cnil-logo.png

L'autorité réclame respectivement 100 et 35 millions d'euros aux deux géants américains, accusés d'avoir déposé des traceurs publicitaires chez leurs utilisateurs sans obtenir leur consentement.

Près de deux ans après avoir sanctionné Google pour un montant record en France de 50 millions d'euros, la Commission nationale de l'informatique et des libertés (CNIL) a infligé, jeudi 10 décembre, des amendes à hauteur de 35 millions d'euros à Amazon, et de 100 millions d'euros à Google, un nouveau record. Ces lourdes sanctions prises par le gendarme des données sont motivées par le dépôt de cookies publicitaires sur les ordinateurs d'utilisateurs et clients du e-commerçant, et du moteur de recherche, qui à chaque fois n'ont pas obtenu l'accord de ces derniers.

Consentement, information et opposition : plusieurs manquements reprochés à Google

La formation restreinte a tranché et décidé de condamner Google LLC à une amende de 60 millions d'euros et sa filiale européenne Google Ireland Limited à une autre amende de 40 millions d'euros, pour un total de 100 millions d'euros, un record en France.

Cette double sanction découle d'un contrôle en ligne mené par la CNIL le 16 mars 2020 sur le moteur de recherche google.fr, qui s'est aperçue que des cookies étaient déposés sur l'ordinateur de l'utilisateur de façon automatique, sans qu'il puisse donner (ou non) son consentement. Les traceurs installés sur la machine de l'utilisateur étaient donc installés, à des finalités publicitaires, sans la fameuse obligation du recueil préalable du consentement de l'utilisateur, ce qui viole les dispositions de l'article 82 de la loi Informatique et Libertés.

La CNIL souligne, certes, le fait que Google faisait bien apparaître un bandeau d'information en pied de page, fort de la mention « Rappel concernant les règles de confidentialité de Google ». Sauf que ce bandeau ne fournissait aucune information sur les cookies déposés, ce qui constitue un défaut d'information des utilisateurs, pour le gendarme français des données.

Enfin, l'autorité a souligné la défaillance partielle du mécanisme d'opposition, censé permettre la personnalisation des annonces dans ses recherches Google. Elle indique que dans tous les cas, un des cookies publicitaires installés sans consentement demeurait stocké sur l'ordinateur « et continuait de lire des informations à destination du serveur auquel il est rattaché ».

Quant au montant de la double amende (60 + 40 millions) et l'astreinte de 100 000 euros par jour de retard, la CNIL les justifie par la portée de Google en France et de son moteur de recherche, qui ont affecté quelque 50 millions d'utilisateurs, et les revenus publicitaires générés grâce à ces cookies, qui collectent les données. Google dispose de trois mois pour informer ses utilisateurs.

Google est-elle entrée en conformité ?

« Oui », répond la CNIL, qui note que Google a bien cessé le dépôt sans consentement ni information des cookies publicitaires visés, et ce depuis le mois de septembre. Elle précise tout de même que le bandeau d'information du moteur de recherche n'offre toujours pas assez d'informations sur la finalité des traceurs et la possibilité offerte aux utilisateurs de les refuser.

Des cookies déposés sans consentement, dès l'arrivée sur le site Amazon

Les reproches faits à Amazon sont à peu près similaires. La CNIL a opéré plusieurs contrôles en ligne sur le site du e-commerçant entre le mois de décembre 2019 et mai 2020. L'autorité pointe d'abord du doigt le fait qu'Amazon déposait des cookies sur les ordinateurs des utilisateurs sans recueillir leur consentement, et ce, dès leur arrivée sur le site.

La CNIL s'est aussi aperçue qu'au moment de se rendre sur amazon.fr, l'utilisateur se voyait proposer des informations qui n'étaient « ni claires ni complètes ». Le bandeau d'information affiché par la société, qui précise qu' « en utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services » ne constituait qu'une vague description des finalités des cookies installés. En d'autres termes, l'utilisateur ne pouvait pas avoir conscience que les traceurs étaient destinés à lui proposer des publicités personnalisées. L'internaute n'était pas non plus informé de sa possibilité de refuser les cookies.

Amazon s'est donc vue infliger une amende de 35 millions d'euros, pour une pratique constatée jusqu'à la refonte du site, en septembre dernier (depuis, Amazon ne dépose plus aucun cookie sans avoir obtenu de consentement). L'un des facteurs aggravants était le dépôt systématique des cookies sans consentement, et ce, peu importe la provenance de l'internaute, qu'il ait sciemment décidé d'aller sur Amazon ou qu'il transite par une annonce présente sur un autre site. Une astreinte de 100 000 par jour de retard et une obligation d'information des clients et utilisateurs sous trois mois sont assorties à l'amende.

Qu'en pense-t-on chez Clubic ?

La CNIL est en action ! En moins d'un mois, le régulateur de la donnée personnelle aura sanctionné tour à tour un géant de la grande distribution (Carrefour), le roi des moteurs de recherches (Google) et le taulier du e-commerce (Amazon) de plusieurs amendes, pour un total de 103,05 millions d'euros. Jamais la Commission, présidée par Marie-Laure Denis, n'aura été aussi sévère dans ses sanctions. Il semble que nous soyons désormais à un tournant de la répression envers les grandes entreprises, celles issues du secteur du numérique notamment. La gigantesque législation européenne sur leurs activités, dont on devrait connaître la teneur le 15 décembre prochain, doit inconsciemment jouer dans l'imaginaire collectif. Les autorités ne redoutent désormais plus (ou moins) de faire face aux mastodontes.