Cookies : sanction de 60 millions d’euros pour Google LLC, 40 millions contre Google Ireland Limited et 35 millions d’euros à l’encontre d’Amazon Europe Corp !
Le 7 décembre 2020, la CNIL a sanctionné les sociétés Google LLC et Google Ireland Limited d’un montant total de 100 millions d’euros d’amende, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante. L’affaire remonte au 16 mars 2020, quand la CNIL a effectué un contrôle en ligne sur le site web google.fr qui a permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivant un objectif publicitaire. La formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé trois violations à l’article 82 de la loi Informatique et Libertés :
– un dépôt de cookies sans recueil préalable du consentement de l’utilisateur;
– ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service;
– un défaut d’information des utilisateurs du moteur de recherche google.fr. Lorsqu’un utilisateur se rendait sur la page google.fr, un bandeau d’information s’affichait en pied de page, portant la mention suivante « Rappel concernant les règles de confidentialité de Google » en face de laquelle figuraient deux boutons intitulés « Me le rappeler plus tard » et « Consulter maintenant ». Ce bandeau ne fournissait à l’utilisateur aucune information relative aux cookies qui avaient pourtant déjà été déposés sur son ordinateur, dès son arrivée sur le site. Cette information ne lui était pas non plus fournie lorsqu’il cliquait sur le bouton « Consulter maintenant ».
La formation restreinte a ainsi sanctionné la société Google LLC d’une amende de 60 millions d’euros et la société Google Ireland Limited d’une amende de 40 millions d’euros, rendues publiques. Dès lors, en complément des amendes administratives, la formation restreinte a également adopté une injonction sous astreinte afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront au paiement d’une astreinte de 100 000 euros par jour de retard.
• À noter que la société Google LLC, établie en Californie, développe le moteur de recherche Google Search. La société Google Ireland Limited, dont le siège est en Irlande, se présente comme le siège européen du groupe Google. La société Google France est l’établissement en France de la société Google LLC.
Et 35 millions d’euros à l’encontre d’Amazon Europe Core
Le 7 décembre 2020 également, la formation restreinte de la CNIL a sanctionné la société Amazon Europe Core d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante. C’est entre le 12 décembre 2019 et le 19 mai 2020 que la CNIL a effectué plusieurs contrôles, notamment en ligne, concernant le site web amazon.fr. Ces vérifications ont permis de constater que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient automatiquement déposés sur son ordinateur, sans action de sa part. Plusieurs de ces cookies poursuivaient un objectif publicitaire. Là aussi, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé deux violations à l’article 82 de la loi Informatique et Libertés :
– un dépôt de cookies sans recueillir le consentement de l’utilisateur;
– un défaut d’information des utilisateurs du site amazon.fr.
En conséquence de quoi, la formation restreinte condamne la société Amazon Europe Core à une amende de 35 millions d’euros, rendue publique. Le montant retenu, ainsi que la publicité de l’amende, se justifient par la gravité des manquements constatés. Et ici aussi, en complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société procède à une information des personnes conforme à l’article 82 de la loi Informatique et Libertés dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 100 000 euros par jour de retard. Dans sa délibération, la formation restreinte a rappelé que la CNIL est matériellement compétente pour contrôler et sanctionner les cookies déposés par les sociétés sur les ordinateurs des utilisateurs résidant en France. Elle a souligné ainsi que le mécanisme de coopération prévu par le RGPD (mécanisme de “guichet unique”) n’avait pas vocation à s’appliquer dans cette procédure étant donné que les opérations liées à l’utilisation des cookies relèvent de la directive “ePrivacy”, transposée à l’article 82 de la loi Informatique et Libertés.
À noter que la société Amazon Europe Core est une société de droit luxembourgeois faisant partie du groupe Amazon et qui est responsable des sites web européens “Amazon”, dont le site amazon.fr.
– Source : CNIL.
