Français régulateurs amende Google et Amazon sur les politiques de cookies

Google et Amazon ont été condamnés à une amende totale de 135 millions d’euros (121 millions de livres sterling) par la CNIL, le chien de garde de la protection des données Français, pour leur utilisation de cookies publicitaires et leur placement automatique de cookies sur les appareils des visiteurs de ces sites.

Les deux enquêtes distinctes menées en un peu moins d’un an ont révélé que les deux sociétés enfreignent l’article 82 de la Loi Français protection des données.

Dans le cas de Google, l’organisation a été jugée avoir placé des cookies publicitaires sur les appareils des visiteurs à Google.fr sans d’abord établir son consentement à le faire; d’avoir omis de fournir des informations adéquates sur le placement de ces cookies ou leur but; et de ne pas avoir correctement mis en œuvre le mécanisme d’opposition dans certaines circonstances. Son amende s’élèvera à 100 millions d’euros, répartis entre Google LLC (60 millions d’euros) et Google Ireland Ltd (40 millions d’euros).

Amazon a été trouvé en violation pour défaut d’établir le consentement et l’omission de fournir des informations adéquates aux visiteurs Amazon.fr. Son amende s’élèvera à 35 M€.

Dans chaque cas, le chien de garde a noté les développements ultérieurs réalisés par Google et Amazon. Toutefois, dans les deux cas, elle a déclaré qu’elle estimait que les nouvelles bannières d’information mises en place par chaque organisation ne permettaient toujours pas aux utilisateurs situés en France de bien comprendre les fins d’utilisation des cookies publicitaires, ou qu’ils étaient bien dans leur droit de les refuser.

À la lumière de cela, Google et Amazon ont également été condamnés à prendre des mesures pour mieux informer leurs utilisateurs en vertu de leurs obligations au titre de l’article 82 dans les trois prochains mois, sous peine d’amendes supplémentaires de 100 000 euros par jour.

Le jugement contre Google et celui contre Amazon peuvent être lus intégralment, en anglais, sur le site de la CNIL.

Commentant la décision, un porte-parole de Google a déclaré: « Les gens qui utilisent Google s’attendent à ce que nous respections leur vie privée, qu’ils aient un compte Google ou non. Nous tenons à notre dossier de fournir des informations initiales et des contrôles clairs, une gouvernance interne solide des données, une infrastructure sécurisée et, surtout, des produits utiles.

« La décision prise aujourd’hui en vertu des lois Français sur les urgences ne tient pas compte de ces efforts et ne tient pas compte du fait que les règles de Français et les orientations réglementaires sont incertaines et en constante évolution. Nous continuerons à collaborer avec la CNIL alors que nous apporterons des améliorations continues pour mieux comprendre ses préoccupations.

Amazon n’avait pas répondu à une demande de commentaire au moment d’écrire ces lignes. Toutefois, dans des commentaires partagés ailleurs, l’entreprise a déclaré qu’elle n’était pas d’accord avec la décision de la CNIL et a affirmé que la protection de la vie privée de ses clients était une priorité absolue. Amazon a déclaré qu’il est constamment mise à jour de ses pratiques de confidentialité pour répondre aux besoins changeants et les attentes des clients et des régulateurs, et est à la peine de se conformer pleinement aux lois sur la protection des données dans tous les marchés où il opère.

L’utilisation de cookies à des fins publicitaires et marketing est, bien sûr, très répandue, mais compte tenu de l’avènement de nouvelles lois et réglementations sur la protection des données – y compris, sans s’y limiter, au Règlement général européen sur la protection des données (GDPR) – un projecteur est braqué sur la pratique consistant à suivre les mouvements et les intérêts des utilisateurs sur Internet.

Au Royaume-Uni, les politiques et pratiques de traitement des données d’Oracle et salesforce seront sondées l’année prochaine dans le cadre d’un procès devant la Haute Cour qui, en cas de succès, pourrait entraîner des dommages et intérêts jusqu’à 10 milliards de livres sterling.

Les deux entreprises sont accusées de ne pas avoir établi de consentement clair à la collecte de données vendues aux annonceurs pour cibler les annonces en ligne. Ces données peuvent comprendre des renseignements sur les intérêts personnels, l’emplacement, le revenu, l’état de la relation, le sexe, l’orientation sexuelle, l’état de santé, l’âge, l’éducation et les affiliations politiques ou religieuses. Oracle et Salesforce contestent les affirmations.