E-commerce et protection des données : la sanction de Google et Amazon par la CNIL
- Par jurisactuubs
- Le 22/01/2024
- Dans Droit du numérique
- 0 commentaire
Article publié le 13 janvier 2021
Dans deux délibérations en date du 7 décembre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé à l’égard des géants du Web, Google et Amazon, une amende s’élevant à 100 millions d’euros pour l’un et 35 millions d’euros pour l’autre.
La procédure de contrôle réalisée par la CNIL en mars 2020 avait pour objet de vérifier le respect de l’article 82 de la loi du 6 janvier 1978[1]. Il en ressort que plusieurs cookies étaient automatiquement déposés sur le terminal d’un utilisateur d’une page Google sans qu’aucune action ne soit requise. Un procès-verbal a ainsi été enjoint à l’entreprise pour régulariser sa situation mais il a été reproché l’incompétence de la CNIL dans le contrôle du site web. Pour rappel, en vertu de la directive ePrivacy[2], les internautes doivent, selon les cas, être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs, aussi appelés « cookies ».
Malgré une similitude des décisions, Amazon conteste le respect au droit à un procès équitable tandis que Google met en exergue l’incompétence de la CNIL face aux sociétés, Google LLC et Google Ireland Limited, dont l’une est située aux Etats-Unis, et l’autre à Dublin. En ce sens, la CNIL fait valoir les dispositions de l’article 3 §1[3] qui pose les critères de sa compétence territoriale. Les activités du site web avaient pour objet les opérations d’accès et l’inscription d’informations dans le terminal d’utilisateurs résidant en France[4]. La CNIL fait ainsi prévaloir l’application de la directive ePrivacy au détriment du mécanisme du guichet unique prévu par le RGPD. Il est également fait référence à l’appréciation extensive de la notion « d’établissement responsable de traitement » pouvant s’appliquer à une personne morale autonome d’un même groupe[5] puisque les activités de l’établissement étant effectuées par l’entreprise visée.
Il est reproché aux deux sociétés leur manquement à l’obligation d’information, le recueil du consentement de l’utilisateur ainsi que l’opposition de ce dernier au traitement de l’opération. Une information claire et complète sur les accès de cookies doit être délivrée à l’internaute pour ensuite être consentis. En l’espèce, l’information du site web n’était pas mise en évidence et ne permettait pas à l’utilisateur de s’en accommoder. En effet, aucune information « relative au dépôt de cookies sur l’équipement terminal n’était fournie à ce stade aux personnes concernées alors que des traceurs ayant une finalité publicitaire avaient déjà été déposés sur leur terminal »[6].
Il en va de même pour Amazon, site web sur lequel, des cookies étaient générés dès l’instant où l’utilisateur se rendait sur le site[7], contrevenant ainsi, à une information préalable, complète et existante.
Au même titre que le consentement de l’utilisateur, malgré une possible désactivation des cookies de sa part, la CNIL relève que des traceurs étaient toujours stockés sur le terminal de l’utilisateur malgré leur désactivation. Faussant ainsi la potentielle opposition de l’internaute au moteur Google Search.
Les enjeux économiques colossaux, encore plus accentués par la crise sanitaire, ravivent des tensions vis-à-vis des GAFAM, les propulsant au rang de cibles numériques à démanteler. Mais ces deux délibérations, illustrant une attention particulière portée aux utilisateurs, témoignent aussi de l’essor du commerce électronique qui mérite un encadrement spécifique.
Margaux YAGUES
[1] Art.82 loi n°78-17 6 janv.1978, relative à l’informatique, aux fichiers et aux libertés. : - « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète [..] de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; des moyens dont il dispose pour s'y opposer [..] ».
[2] Direct.2002/58/CE 12 juill.2002.
[3] Art.3 §1 loi n°78-17 6 janv.1978. : - « Les dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement (…) sur le territoire français, que le traitement ait lieu ou non en France ».
[4] Point 37 de la délibération 2020-012.
[5] CJUE 13 mai.2014, Google Spain, C-131/12, point 48.
[6] Point 78 de la délibération 2020-012.
[7] Point 87 de la délibération 2020-013 7 déc.2020.
Ajouter un commentaire