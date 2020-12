La CNIL a infligé une amende record à Google et Amazon ce jeudi (100 et 35 millions d'euros) pour non respect des règles sur le ciblage publicitaire des internautes. Une sanction contre deux géants qui sonne comme un avertissement à tous les sites pas encore en règle sur la protection des données.

L'autorité française de protection des données a frappé fort le 10 décembre en imposant des amendes d'un montant inédit contre Google et Amazon, respectivement 100 et 35 millions d'euros. La Commission nationale de l'informatique et des libertés (CNIIL) leur reproche d'avoir déposé des traceurs publicitaires sur les ordinateurs des internautes sans qu'ils aient préalablement donné leur accord. La CNIL estime aussi que ces plateformes n'ont pas suffisamment informé leurs usagers sur les finalités de ces traceurs - qu'on appelle plus communément des "cookies" - et a "enjoint aux sociétés de modifier leur bandeau d'information dans un délai de 3 mois", avec une astreinte de 100 000 euros par jour de retard après l'expiration de ce délai.

Non respect des règles et défaut d'information des internautes

"Jusqu'en septembre dernier, lorsque vous alliez sur google.fr et amazon.fr, des cookies étaient déposés sur votre ordinateur ou votre smartphone sans vous demander votre consentement préalable et sans que l'information délivrée sur ce sujet soit satisfaisante", explique Mathias Moulin, directeur en charge des contrôles et des sanctions à la CNIL. Or, ces cookies (qui sont des petits fichiers contenant des programmes informatiques) sont conçus pour enregistrer nos activités et nos habitudes dès que nous naviguons sur internet ou que nous utilisons un moteur de recherche :

Les cookies renvoient des informations sur l'historique de navigation, sur le contenu d'un panier d'achat même si on ne va pas au bout d'une commande, sur les annonces que l'on consulte... Et ces cookies étaient déposés dès que vous arriviez sur la page de ces deux sites, sans que vous le sachiez, alors qu'on aurait dû vous demander votre consentement préalable, - Mathias Moulin, directeur en charge des contrôles et des sanctions à la CNIL

La Commission indique que ses contrôles ont eu lieu entre 2019 et 2020 et que Google et Amazon ont cessé de déposer automatiquement des cookies depuis septembre dernier. Pour autant, les deux plateformes n'ont pas suffisamment informé leurs usagers sur la finalité de ces traceurs et sur la possibilité que les internautes avaient de les refuser, estime-t-elle. Ces deux points constituent des manquements à l'article 20 de la loi Informatique et Libertés et ont justifié le recours à une amende, dont le montant est lié "à la gravité des [faits]" constatés, explique la CNIL, qui affirme appliquer des sanctions "dissuasives et proportionnées".

Des amendes de plus en plus élevées

Plusieurs critères sont pris en compte. Le chiffre d'affaires des organismes visés, tout d'abord : dans le cas d'Alphabet, maison-mère de Google, il s'élève à 166 milliards de dollars sur les douze derniers mois et pour Amazon, à 321 milliards de dollars sur la même période. Le nombre de personnes concernées par le manquement est aussi pris en compte : or, le moteur de recherche de Google détient une part de marché supérieure à 90% en France et Amazon détient plus de 20% du marché français du commerce en ligne.

Ce sont des manquements qui peuvent conduire à des atteintes à la vie privée des gens, puisque cela permet de cibler des traces de leurs habitudes de navigation sans leur accord.

- Mathias Moulin, directeur en charge des contrôles et des sanctions à la CNIL

L'addition est donc salée et pour Google, elle s'ajoute à une précédente déjà infligée par la CNIL en 2019 : 50 millions d'euros concernant le traitement des données personnelles des utilisateurs du système d'exploitation mobile Android. Cependant, la CNIL pourra avoir la main bien plus lourde à l'avenir ! Depuis 2018 et l'entrée en vigueur du RGPD (le Règlement général sur la protection des données voté par le Parlement européen), les régulateurs européens peuvent infliger des sanctions s'élevant à 4% du chiffre d'affaires mondial des entreprises visées : soit environ 12 milliards d'euros pour Amazon et 6 milliards pour Google...

Un signal lancé à toutes les entreprises : "Respecter les internautes et leurs données"

Les deux entreprises visées ont réagi à cette annonce. Google défendant son bilan "en matière de transparence et de protection de [ses] utilisateurs, grâce à des informations et des paramètres de confidentialité clairs, une solide gouvernance interne des données, une infrastructure sécurisée et, surtout, des services utiles". Le géant a également regretté que la CNIL n'ait pas pris "en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution".

Dans une déclaration transmise à l'AFP, Amazon a aussi exprimé son "désaccord" avec la décision du régulateur : "Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulations (...). Les cookies aident les clients à profiter des fonctionnalités essentielles à l'expérience d'achat sur Amazon", et une page est disponible pour les paramétrer, a fait valoir la firme de Jeff Bezos. Les deux entreprises peuvent déposer un recours auprès du Conseil d'État mais l'an dernier, l'appel de Google avait été rejeté et la société avait dû s'acquitter de l'amende de 50 millions d'euros prononcée par la CNIL.

Pour autant, ces amendes pèsent peu à l'échelle du chiffre d'affaires mondial de ces géants, estime Grégoire Hanquier, directeur juridique et des affaires publiques de Data Legal Drive, qui aide les entreprises à se conformer au RGPD. Ce dernier y voit un geste symbolique :

Quoi de mieux pour la CNIL que de sanctionner un GAFAM pour mettre un coup de pression à toutes les entreprises françaises sur la question de la gestion des cookies. Cette décision s'inscrit sans doute aussi dans la tendance actuelle qui 'invite' les GAFAM à respecter le droit européen et le droit français. Mais le message s'adresse aussi aux entreprises françaises ! La CNIL montre qu'elle est capable de taper fort, qu'elle peut sanctionner toutes les entreprises, y compris les plus grosses. Donc elle dit : 'mettez vous en conformité désormais'.

- Grégoire Hanquier, directeur juridique et affaires publiques chez Data Legal Drive

Une sanction pédagogique ?

"Il s'agit d'un coup de semonce pédagogique", poursuit Grégoire Hanquier, "c'est le moment de dire qu'il faut respecter les internautes, de s'inscrire clairement dans le RGPD, qui inspire de plus en plus le monde en dehors de l'UE. Pour autant, le passage au RGPD demande du temps et beaucoup d'engagement de la part des entreprises pour respecter ce qu'on leur demande". Les sanctions ont été prononcées sur la base de la législation datant d'avant le Règlement général européen sur la protection des données (RGPD), entré en vigueur en 2018. La nouvelle législation oblige les sites internet à afficher, en face du bouton "tout accepter", un bouton "tout refuser" ou une solution équivalente. La CNIL commencera à sanctionner les entreprises qui ne satisfont pas aux nouvelles règles à partir du 1er avril 2021.

Pour Grégoire Hanquier, les entreprises ont intérêt à être transparentes sur leur gestion des cookies, les internautes ayant tendance à accepter qu'on prélève des informations sur leurs habitudes lorsqu'ils en sont informés : "Accepter un cookie, c’est comme en acheter un à la boulangerie, avant de le croquer à pleine dents, on le désire et on le choisit ! Sans un 'oui', c'est un 'non' !" Une information qui devrait rassurer les GAFAM, dont le modèle économique dépend avant tout de leurs accès à nos données.