Skip to main content

Cookies : sanction financière de 35 millions d’euros infligée à la société AMAZON EUROPE CORE

Le 7 décembre 2020, le comité restreint de la CNIL, chargé de prononcer des sanctions, a condamné la société AMAZON EUROPE CORE à une amende de 35 millions d’euros pour avoir placé des cookies publicitaires sur l’ordinateur des utilisateurs, à partir de la page amazon.fr, sans avoir obtenu leur consentement préalable et sans avoir fourni les informations adéquates.

Du 12 décembre 2019 au 19 mai 2020, la CNIL a mené plusieurs enquêtes, dont des enquêtes en ligne, concernant le site amazon.fr. Ces enquêtes ont permis de constater que lors de la visite d’un utilisateur sur le site, des cookies étaient automatiquement placés sur son ordinateur, sans qu’aucune action de sa part ne soit requise. Plusieurs de ces cookies ont été utilisés à des fins publicitaires.

Violations de la loi française sur la protection des données

Le comité restreint de la CNIL, chargé de prononcer les sanctions, a constaté deux infractions à l’article 82 de la loi française sur la protection des données :

Dépôt de cookies sans obtenir le consentement préalable de l’utilisateu

La commission restreinte a constaté que lorsqu’un utilisateur visite l’une des pages du site amazon.fr, un grand nombre de cookies utilisés à des fins publicitaires sont automatiquement placés sur son ordinateur, avant toute action requise de sa part. Cependant, le comité restreint a rappelé que ce type de cookies, qui ne sont pas indispensables au service, ne peut être placé qu’après que l’utilisateur ait exprimé son consentement. Il a considéré que le dépôt de cookies en même temps que l’arrivée sur le site est une pratique qui, par nature, est incompatible avec un consentement préalable.

Absence d’information des utilisateurs du site amazon.fr

En premier lieu, le comité restreint a constaté que, dans le cas d’un utilisateur visitant le site amazon.fr, l’information fournie n’était ni claire, ni complète.

Elle a considéré que la bannière d’information affichée par la société, qui était “En utilisant ce site web, vous acceptez notre utilisation de cookies permettant d’offrir et d’améliorer nos services. Lire la suite”, ne contenait qu’une information générale et approximative sur les finalités de tous les cookies placés. En particulier, elle considérait qu’en lisant la bannière, l’utilisateur ne pouvait pas comprendre que les cookies placés sur son ordinateur servaient principalement à afficher des publicités personnalisées. Elle a également noté que la bannière n’expliquait pas à l’utilisateur qu’il pouvait refuser ces cookies et comment le faire.

Ensuite, le comité restreint a constaté que le non-respect de son obligation par la société était encore plus évident dans le cas des utilisateurs qui visitaient le site amazon.fr après avoir cliqué sur une publicité publiée sur un autre site. Il a souligné que dans ce cas, les mêmes cookies étaient placés mais qu’aucune information n’était fournie aux utilisateurs à ce sujet.

Gestionnaire de consentement des cookies | Faites un essai gratuit de 2 semaines

Faites un essai gratuit de 2 semaines pour nos forfaits payants ou créez un compte gratuit…

Créer un compteVoir nos forfaits

La sanction imposée par le comité restreint

Le comité restreint a imposé une amende de 35 millions d’euros à la société AMAZON EUROPE CORE et a décidé de la rendre publique. Le montant de l’amende, et la décision de la rendre publique, sont justifiés par la gravité des manquements constatés.

Il a été tenu compte du fait que, jusqu’à la refonte du site amazon.fr en septembre 2020, la société plaçait des cookies sur les ordinateurs des utilisateurs résidant en France, sans leur fournir d’informations, conformément à l’article 82 de la loi. Elle a constaté que, quel que soit le chemin emprunté par les utilisateurs pour visiter le site, ceux-ci étaient soit insuffisamment informés, soit jamais informés du fait que des cookies étaient placés sur leur ordinateur. Dans le cas des utilisateurs visitant le site amazon.fr après avoir cliqué sur une publicité, le comité restreint a considéré que le dépôt instantané de cookies, ajouté à l’absence de toute information, violait les droits des internautes.

