La décision prononcée par la Commission nationale de l’information et des libertés (CNIL) d'infliger une amende de 35 millions d'euros à Amazon pour non-respect de la législation sur les cookies a été validée par le Conseil d'Etat le 27 juin 2022. L'institution a jugé que le montant de l’amende n’était pas disproportionné.
Géant ou pas, Amazon a été débouté par le Conseil d’État. « La société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la Cnil qu'elle attaque », conclut le juge administratif dans sa décision, que l'AFP a pu consulter.
Bref rappel des faits. En décembre 2020, la Cnil condamnait le géant du e-commerce Amazon à une amende de 35 millions d’euros pour non-respect de la législation sur les cookies. Il était reproché à l’entreprise d’avoir intégré des cookies publicitaires dans les ordinateurs des utilisateurs de sa plateforme de e-commerce sans qu’il soit possible de les refuser.
« La CNIL a considéré que la société n’avait pas respecté l’obligation de recueillir le consentement des internautes avant le dépôt des cookies (…) Ensuite, la CNIL a estimé que le bandeau qui s’affichait sur le site « Amazon.fr » ne permettait pas aux utilisateurs résidant en France d’être préalablement et clairement renseignés sur le dépôt de cookies, en particulier sur les objectifs de ces cookies et les moyens pour les refuser. », relève la commission. Ce qui constitue des violations de l’article 82 de la loi la loi Informatique et Libertés.
La Cnil, compétente en la matière
Avant Amazon, ce sont Facebook et Google qui ont été sanctionnées pour non-respect de ces règles. Tous deux ont écopé respectivement de 150 millions d’euros et de 60 millions d’euros d’amende.
Autant de sanctions qui confirment « la compétence de la CNIL à prendre des sanctions sur les cookies en dehors du mécanisme de guichet unique prévu par le RGPD. » En effet, Google et Amazon estimaient que l’affaire aurait dû être jugée par le guichet unique européen. Un mécanisme qui vise à harmoniser au niveau communautaire les décisions des autorités de protection des données concernant les traitements transfrontaliers.
La CNIL de conclure que la décision du Conseil d’État confirme qu’elle est « compétente pour sanctionner les manquements à l’article 82 de la loi Informatique et Libertés, même dans le cas où le responsable de traitement n’est pas en établi en France, mais qu’il dispose sur le territoire français d’un établissement impliqué dans les activités liées au traitement effectué ».