La Commission nationale pour la protection des données personnelles prononce une amende record d’un montant de 746 millions d’euros à l’encontre de Amazon Europe
Une amende record
La Commission nationale pour la protection des données personnelles du Luxembourg (ci-après la « CNPD ») a prononcé une amende record d’un montant de 746 millions d’euros à l’encontre du géant du web Amazon Europe Core Sarl (ci-après « Amazon ») pour manquements au Règlement général sur la protection des données personnelles.
Cette amende fait suite à une plainte déposée par la Quadrature du Net, une association française de défense des droits et libertés sur Internet.
Une plainte à l’origine de l’amende
Cette plainte collective a été déposée par la Quadrature du Net au nom et pour le compte de 10 065 personnes (réclamation contre Amazon Europe du 28 mai 2018 publiée sur le site de la Quadrature du Net).
Outre cette plainte contre Amazon, l’association a également déposé en mai 2018 quatre autres plaintes à l’encontre d’Apple, Google, Facebook et Microsoft.
L’autorité de contrôle chef de file
L’amende a été prononcée par la CNPD, l’autorité de contrôle luxembourgeoise, alors même que la plainte déposée à ce sujet a initialement été déposée auprès de la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») par une association française.
En effet, la CNPD est considérée, en l’espèce, comme l’autorité chef de file, au regard de l’article 56 du RGPD
L’autorité de contrôle chef de file est l’autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant concernant les traitements transfrontaliers, c’est-à-dire un traitement qui a eu sur le territoire de l’Union européenne par des responsables du traitement (ou sous-traitants) établi au sein de l’Union Européenne.
En l’espèce, Amazon ayant son siège social au Luxembourg, la plainte a été transmise à la CNPD.
Ainsi, dans cette procédure, la CNPD est l’autorité de contrôle chef de file.
La décision
La décision de la CNPD n’a pas été publiée, ainsi les manquements exacts reprochés à la société Amazon ne sont pour le moment pas connus.
Toutefois, l’association la Quadrature du Net reprochait dans sa plainte le système de ciblage publicitaire imposé par Amazon qui serait réalisé sans obtenir le consentement de la personne concernée.
De plus, la CNPD a indiqué qu’elle n’était pas en mesure de commenter la décision, au nom du secret professionnel, mais il a été confirmé que la décision a été rendue le 16 juillet 2021.
L’annonce publique de cette amende fait suite à la publication d’un document boursier par la société Amazon le vendredi 30 juillet 2021.
Amazon estime que la décision du CNPD n’est pas fondée et a indiqué qu’elle entendait faire appel de cette décision.
Amazon déjà condamnée par la Cnil
En 2020, la Cnil avait déjà condamné la société Amazon Europe pour non-respect de la législation sur les cookies. La Cnil était matériellement et territorialement compétente pour contrôler et sanctionner la société Amazon Europe puisque :
- les cookies étaient déposés « sur les ordinateurs des utilisateurs résidant en France » ;
- le recours à des cookies est effectué dans le « cadre des activités » de la société AMAZON France » qui est un établissement français de la société Amazon Europe (communiqué de la Cnil du 10 décembre 2020).
En plus de cette amende d’un montant de 35 millions d’euros, la Cnil avait également enjoint la société « dans un délai de trois mois, d’informer les personnes concernées au préalable et de manière claire et complète » sur les finalités de cookies déposés et sur les moyens dont disposent les personnes concernées pour refuser le dépôt des cookies non essentiel.
En avril 2021, la Cnil a adressé une demande de complément d’informations à la société Amazon. En mai 2021, Amazon a adressé à la Cnil des éléments en vue de justifier de sa mise en conformité.
La communication de ces éléments a conduit à la clôture de la procédure le 8 juillet 2021, la société Amazon ayant « satisfait à l’injonction dans le délai imparti. »
Dans sa délibération SAN-2021-009 du 8 juillet 2021, la formation restreinte de la Cnil indique que 3 mois après le prononcé de la sanction), la société Amazon Europe « a adressé à la CNIL un courrier par lequel elle présentait les changements qu’elle avait déployés sur le site web Amazon.fr ».
Dans un communiqué en date du 21 juillet 2021, la Cnil a indiqué clôturer la procédure puisque la société Amazon s’est mise en conformité sur ce point.
Cette nouvelle sanction, d’un montant record, montre que la société Amazon doit encore se mettre en conformité sur un certain nombre de points.