La CNIL vient de sanctionner Google et Amazon pour avoir enfreint la législation française sur les cookies. Le premier écope d'une amende de 100 millions d'euros et le second de 35 millions d'euros, un record.
À la suite de contrôles effectués cette année, l'autorité administrative a relevé deux violations identiques sur google.fr et amazon.fr (sur des obligations qui existaient avant le RGPD). D'une part, les deux sites déposaient des cookies (« un grand nombre » dans le cas d'Amazon) à vocation publicitaire sans avoir recueilli le consentement de l'utilisateur au préalable. Les deux entreprises ont cessé cette pratique en septembre.
D'autre part, les informations fournies aux internautes sur la gestion des cookies étaient insuffisantes. « À la lecture [du] bandeau [d'Amazon], l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées », indique la CNIL. C'était encore pire chez Google, où le bandeau ne fournissait aucune information relative aux cookies pourtant déjà déposés sur l'ordinateur.
Les deux entreprises ont depuis revu leurs bandeaux d'information, mais l'autorité estime que les nouveaux sont encore incomplets. Google et Amazon ont à présent trois mois pour se mettre en conformité, sans quoi ils s'exposent à une astreinte de 100 000 € par jour de retard.
Une infraction supplémentaire a été commise par Google : le mécanisme d'opposition ne fonctionnait pas totalement. D'après l'essai de la CNIL, lorsqu’un utilisateur désactivait la personnalisation des publicités en utilisant l'option disponible à partir du bouton « Consulter maintenant », un des cookies publicitaires restait stocké sur son ordinateur et continuait de lire des informations à destination du serveur auquel il est rattaché. Le régulateur ne fait pas état de changement en la matière depuis son enquête.
Google et Amazon n'ont pour l'heure pas réagi à la sanction.
Mise à jour à 17 h 45 : Google nous a transmis cette réaction :
Les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles. La décision rendue par la CNIL en matière de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services.
