Par deux délibérations du 7 décembre 2020, la CNIL a condamné d’une part, les sociétés Google LLC et Google Ireland Limited à des amendes de 60 et 40 millions d’euros ; et, d’autre part, la société Amazon Europe Core à une amende de 35 millions d’euros. Ces sanctions sont motivées par des manquements à la législation applicable en matière de cookies.
1. Au cours de contrôles en ligne menés en 2020 sur les sites google.fr et amazon.fr, la CNIL a constaté un certain nombre de manquements à l’article 82 de la loi « Informatique et libertés » du 6 janvier 1978 modifiée. Cet article impose au responsable du traitement d’informer et de recueillir le consentement de l’internaute préalablement à l’utilisation de cookies.
La CNIL a, tout d’abord, relevé que des cookies à finalité publicitaire étaient déposés sur le terminal des internautes se rendant sur les sites amazon.fr et google.fr, et ce dès leur arrivée sur ces sites, avant toute action de leur part, fût-ce une simple poursuite de la navigation, qui aurait pu, à l’époque, être admise comme modalité valable d’expression du consentement.
La CNIL a ensuite souligné qu’aucune information n’était délivrée aux internautes sur le site google.fr. Sur le site amazon.fr, si un bandeau d’information indiquait bien la présence de cookies avec pour finalité « offrir et améliorer nos services », le CNIL a jugé cette formulation comme une description « générale et approximative des finalités de l’ensemble des cookies », qui n’était pas de nature à satisfaire à l’obligation d’information de l’article 82.
Enfin, la CNIL a constaté qu’après avoir désactivé la personnalisation des annonces sur la recherche Google, des cookies à finalités publicitaires demeuraient néanmoins stockés sur son équipement terminal.
2. Tirant les conséquences de ces manquements, la CNIL a prononcé les amendes administratives suivantes :
- 60 millions d’euros à l’encontre de la société Google LLC ;
- 40 millions d’euros à l’encontre de la société Google Ireland Limited ;
- 35 millions d’euros à l’encontre de la société Amazon Europe Core.
Ces amendes s’accompagnent d’injonctions de correction des manquements, assorties d’astreintes de 100.000 euros par jour de retard.
Il s’agit là de sanctions particulièrement lourdes, parmi les plus sévères prononcées par une autorité de contrôle européenne, et dont il est à noter qu’elles ne résultent pas de manquements au RGPD.
Notons également qu’avant 2017, ce type de manquement pouvait faire l’objet d’une amende administrative d’un montant maximum de 150.000 €. La loi pour une République numérique a ensuite porté ce montant à un maximum de 3 millions d’euros. Depuis l’ordonnance du 12 décembre 2018, les manquements à la loi « Informatique et libertés » peuvent entrainer le prononcé d’amendes dont le montant peut aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial, voire, dans certains cas, 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Il convient de relever que, depuis les faits, les obligations pesant sur les entités utilisant des cookies se sont renforcées. En effet, il désormais nécessaire pour éditeur d’un site web, responsable du traitement, de recueillir un consentement répondant aux exigences du RGPD, lequel ne saurait être déduit d’une simple poursuite de la navigation de l’utilisateur.
Liens vers les publications de la CNIL :
https://www.cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core
Liens vers les délibérations :
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635729
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042635706
