La Commission nationale de l’informatique et des libertés (CNIL) vient d’annoncer qu’elle infligeait des amendes de 100 millions et 35 millions d’euros respectivement à Google et Amazon. Il leur est reproché de déposer des cookies publicitaires sur l’ordinateur des Français « sans consentement préalable et sans information satisfaisante ».

Le garant de la sécurité des données de Français a décidé de frapper un grand coup face aux deux géants du Web, dont les pratiques ont un impact direct sur les consommateurs, estime-t-il. En effet, la part de marché détenue par Google au sein de l’Hexagone est supérieure à 90%, tandis que celle d’Amazon dans le secteur de l’eCommerce s’élève à 20%, en France toujours. Selon la CNIL, chacune des plateformes installe des cookies sur les appareils des internautes sans que ceux-ci ne soient au courant, et en plus de cela ne les informe pas sur la teneur de ces outils.

Au moment des contrôles effectués par la Commission, les bandeaux apparaissant sur les pages des deux sites ne comportaient pas d’« informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser », explique-t-elle. Cela est loin d’être anodin pour la CNIL, puisqu’il y a une atteinte directe « à la vie privée des internautes dans leur quotidien numérique », les cookies permettant de « collecter de nombreuses informations sur les personnes, sans leur consentement, afin de pouvoir par la suite leur proposer des publicités ».

Si en septembre 2020, Google et Amazon ont décidé de ne plus déposer de cookies sur les ordinateurs des utilisateurs, le bandeau d’information n’apporte toujours pas les explications suffisantes, estime la CNIL. Le montant de ces amendes est quasiment inédit en Europe. Celle contre Google est en effet la plus importante jamais infligée, et celle contre Amazon est uniquement surpassée par une autre amende imposée à Google par la CNIL en 2019. D’un montant de 50 millions d’euros, elle sanctionnait Android pour non-respect du Règlement général européen sur la protection des données (RGPD).

“Les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles. La décision rendue par la CNIL en matière de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services," nous explique un porte-parole de Google.

"Nous sommes en désaccord avec la décision de la CNIL. La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons", rapporte un porte-parole d'Amazon.

Il est d’ailleurs important de noter que dans ce cas, les sanctions ont été décidées sur la base de la législation en œuvre avant le RGPD, qui est entré en vigueur en 2018. En plus des amendes, la CNIL enjoint les deux entreprises à modifier leurs bandeaux d’information dans un délai de 3 mois. Si ce n’est pas fait, alors une astreinte de 100 000 euros par jour de retard après ce délai sera ajoutée aux sanctions.