Source : Lemonde.fr (10 décembre2020 )
Le « gendarme » de la vie privée reproche aux entreprises d’avoir pisté leurs utilisateurs pour des fins publicitaires sans leur consentement.
La Commission nationale de l’informatique et des libertés (CNIL), la gardienne de la vie privée numérique des Français, a infligé des amendes de respectivement 100 millions et 35 millions d’euros d’amende à Google et Amazon pour non-respect de la législation sur les cookies (traceurs publicitaires), a-t-elle annoncé jeudi 10 décembre. Ces deux sanctions sont d’une ampleur quasiment inédite en Europe : l’amende contre Google est la plus importante jamais infligée, et celle visant Amazon n’est dépassée que par une autre amende contre Google, prononcée par la CNIL en 2019, de 50 millions d’euros.
La CNIL reproche notamment à Google.fr et Amazon.fr la pratique consistant à déposer des cookies sur l’ordinateur de l’internaute « sans qu’il ait préalablement donné son accord ».
Efforts de septembre insuffisants
Par ailleurs, les bandeaux d’information affichés lors de la consultation de ces sites ne contenaient pas, au moment des contrôles de la CNIL, d’ « informations suffisamment claires pour que l’internaute sache ce à quoi servent ces cookies et la façon dont il peut les refuser », selon la commission.
Les importants montants réclamés par la CNIL s’expliquent par l’importance des infractions constatées par l’autorité, qui, dit-elle, « portent atteinte à la vie privée des internautes dans leur quotidien numérique », puisqu’ils « permettent de collecter de nombreuses informations sur les personnes, sans leur consentement, afin de pouvoir par la suite leur proposer des publicités » ciblées. Le poids des amendes est aussi justifié par la taille de ces entreprises, qui manipulent les données personnelles de dizaines de millions de Français. Le moteur de recherche de Google détient une part de marché supérieure à 90 % en France, alors qu’Amazon détient plus de 20 % du marché français du commerce en ligne.
La CNIL note par ailleurs qu’en septembre 2020, les deux entreprises ont fait des progrès en cessant de déposer automatiquement les cookies chez les internautes. Insuffisant, selon le « gendarme » des données personnelles : dans les deux cas, le bandeau d’information ne permet toujours pas d’informer les internautes avec suffisamment de clarté sur le but poursuivi par ces cookies, et sur la possibilité qu’ils ont de les refuser, estime-t-elle.
La CNIL exige d’ailleurs des entreprises qu’elles modifient sous trois mois le message qu’elles présentent à leurs utilisateurs pour mieux les informer de leur politique en matière de cookies. Ces trois mois passés, les deux sociétés risquent 100 000 euros d’astreinte par jour de retard.
Les deux entreprises protestent
Les deux entreprises ont vivement contesté la décision de la CNIL. « Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles », s’est défendu Google dans un communiqué. « La décision rendue par la CNIL (…) fait l’impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d’apporter des améliorations sur nos produits et services », poursuit l’entreprise.
Amazon s’est, elle, dit « en désaccord avec la décision de la CNIL ». « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondons aux besoins et aux attentes en constante évolution des clients et des autorités de régulation, et que nous nous conformons pleinement à toutes les lois applicables dans chacun des pays où nous opérons », a insisté l’entreprise dans un communiqué.
Législation datant d’avant le RGPD
Les sanctions de la CNIL ont été prononcées sur la base de la législation antérieure au règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018. Celui-ci a durci encore le régime du consentement pour les traceurs publicitaires.
La nouvelle législation oblige les sites Internet à afficher, en face du bouton « tout accepter », un bouton « tout refuser » ou une solution équivalente. La CNIL commencera à sanctionner les entreprises qui ne satisferont pas aux nouvelles règles à partir du 1er avril 2021. Malgré ce délai, notamment dû aux concertations avec le secteur de la publicité et à la crise sanitaire liée au Covid-19, « nous sommes parmi les premiers en Europe à fixer un cadre très clair », s’était félicitée en octobre la présidente de la CNIL, Marie-Laure Denis.
