Le 16 juillet dernier, la CNIL luxembourgeoise, la CNPD (Commission Nationale pour la protection des données) a prononcé une amende record d’un montant de 746 millions d’euros à l’encontre d’Amazon Europe, suite à une plainte déposée par la Quadrature du Net. Une amende qui se place, de par son montant, en tête des amendes infligées au titre d’un manquement à la réglementation en matière de protection des données à caractère personnel. 

I. L’Association La quadrature du Net à l’origine de la plainte 

À l’origine de cette décision, on retrouve une plainte collective (près de 10 000 personnes) déposée par l’association La quadrature du Net auprès de la CNIL. L’association arguait qu’Amazon traitait les données à caractère personnel de ses clients à des fins d’analyse comportementale et ciblage publicitaire, sans recueillir leur consentement, ce qui privait de base légal le traitement. En effet, Arnaud Messaud, juriste de l’association de la Quadrature du Net avance qu’« Alors que le RGPD exige des sites Web qu’ils obtiennent un consentement libre avant de collecter des données sur les internautes, nous estimons qu’Amazon obtient ce consentement sous la contrainte puisque l’internaute qui s’y refuse ne peut pas accéder au service ». 

Au regard des procédures de coopération mises en place par le Règlement Européen sur la protection des données (RGPD), c’est la CNPD luxembourgeoise qui était compétente pour traiter de ce dossier. En effet, la société Amazon Europe Core est établie sur son territoire. Toutefois, la CNIL française a travaillé en étroite collaboration avec la CNPD, et ce toute au long de la procédure : contrôles, analyse des preuves, examen du projet de décision dans le cadre de la procédure de guichet unique. 

C’est le média en ligne Bloomberg qui est venu révéler l’amende infligée à Amazon. Néanmoins, la décision officielle n’a à ce jour pas encore été transmise. Le géant du e-commerce américain a violé le RGPD par la mise en plage d’un ciblage publicitaire réalisé sans le consentement libre de la personne concernée. Interpelé par l’Agence France-Presse, le régulateur luxembourgeois a déclaré qu’il  n’était “pas autorisé à commenter des cas individuels”.

II. La sanction la plus importante infligée par une autorité de contrôle à un géant du e-commerce 

Le groupe Amazon dorénavant dirigé par Andy Jassy, (suite au départ de Jeff Bezos) rétorque les propos de Bloomberg et évoque qu’« Il n’y a eu aucune fuite de données et aucune donnée client n’a été exposée à un quelconque tiers ». De plus, dans son communiqué le groupe considère que cette condamnation est “sans fondement” et affirme qu’il compte “faire appel ».

Quant à elle, l’association la Quadrature du Net a réagi en assurant que « Cette sanction historique frappe au coeur le système de prédation des GAFAM et doit être applaudie en tant que telle ». Il s’agit d’un nouveau record en matière d’amendes prononcées pour une violation du RGPD. Le record précédent est attribué à la CNIL pour une amende de 50 millions d’euros rendues contre Google. 

Si l’autorité de contrôle luxembourgeoise se veut discrète, elle a aujourd’hui une attitude irréprochable. Toutefois, cette sanction peut être perçue comme un coup d’épée dans l’eau. L’amende infligée par la CNPD s’élève à 0,3 % des recettes d’Amazon en 2020, alors que depuis l’instauration du RGPD, les sanctions infligées aux entreprises peuvent s’élever jusqu’à  4 % de leur chiffre d’affaires mondial dans les cas les plus graves.

La façon dont les GAFAM utilisent les données de leurs utilisateurs est en effet fréquemment mise en cause, il convient aujourd’hui de les sanctionner. De son côté, la CNIL française avait déjà à moindre mesure investi ce terrain.  Le gardien de la vie privée numérique des Français a infligé des amendes de respectivement 100 et 35 millions d’euros d’amende à Google et Amazon pour non respect de la législation sur les cookies. Ainsi, le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante.

Hors d’Europe, la Federal Trade Commission (FTC) américaine a validé en 2019 une amende de 5 milliards de dollars infligée à Facebook pour n’avoir pas su protéger les données à caractère personnel de ses utilisateurs. Une amende record qui égratignera qu’à peine Facebook.