100 millions d'amendes pour Google, 35 pour Amazon : à la CNIL, des cookies pas donnés

par Cédric INGRAND
Publié le 11 décembre 2020 à 7h15
Le siège de la CNIL, à Paris
Le siège de la CNIL, à Paris - Source : STEPHANE DE SAKUTIN / AFP

RGPD - Pour avoir déposé des 'cookies' publicitaires sans le consentement de leurs utilisateurs, les deux géants viennent de recevoir un sérieux rappel à l'ordre, assorti d'amendes records, dont le montant pourrait d'ailleurs encore s'alourdir.

100 millions, le compte est rond. Deux fois le montant de l'amende déjà infligée par la CNIL à Google début 2019, cette fois pour une affaire concernant le système d'exploitation mobile Android. Mais surtout, un montant qui fait de la CNIL le plus père-fouettard des gendarmes européens qui veillent sur nos données personnelles. Dans le classement des plus lourdes amendes infligées dans l'UE, derrière les 50 et 100 millions infligés à Google en France, la troisième marche du podium est aujourd'hui allemande, pour une sanction infligée à H&M l'année dernière. Une amende de "seulement" une trentaine de millions d'euros. Petits joueurs.

Qu'a donc fait Google pour mériter une amende record ? Si l'on en croit la décision publiée par la CNIL, le géant aurait violé chez nous ce qui fait aujourd'hui la sainte Trinité qui protège l'usage fait de nos données : le consentement de l'utilisateur, son information sur l'usage fait de ses données, et sa capacité à revenir sur son consentement. Dans la pratique, Google aurait ainsi déposé certains cookies "poursuivant une finalité publicitaire" chez tout internaute visitant sa page Google.fr, ceci avant même de recueillir son consentement. Première violation. Surtout, si la page affichait un bandeau invitant à consulter les "règles de confidentialité de Google", il n'affichait pas d'informations sur l'existence des cookies déposés sur son ordinateur, ou sur l'usage qui en serait fait. Seconde violation. Enfin, s'il était possible à l'utilisateur de désactiver les cookies publicitaires, l'un d'entre eux restait stocké sur son ordinateur. Et de trois !

Edward Snowden sur la collecte de données internet : "On ne peut pas consentir à quelque chose que l'on ne comprend pas!"Source : Sujet TF1 Info

Détail d'importance : depuis mai 2018, tout citoyen de l'UE est protégé par le Règlement Général pour la Protection des Données (RGPD), qui inscrit ces principes dans le droit européen, décliné à terme dans la loi de chacun des 27 pays de l'Union. Or, ce n'est même pas sur ce moyen de droit que la CNIL sanctionne Google, mais pour avoir violé la loi Informatique et Liberté, votée il y a 42 ans, alors que les fondateurs de Google étaient encore sur les bancs de la maternelle. 

Pour des raisons similaires, Amazon écope d'une amende de 35 millions d'euros. Mais au fait, comment est donc calculé le montant de ces amendes ? "Ce n'est pas mathématique", explique à LCI maître Merav Griguer, avocate associée et spécialiste de la protection des données au cabinet Bird&Bird. "Les amendes sont calculées sur le bénéfice estimé que l'entreprise a pu retirer de ces violations, ce qui est difficile à définir", précise l'avocate, "et si les sanctions sont lourdes, elles portent aussi une approche pédagogique, elles disent à ces deux géants que c'est à eux de donner l'exemple."

De futures amendes pourraient se compter en milliards

En complément des amendes, la CNIL "a enjoint aux sociétés de modifier leur bandeau d'information, dans un délai de 3 mois", avec une astreinte de 100.000 euros par jour de retard après l'expiration de ce délai. La décision note qu'en septembre 2020, les deux entreprises ont cessé de déposer automatiquement les cookies chez les internautes.

Si les montants de ces amendes ne mettent pas en danger la santé économique des deux géants, on a ici clairement dépassé le stade du simple avertissement. De prochaines sanctions pourraient être bien plus mordantes, le RGPD prévoit ainsi des amendes atteignant jusqu'à 4% du chiffre d'affaires mondial de l'entreprise sanctionnée. On parlerait ici de milliards d'euros d'amendes. Surtout, la décision a aussi pour vertu de démontrer que le régulateur ne s'attaque pas qu'à des "petits". 

"Souvent, nos clients, que ce soient des startups ou des PME, nous disent 'Mais pourquoi on nous embête nous alors qu'on laisse les GAFAM tranquilles ?'", sourit maître Griguer, "au moins, cet argument-là, on l'entendra plus, on est bien désormais face à une règle juste, équitable, et qui s'applique à tous." 

Réagissant à la décision de la CNIL, Google dit regretter que la CNIL n'ait pas "pris en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution". De son côté, Amazon a exprimé son "désaccord" avec la sanction qui lui est infligée. "Les cookies aident les clients à profiter des fonctionnalités essentielles à l'expérience d'achat sur Amazon" et une page est disponible pour les paramétrer, plaide l'entreprise.

La nouvelle législation oblige les sites internet à afficher, en face du bouton "tout accepter", un bouton "tout refuser" ou une solution équivalente. La CNIL commencera à sanctionner les entreprises qui ne satisfont pas aux nouvelles règles à partir du 1er avril 2021.


Cédric INGRAND

Tout
TF1 Info