En outre, même si l’activité principale de la société est la vente de biens de consommation, les annonces personnalisées, rendues possibles par l’utilisation de cookies, permettent d’augmenter de manière significative la visibilité de ses produits sur d’autres sites web. Enfin, compte tenu de la place importante du site amazon.fr dans le commerce électronique, les millions de personnes vivant en France qui visitent quotidiennement le site sont soumises au dépôt de cookies sur leur ordinateur.

Le comité restreint a pris bonne note des récents développements intervenus sur le site amazon.fr et en particulier du fait qu’à présent, aucun cookie n’est placé avant le consentement de l’utilisateur. Toutefois, il a estimé que la nouvelle bannière d’information mise en place ne permet toujours pas aux utilisateurs vivant en France de comprendre que les cookies servent principalement à proposer des annonces personnalisées et qu’ils n’ont toujours pas été informés qu’ils pouvaient refuser ces cookies.

En conséquence, en plus de la sanction financière, le comité restreint a également ordonné à la société d’informer de manière adéquate les personnes, conformément à l’article 82 de la loi française sur la protection des données, dans les trois mois suivant la notification de la décision. Dans le cas contraire, la société doit payer une astreinte de 100 000 euros par jour de retard.

La compétence de la CNIL

Dans sa décision, le comité restreint a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies placés par la société sur les ordinateurs des utilisateurs résidant en France. Ainsi, il a souligné que le mécanisme de coopération prévu par la GDPR (mécanisme de “guichet unique”) n’avait pas vocation à s’appliquer dans cette procédure puisque les opérations liées à l’utilisation des cookies relèvent de la directive “vie privée et communications électroniques”, transposée à l’article 82 de la loi française sur la protection des données.

Le comité restreint a considéré qu’il est également territorialement compétent, en vertu de l’article 3 de la loi française sur la protection des données, car l’utilisation des cookies est effectuée dans le “cadre des activités” de la société AMAZON FRANCE, qui est “l’établissement” de la société AMAZON EUROPE CORE sur le territoire français et qui assure la promotion de ses produits et services.

Vous êtes une agence, un webdesigner ou tout autre revendeur ?

Gagnez 30% de commission, jetez un coup d’œil à notre modèle revendeur ou contactez-nous pour un nombre de clients supérieur à 500.

Calculez vos revenus

Le lien entre la sanction et les travaux de la CNIL sur les cookies

Dans le cadre de son plan d’action sur la publicité ciblée et afin de prendre en compte l’entrée en vigueur de la GDPR, la CNIL a publié le 1er octobre 2020 ses lignes directrices modificatives et une recommandation concernant l’utilisation des cookies et autres dispositifs de suivi. La CNIL a demandé aux acteurs de se conformer aux règles, ainsi clarifiées, considérant que la période d’adaptation ne devrait pas dépasser six mois.

A cette occasion, la CNIL a toutefois ajouté qu’elle continuera à contrôler pleinement le respect des autres obligations non modifiées et, le cas échéant, à adopter des mesures correctives pour protéger la vie privée des internautes.

La CNIL sanctionne aujourd’hui le manquement, par la société AMAZON EUROPE CORE, à des obligations qui existaient avant la GDPR et qui n’étaient donc pas concernées par les nouvelles orientations et la recommandation du 1er octobre 2020.

NB : La société Amazon Europe Core est une société de droit luxembourgeois, qui fait partie du groupe Amazon et est responsable des sites européens “Amazon”, dont le site Internet est Amzon.fr.

CookieFirst

Obtenir le consentement avant de charger des scripts de suivi tiers

CookieFirst a pour but de rendre la conformité aux normes ePrivacy et RGPD facile et rapide à mettre en œuvre. La plateforme CookieFirst couvre la gestion de scripts tiers, la gestion des consentements, les statistiques, les scans périodiques des cookies, la déclaration automatique des cookies, la personnalisation des bannières, le multilinguisme et bien plus encore. Évitez les amendes importantes et obtenez le consentement avant de charger des scripts de suivi tiers. Essayez CookieFirst et soyez conforme.