100 millions d'amendes pour Google, 35 pour Amazon : à la CNIL, des cookies pas donnés

Le siège de la CNIL, à Paris

RGPD - Pour avoir déposé des 'cookies' publicitaires sans le consentement de leurs utilisateurs, les deux géants viennent de recevoir un sérieux rappel à l'ordre, assorti d'amendes records, dont le montant pourrait d'ailleurs encore s'alourdir.

100 millions, le compte est rond. Deux fois le montant de l'amende déjà infligée par la CNIL à Google début 2019, cette fois pour une affaire concernant le système d'exploitation mobile Android. Mais surtout, un montant qui fait de la CNIL le plus père-fouettard des gendarmes européens qui veillent sur nos données personnelles. Dans le classement des plus lourdes amendes infligées dans l'UE, derrière les 50 et 100 millions infligés à Google en France, la troisième marche du podium est aujourd'hui allemande, pour une sanction infligée à H&M l'année dernière. Une amende de "seulement" une trentaine de millions d'euros. Petits joueurs.

Toute l'info sur

Le RGPD, le plan de l’Europe pour protéger vos données personnelles

Qu'a donc fait Google pour mériter une amende record ? Si l'on en croit la décision publiée par la CNIL, le géant aurait violé chez nous ce qui fait aujourd'hui la sainte Trinité qui protège l'usage fait de nos données : le consentement de l'utilisateur, son information sur l'usage fait de ses données, et sa capacité à revenir sur son consentement. Dans la pratique, Google aurait ainsi déposé certains cookies "poursuivant une finalité publicitaire" chez tout internaute visitant sa page Google.fr, ceci avant même de recueillir son consentement. Première violation. Surtout, si la page affichait un bandeau invitant à consulter les "règles de confidentialité de Google", il n'affichait pas d'informations sur l'existence des cookies déposés sur son ordinateur, ou sur l'usage qui en serait fait. Seconde violation. Enfin, s'il était possible à l'utilisateur de désactiver les cookies publicitaires, l'un d'entre eux restait stocké sur son ordinateur. Et de trois !

En vidéo

Edward Snowden sur la collecte de données internet : "On ne peut pas consentir à quelque chose que l'on ne comprend pas!"

Détail d'importance : depuis mai 2018, tout citoyen de l'UE est protégé par le Règlement Général pour la Protection des Données (RGPD), qui inscrit ces principes dans le droit européen, décliné à terme dans la loi de chacun des 27 pays de l'Union. Or, ce n'est même pas sur ce moyen de droit que la CNIL sanctionne Google, mais pour avoir violé la loi Informatique et Liberté, votée il y a 42 ans, alors que les fondateurs de Google étaient encore sur les bancs de la maternelle. 

Pour des raisons similaires, Amazon écope d'une amende de 35 millions d'euros. Mais au fait, comment est donc calculé le montant de ces amendes ? "Ce n'est pas mathématique", explique à LCI maître Merav Griguer, avocate associée et spécialiste de la protection des données au cabinet Bird&Bird. "Les amendes sont calculées sur le bénéfice estimé que l'entreprise a pu retirer de ces violations, ce qui est difficile à définir", précise l'avocate, "et si les sanctions sont lourdes, elles portent aussi une approche pédagogique, elles disent à ces deux géants que c'est à eux de donner l'exemple."

De futures amendes pourraient se compter en milliards

En complément des amendes, la CNIL "a enjoint aux sociétés de modifier leur bandeau d'information, dans un délai de 3 mois", avec une astreinte de 100.000 euros par jour de retard après l'expiration de ce délai. La décision note qu'en septembre 2020, les deux entreprises ont cessé de déposer automatiquement les cookies chez les internautes.

Si les montants de ces amendes ne mettent pas en danger la santé économique des deux géants, on a ici clairement dépassé le stade du simple avertissement. De prochaines sanctions pourraient être bien plus mordantes, le RGPD prévoit ainsi des amendes atteignant jusqu'à 4% du chiffre d'affaires mondial de l'entreprise sanctionnée. On parlerait ici de milliards d'euros d'amendes. Surtout, la décision a aussi pour vertu de démontrer que le régulateur ne s'attaque pas qu'à des "petits". 

"Souvent, nos clients, que ce soient des startups ou des PME, nous disent 'Mais pourquoi on nous embête nous alors qu'on laisse les GAFAM tranquilles ?'", sourit maître Griguer, "au moins, cet argument-là, on l'entendra plus, on est bien désormais face à une règle juste, équitable, et qui s'applique à tous." 

Lire aussi

Réagissant à la décision de la CNIL, Google dit regretter que la CNIL n'ait pas "pris en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution". De son côté, Amazon a exprimé son "désaccord" avec la sanction qui lui est infligée. "Les cookies aident les clients à profiter des fonctionnalités essentielles à l'expérience d'achat sur Amazon" et une page est disponible pour les paramétrer, plaide l'entreprise.

La nouvelle législation oblige les sites internet à afficher, en face du bouton "tout accepter", un bouton "tout refuser" ou une solution équivalente. La CNIL commencera à sanctionner les entreprises qui ne satisfont pas aux nouvelles règles à partir du 1er avril 2021.

Sur le même sujet

Les articles les plus lus

EN DIRECT - Covid-19 : près de 25.000 hospitalisations, 196 décès en 24 heures

Départ de Donald Trump : nos images de la Maison-Blanche désertée

Dérogations au couvre-feu national : qui est autorisé à circuler après 18h ?

EN DIRECT - "Muslim Ban", accord de Paris, plan pour l'économie : Biden prépare des premiers jours explosifs

Neige-verglas : plus que 16 départements en vigilance orange

Lire et commenter