Le 27 juin 2022, le Conseil d’Etat a confirmé la sanction d’un montant de 35 millions d’euros prononcée par la CNIL à l’égard d’Amazon, en raison d’un dépôt de cookies dépourvus de consentement et d’information satisfaisante.
Le 7 décembre 2022, dans une décision commentée par nos soins, la CNIL a sanctionné Amazon Europe Core (ci-après « Amazon ») au paiement d’une amende administrative d’un montant de 35 millions d’euros, pour avoir déposé des cookies publicitaires sur les terminaux des utilisateurs du site Amazon.fr sans information satisfaisante, recueil du consentement, ni possibilité satisfaisante de refuser les cookies.
Ayant exercé un recours contre cette décision devant le Conseil d’Etat, Amazon a remis en question la compétence de la CNIL, estimant notamment que la CNIL n’était pas l’autorité de contrôle désignée par le mécanisme de « guichet unique » défini à l’article 56 RGPD.
Le Conseil d’Etat a répondu que, pour ce qui est « du contrôle (…) des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, le mécanisme du « guichet unique » ne s’applique pas ».
En effet, pour le Conseil d’Etat, « si les conditions de recueil du consentement de l’utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme du « guichet unique » défini à l’article 56 de ce règlement, aux traitements transfrontaliers, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive ».
Le Conseil d’Etat a également estimé que la sanction prononcée par la CNIL n’était pas disproportionnée, eu égard « à la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues et à leurs effets sur les utilisateurs situés en France, aux avantages financiers que la société a pu tirer de la collecte des données résultant de l’exploitation des traceurs de connexion illégalement déposés sur les terminaux de ces utilisateurs, aux plafonds prévus par le 4 de l’article 83 du RGPD et à la situation financière de la société ».
Source Conseil d’Etat : ici
Source CNIL : ici
