Google et Amazon ont été sanctionnés par de lourdes amendes, pour non-respect de la législation sur les cookies.
Après Carrefour le mois dernier, la CNIL s’attaque aux GAFAM, et inflige de lourdes sanctions de 100 millions d’euros à Google et de 35 millions d’euros à Amazon pour des infractions à la législation sur les cookies.
« La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a constaté, à la suite de contrôles, que lorsqu’un internaute se rendait sur les sites web google.fr et amazon.fr, des cookies publicitaires étaient déposés sur son ordinateur sans qu’il ait préalablement donné son accord », affirme la CNIL dans un communiqué diffusé aujourd’hui.
« Elle a ensuite relevé que les bandeaux d’information affichés lors de la consultation de ces sites ne contenaient pas d’informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser », ajoute la Commission.
Indigestion de cookies pour Google
La sanction envers Google se scinde en deux. La CNIL a décidé de sanctionner la société Google LLC d’une amende de 60 millions d’euros, et la société Google Ireland Limited d’une amende de 40 millions d’euros, après avoir relevé trois violations à l’article 82 de la loi Informatique et Libertés. A la suite d’un contrôle en ligne effectué sur le site google.fr en mars dernier, la CNIL reproche à la firme de Moutain View d’avoir déposé des cookies automatiques sur l’ordinateur du visiteur, sans recueil préalable du consentement.
La Commission dit constater un défaut d’information des utilisateurs du moteur de recherche, le bandeau situé en pied de page ne contenant « aucune information relative aux cookies », qui avaient pourtant déjà été déposés sur l’ordinateur de l’internaute dès son arrivée sur le site. « La formation restreinte a donc estimé que l’information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser », résume la Commission dans son avis.
Le régulateur reproche par ailleurs une défaillance partielle du mécanisme d’opposition. « Lorsqu’un utilisateur désactivait la personnalisation des annonces sur la recherche Google en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant », un des cookies publicitaires demeurait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché », explique l’autorité de contrôle.
Google défend son bilan
Il s’agit d’une amende record, mais ce n’est pas la première fois que la CNIL s’attaque à Google. En 2019, la commission avait infligé une amende de 50 millions d’euros à Google pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Il s’agissait, cette année-là, de la seule amende à dépasser le million d’euros.
« Les utilisateurs de Google s’attendent à ce que nous respections leur vie privée, qu’ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles » a déclaré un porte-parole de Google à ZDNet, en réaction à ces trois accusations.
La firme estime que le régulateur ne tient pas compte de ses efforts en matière de protection des utilisateurs : « la décision rendue par la CNIL en matière de « ePrivacy » fait l’impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL, pour mieux comprendre ses préoccupations à mesure que nous continuons d’apporter des améliorations sur nos produits et services ».
Amazon dans le viseur du régulateur
La CNIL s’attaque aussi au géant du commerce électronique sur la base des mêmes constats. La société Amazon Europe Core est sanctionnée d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr, sans consentement préalable et sans information satisfaisante, affirme la commission.
A la suite de plusieurs contrôles effectuées entre le 12 décembre 2019 et le 19 mai 2020, la CNIL a constaté que des cookies étaient automatiquement déposés sur l’ordinateur du visiteur, sans action de sa part. Le régulateur observe par ailleurs un défaut d’information des utilisateurs du site amazon.fr, et des informations « ni claires ni complètes » au sujet de la finalité des cookies.
La CNIL a par ailleurs constaté que « le manquement de la société à ses obligations était encore plus manifeste dans le cas des utilisateurs qui se rendaient sur le site amazon.fr après avoir cliqué sur une annonce publiée sur un autre site web ». Dans ce cas de figure, « les mêmes cookies étaient déposés sans aucune information délivrée aux internautes ».
Amazon exprime son désaccord face à la sanction
Du côté d’Amazon, même son de cloche que chez Google. L’entreprise exprime son « désaccord avec la décision de la CNIL ». « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons », justifie l’entreprise, interrogée par ZDNet.
En complément, la firme de e-commerce détaille la manière dont elle a adapté le système des cookies pour ses clients. Elle explique avoir mis à jour les informations et options proposées aux clients quant à son utilisation des cookies, et ce, sur l’ensemble de ses boutiques en ligne de l’UE, du Royaume-Uni et de la Turquie. Elle précise que les clients ont la possibilité de mettre à jour leurs préférences en matière de cookies à tout moment en visitant la page dédiée.
Rappelons que la CNIL a publié le 1er octobre dernier ses lignes directrices modificatives, ainsi qu’une recommandation portant sur l’usage des cookies et autres traceurs. Ce guide réactualisé de la commission vient appuyer le principe du consentement explicite, rappelant que la simple poursuite de la navigation ne devait pas faire office de preuve. La CNIL précisait alors que seuls des cas très spécifiques pouvaient justifier de l’exemption du recueil de consentement, notamment l’authentification auprès d’un service ou le fait de garder en mémoire le contenu d’un panier sur un site marchand.
Source zdnet.fr
