L’essentiel : La CNIL a infligé une amende de 35 millions d’euros à Amazon Europe Core pour avoir déposé des cookies sur les terminaux des utilisateurs sans leur consentement préalable. Deux négligences majeures ont été identifiées : le dépôt de cookies avant toute action de l’utilisateur et un manque d’information sur les moyens de refuser ces cookies. Le bandeau d’information sur le site Amazon.fr était jugé insuffisant, ne précisant pas les finalités des cookies ni les options de refus. Cette sanction souligne l’importance du consentement exprès et des obligations d’information en matière de protection des données.

Il est impératif de ne collecter aucun cookie avant que le visiteur d’un site ne l’ait expressément autorisé. La CNIL a prononcé une amende de 35 millions d’euros contre Amazon Europe Core pour non-respect de l’article 82 de la loi informatique et libertés.

Deux séries de négligences graves

Deux séries de négligences graves ont justifié cette sanction: i) le dépôt de cookies sur le terminal de l’utilisateur avant toute action de sa part et sans recueil de son consentement ; ii) un défaut d’information délivrée à l’utilisateur quant aux opérations d’accès ou d’inscription d’informations dans leur terminal (le bandeau d’information ne faisait pas non plus état des moyens dont dispose l’internaute pour refuser l’inscription de cookies).

Attention à vos bandeaux de Cookies

Les informations délivrées par la société sur la page d’accueil du site web Amazon.fr au moyen du bandeau d’information étaient insuffisantes en ce que celui-ci ne constituait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés. Il n’y était pas non plus fait état des moyens dont dispose l’internaute pour s’opposer au dépôt des cookies.

Le texte du bandeau suivant est donc à proscrire:

«En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus». Ce bandeau ne contient aucune information précise s’agissant des moyens mis à disposition des utilisateurs pour exprimer leur choix quant à l’inscription de cookies. En tout état de cause, les cookies étaient déposés avant toute action de l’internaute, fût-ce une simple poursuite de la navigation, qui avait été admise comme modalité valable d’expression du consentement dans une délibération n° 2013-378 du 5 décembre 2013 de la CNIL (mais qui ne correspond plus à l’état du droit, éclairé par la délibération n° 2020-091 du 17 septembre 2020 de la CNIL).

Le bandeau d’information affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. Sur ce point, les termes «offrir et améliorer nos services» permettent uniquement d’informer l’utilisateur de ce que des cookies sont inscrits afin de permettre à la société d’assurer le bon fonctionnement de son activité et de la faire évoluer. Ainsi, à la lecture de ce bandeau, l’utilisateur n’est pas mis en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement.

La société aurait dû recueillir préalablement le consentement des utilisateurs, avant de procéder au dépôt de cookies poursuivant une finalité publicitaire sur le terminal de ces derniers. En tout état de cause, quand bien même le paramétrage du navigateur peut dans certains cas constituer un mécanisme valable du recueil du consentement, c’est à la condition que l’utilisateur ait été préalablement informé qu’il dispose de cette possibilité, ce qui n’était pas le cas en l’espèce.

Consentement exprès impératif

Lorsque l’utilisateur se rendait sur le site Amazon.fr non pas par le biais de la page d’accueil, mais à partir d’une annonce publiée sur un site tiers, des cookies étaient déposés à l’arrivée de l’internaute sur le site Amazon.fr sans qu’une information soit délivrée. Plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur le terminal de l’utilisateur.

Statut des cookies publicitaires

Les cookies dits publicitaires ne peuvent entrer dans le champ des exceptions définies à l’article 82 de la loi Informatique et Libertés dans la mesure où ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par conséquent, de tels cookies ne peuvent être déposés ou lus sur le terminal de la personne tant qu’elle n’a pas fourni son consentement.

Pour rappel, la CNIL a recommandé aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes:

– première étape : l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

– seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II de la loi informatique et libertés ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d’audience .

Pourquoi 35 millions d’euros ?  

Le montant important de la sanction s’explique notamment par le nombre de personnes concernées, il ressort des informations fournies par la société qu’environ 300 millions d’identifiants Amazon ont été attribués en France sur une période de neuf mois.

Les informations susceptibles d’être collectées pour un même identifiant au moyen de ces cookies publicitaires sont par ailleurs nombreuses, variées, parfois relatives à des aspects touchant à l’intimité des personnes, et il n’est pas impossible que certaines révèlent des informations correspondant à des données sensibles (opinions religieuses, politiques, état de santé,etc. régies par l’article 9 du RGPD).

La CNIL a également considéré que la société Amazon, qui a réalisé pour l’année 2019 un chiffre d’affaires mondial d’environ 7,7 milliards d’euros, a tiré du manquement commis un avantage financier certain. Télécharger la décision

Q/R juridiques soulevées :

Pourquoi la CNIL a-t-elle sanctionné Amazon ?

La CNIL a sanctionné Amazon Europe Core en raison de deux négligences graves concernant la collecte de cookies.

Premièrement, des cookies ont été déposés sur le terminal des utilisateurs avant qu’ils n’aient donné leur consentement explicite. Cela constitue une violation de l’article 82 de la loi informatique et libertés, qui stipule que le consentement doit être obtenu avant toute collecte de données.

Deuxièmement, Amazon n’a pas fourni d’informations adéquates aux utilisateurs concernant les opérations d’accès et d’inscription d’informations sur leur terminal. Le bandeau d’information affiché sur le site ne mentionnait pas les moyens dont disposaient les internautes pour refuser l’inscription de cookies, ce qui a également contribué à la sanction.

Quelles étaient les insuffisances du bandeau d’information ?

Le bandeau d’information utilisé par Amazon sur son site web était jugé insuffisant par la CNIL.

Il ne fournissait qu’une description générale et approximative des finalités des cookies déposés, sans entrer dans les détails nécessaires pour que l’utilisateur puisse comprendre comment ses données seraient utilisées.

Les termes vagues tels que « offrir et améliorer nos services » ne permettent pas à l’utilisateur de saisir les implications de l’utilisation des cookies, notamment en ce qui concerne la personnalisation des contenus et des annonces en fonction de son comportement en ligne.

Quel est le processus de recueil du consentement recommandé par la CNIL ?

La CNIL recommande un mécanisme de recueil du consentement en deux étapes pour garantir que les utilisateurs soient correctement informés et puissent exercer leur choix.

La première étape consiste à informer l’internaute, via un bandeau, des finalités précises des cookies utilisés, ainsi que de la possibilité de s’opposer à leur dépôt.

La seconde étape implique de fournir des informations claires et intelligibles sur les options disponibles pour accepter ou refuser les cookies, en les classant par catégories de finalités, telles que la publicité ou la mesure d’audience.

Pourquoi le montant de l’amende est-il si élevé ?

Le montant de l’amende de 35 millions d’euros infligée à Amazon s’explique par plusieurs facteurs.

Tout d’abord, environ 300 millions d’identifiants Amazon ont été attribués en France sur une période de neuf mois, ce qui signifie que de nombreuses personnes ont été concernées par les manquements.

De plus, les informations collectées par le biais des cookies publicitaires peuvent être variées et sensibles, touchant à des aspects de la vie privée des utilisateurs, comme leurs opinions politiques ou leur état de santé.

Enfin, la CNIL a noté qu’Amazon avait tiré un avantage financier de ces pratiques, d’autant plus que la société a réalisé un chiffre d’affaires mondial d’environ 7,7 milliards d’euros en 2019.