Amazon s'est vu infliger une amende record de 746 millions d'euros par l’autorité luxembourgeoise de protection des données personnelles, pour une infraction au règlement général sur la protection des données (RGPD).
Cette décision remonte au 16 juillet, elle n'a été révélée que maintenant par Amazon, dans ses documents financiers publiés après l'annonce de ses résultats trimestriels (113 milliards de dollars de CA et 7,7 milliards de bénéfices). Le géant en profite pour contester fermement ce jugement et le montant de l'amende, en faisant observer qu'« il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers ».
Une réaction sans rapport toutefois avec la nature de la plainte qui a conduit à cette sanction pour laquelle Amazon entend faire appel. À l'origine c'est la Quadrature du Net qui a porté plainte contre le vendeur en mai 2018.
Pour l'association et 10 000 personnes qui se sont associées à son action, Amazon collecte des données personnelles sur ses clients — pour diffuser ensuite des publicités personnalisées sur son site ou ceux de partenaires — sans leur demander un consentement préalable.
Des informations comme l'historique des achats, les recherches effectuées, l'adresse IP, les mouvements de souris dans les pages et les interactions avec leur contenu, l'identité de la personne, etc. Une page propose une option pour refuser les publicités basées sur les centres d'intérêt mais l'option est décochée par défaut.
La Quadrature du Net a considéré dans sa plainte que ce traitement de données était effectué en dehors des clous du RGPD (son article 6 notamment), rien ne le justifie sans un consentement clair, nécessaire et informé de la part de l'utilisateur :
Les traitements d'analyse comportementale et de ciblage publicitaire mis en œuvre par Amazon sur ses services, tels que décrits ci-avant, ne peuvent pas se fonder sur la nécessité d’exécuter un contrat passé avec les utilisateurs.
Ils ne sauraient non plus se fonder sur un intérêt légitime, car leur objet est d'analyser le comportement et d'établir un profil des utilisateurs à des fins de ciblage publicitaire ce qui, pas plus que le ciblage au moyen de « cookies », ne saurait être autorisé sans consentement préalable de la personne concernée.
En conclusion de sa plainte, la Quadrature du Net avait demandé une interdiction de ces traitements doublée d'une amende administrative qui soit massive et « la plus élevée possible ». Message reçu.
Source : La Quadrature du Net
