligné que dans ce cas de figure, les mêmes cookies étaient déposés sans aucune information délivrée aux internautes.
La sanction prononcée par la formation restreinte
La formation restreinte condamne la société AMAZON EUROPE CORE à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés.
Il a été tenu compte du fait que jusqu’à la refonte du site amazon.fr, en septembre 2020, la société déposait des cookies sur les ordinateurs des internautes résidant en France sans leur fournir les informations dans des conditions conformes à l’article 82 de la loi. Elle a relevé que, quel que soit le chemin emprunté par l’internaute se rendant sur le site, celui-ci était soit insuffisamment informé soit jamais informé du dépôt de cookies sur son ordinateur. La formation restreinte a considéré que dans le cas des utilisateurs accédant au site amazon.fr après avoir cliqué sur une annonce, le dépôt instantané de cookies, combiné à l’absence de toute information, portait particulièrement atteinte aux droits des internautes.
En outre, quand bien même l’activité principale de la société réside principalement dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment grâce aux cookies, permet d’augmenter considérablement la visibilité de ses produits ailleurs sur le web. Enfin, compte tenu de la place centrale occupée par le site amazon.fr en matière de commerce en ligne, ce sont des millions de personnes résidant en France qui se rendent quotidiennement sur le site et qui voient des cookies être déposés sur leurs ordinateurs.
La formation restreinte a pris acte des récentes évolutions apportées au site amazon.fr et notamment le fait que plus aucun cookie ne soit désormais déposé avant que l’utilisateur n’ait donné son consentement. Elle a néanmoins considéré que le nouveau bandeau d’information déployé ne permettait toujours pas aux internautes résidant en France de comprendre que les cookies sont principalement utilisés pour leur afficher de la publicité personnalisée et que ces derniers n’étaient toujours pas clairement informés de leur possibilité de refuser ces cookies.
Dès lors, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard.
Une compétence de la CNIL
Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.
Elle a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours à des cookies est effectué dans le « cadre des activités » de la société AMAZON FRANCE qui constitue « l’établissement » sur le territoire français de la société AMAZON EUROPE CORE et y assure la promotion de leurs produits et services.
L’articulation de la sanction avec les travaux de la CNIL sur les cookies
Dans le cadre de son plan d’action sur le ciblage publicitaire et pour tenir compte de l’entrée en application du RGPD, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. La CNIL a demandé aux acteurs de se conformer aux règles ainsi clarifiées, en estimant que cette période d’adaptation ne devrait pas dépasser six mois.
À cette occasion, elle avait néanmoins précisé qu’elle continuerait à contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes.
Les obligations dont la CNIL sanctionne aujourd’hui le non-respect par la société AMAZON EUROPE CORE préexistaient au RGPD et ne font donc pas partie de celles qui ont été clarifiées par les nouvelles lignes directrices et la recommandation du 1er octobre.
Note : la société Amazon Europe Core est une société de droit luxembourgeois faisant partie du groupe Amazon et qui est responsable des sites web européens « Amazon », dont le site amazon.fr.