Il est impératif de ne collecter aucun cookie avant que le visiteur d’un site ne l’ait expressément autorisé. La CNIL a prononcé une amende de 35 millions d’euros contre Amazon Europe Core pour non-respect de l’article 82 de la loi informatique et libertés.

Deux séries de négligences graves

Deux séries de négligences graves ont justifié cette sanction: i) le dépôt de cookies sur le terminal de l’utilisateur avant toute action de sa part et sans recueil de son consentement ; ii) un défaut d’information délivrée à l’utilisateur quant aux opérations d’accès ou d’inscription d’informations dans leur terminal (le bandeau d’information ne faisait pas non plus état des moyens dont dispose l’internaute pour refuser l’inscription de cookies).

Attention à vos bandeaux de Cookies

Les informations délivrées par la société sur la page d’accueil du site web Amazon.fr au moyen du bandeau d’information étaient insuffisantes en ce que celui-ci ne constituait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. Il n’y était pas non plus fait état des moyens dont dispose l’internaute pour s’opposer au dépôt des cookies.

Le texte du bandeau suivant est donc à proscrire:

«En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus». Ce bandeau ne contient aucune information précise s’agissant des moyens mis à disposition des utilisateurs pour exprimer leur choix quant à l’inscription de cookies. En tout état de cause, les cookies étaient déposés avant toute action de l’internaute, fût-ce une simple poursuite de la navigation, qui avait été admise comme modalité valable d’expression du consentement dans une délibération n° 2013-378 du 5 décembre 2013 de la CNIL (mais qui ne correspond plus à l’état du droit, éclairé par la délibération n° 2020-091 du 17 septembre 2020 de la CNIL).

Le bandeau d’information affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. Sur ce point, les termes «offrir et améliorer nos services» permettent uniquement d’informer l’utilisateur de ce que des cookies sont inscrits afin de permettre à la société d’assurer le bon fonctionnement de son activité et de la faire évoluer. Ainsi, à la lecture de ce bandeau, l’utilisateur n’est pas mis en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement.

La société aurait dû recueillir préalablement le consentement des utilisateurs, avant de procéder au dépôt de cookies poursuivant une finalité publicitaire sur le terminal de ces derniers. En tout état de cause, quand bien même le paramétrage du navigateur peut dans certains cas constituer un mécanisme valable du recueil du consentement, c’est à la condition que l’utilisateur ait été préalablement informé qu’il dispose de cette possibilité, ce qui n’était pas le cas en l’espèce.

Consentement exprès impératif

Lorsque l’utilisateur se rendait sur le site Amazon.fr non pas par le biais de la page d’accueil, mais à partir d’une annonce publiée sur un site tiers, des cookies étaient déposés à l’arrivée de l’internaute sur le site Amazon.fr sans qu’une information soit délivrée. Plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur le terminal de l’utilisateur.

Statut des cookies publicitaires

Les cookies dits publicitaires ne peuvent entrer dans le champ des exceptions définies à l’article 82 de la loi Informatique et Libertés dans la mesure où ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par conséquent, de tels cookies ne peuvent être déposés ou lus sur le terminal de la personne tant qu’elle n’a pas fourni son consentement.

Pour rappel, la CNIL a recommandé aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes:

– première étape : l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

– seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II de la loi informatique et libertés ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience .

Pourquoi 35 millions d’euros ?  

Le montant important de la sanction s’explique notamment par le nombre de personnes concernées, il ressort des informations fournies par la société qu’environ 300 millions d’identifiants Amazon ont été attribués en France sur une période de neuf mois.

Les informations susceptibles d’être collectées pour un même identifiant au moyen de ces cookies publicitaires sont par ailleurs nombreuses, variées, parfois relatives à des aspects touchant à l’intimité des personnes, et il n’est pas impossible que certaines révèlent des informations correspondant à des données sensibles (opinions religieuses, politiques, état de santé,etc. régies par l’article 9 du RGPD).

La CNIL a également considéré que la société Amazon, qui a réalisé pour l’année 2019 un chiffre d’affaires mondial d’environ 7,7 milliards d’euros, a tiré du manquement commis un avantage financier certain. Télécharger la décision