Les sites français des deux géants déposaient des cookies sur les ordinateurs de leurs visiteurs avant d’obtenir leur consentement, et échouaient à les informer correctement des finalités de ces trackers. La Cnil a condamné Google et Amazon à respectivement 100 millions et 35 millions d’euros d’amende. 

Les nouvelles règles relatives aux cookies ont été publiées le 20 octobre et la Cnil a laissé six mois aux éditeurs pour se mettre en conformité. Néanmoins le régulateur avait insisté sur la poursuite de ses contrôles quant aux autres obligations relatives aux traceurs publicitaires. Dont acte : Google et Amazon ont reçu la visite du gendarme des données personnelles, qui les épinglent au passage. 

En effet, la Cnil a constaté suite à des contrôles que les sites google.fr et amazon.fr déposaient sur les ordinateurs de leurs visiteurs des cookies sans que ceux-ci aient au préalable donné leur consentement. Le régulateur considère que le dépôt de cookies, avant toute action de l’internaute autre qu’arriver sur le site, est “incompatible avec un consentement préalable”. 

Non-respect des règles

En outre, ni Amazon ni Google n’informaient correctement le visiteur dans leurs bandeaux, que ce soit sur la finalité des cookies ou sur les méthodes pour s’opposer à leur dépôt. Dans le cas d’amazon.fr, jusqu’à la refonte du site en septembre, le géant déposait des cookies “quel que soit le chemin emprunté par l’internaute se rendant sur le site” sans que celui-ci soit clairement informé, voire informé. Ce qui contrevient au nouvel article 82 de la loi Informatique et Libertés, et aux lignes directrices de la Cnil quant à l’utilisation de cookies. 

En ce qui concerne Google, la Cnil ajoute une infraction supplémentaire, à savoir la défaillance du mécanisme d’opposition de l’internaute au dépôt de cookies, puisque quand bien même l’utilisateur désactivait la personnalisation des annonces “en recourant au mécanisme mis à sa disposition à partir du bouton « Consulter maintenant »”, un des traceurs restait stocké sur son ordinateur et continuait d’envoyer des informations au serveur. 

En conséquence de quoi la Cnil a condamné Google à 100 millions d’euros d’amende, répartis entre Google LLC et Google Ireland Ltd à 60 et 40 millions d’euros. Amazon écope pour sa part d’une sanction de 35 millions d’euros. 

MàJ 11/12 : Google a réagi à cette sanction. Selon un porte-parole : “les utilisateurs de Google s'attendent à ce que nous respections leur vie privée, qu'ils aient ou non un compte Google. Nous défendons notre bilan en matière de transparence et de protection de nos utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée, et, surtout, des services utiles. La décision rendue par la CNIL en matière de “ePrivacy” fait l'impasse sur ces efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. Nous poursuivrons nos échanges avec la CNIL pour mieux comprendre ses préoccupations à mesure que nous continuons d'apporter des améliorations sur nos produits et services.”