Un petit bout de code, pour une sanction exemplaire. La CNIL vient de condamner Google et Amazon a des amendes de 100 millions d’euros pour le premier (la sanction se décomposant en 60 millions d’euros pour Google LLC et 40 millions d’euros pour sa filiale Irlandaise) et 35 millions d’euros pour le second. Pourquoi une telle sanction ? les cookies ou plus exactement la politique des cookies des deux acteurs.
La formation restreinte de la Cnil a constaté trois manquements à l’article 82 de la loi Informatique et Libertés. Le premier est l’absence de consentement préalable. « Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part », explique le régulateur. Autre carence, un défaut d’information de l’utilisateur, notamment à travers un bandeau. « Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site », constate la Cnil. Enfin dernière faute, l’utilisateur ne pouvait pas exercer pleinement son droit d’opposition, car « un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché ».
Amazon persiste dans le défaut d’information
Pour Amazon, le régulateur ne retient que deux violations de l’article 82 : le dépôt de cookies sans recueillir le consentement de l’utilisateur et le défaut d’information des utilisateurs du site Amazon.fr. La sanction est un peu plus faible pour le e-commerçant, car il a remanié son site et apporté quelques modifications concernant les cookies. Mais le bandeau d’information reste un point d’achoppement pour les sages de la Cnil. Dans les deux cas, la Cnil a enjoint les sociétés Google et Amazon de modifier leur bandeau dans un délai de 3 mois à compter de la notification de la décision. A défaut, ces sociétés devront payer une astreinte de 100 000 euros par jour de retard.
Face au montant très important des sanctions, la Cnil rappelle qu’elles reflètent la gravité des manquements. Par ailleurs, elle précise que les faits n’ont pas été analysés au titre du RGPD, car ils étaient antérieurs au règlement européen. La Commission s’est appuyée sur la directive ePrivacy. Amazon et Google peuvent contester ces décisions.
MAJ: En réaction à cette décision, un porte-parole de Google a indiqué, « les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles. La décision rendue par la CNIL en matière de « ePrivacy » fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services. »
Commentaire