Les manquements liés à la gestion des cookies et autres traceurs peuvent coûter cher.

Vianney DESSENNE
Vianney DESSENNE - Avocat

Source : Conseil d’Etat, Décision n° 451423, 27 juin 2022

Le 7 décembre 2020, la CNIL avait sanctionné AMAZON EUROPE CORE d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante.

Pour ce faire, la CNIL avait relevé :

  Un dépôt de cookies sans recueillir le consentement de l’utilisateur

Lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur,

Or, ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement.

La CNIL avait ainsi considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.

  Un défaut d’information des utilisateurs du site amazon.fr

La CNIL avait ici constaté que les informations fournies aux utilisateur du site amazon.fr étaient ni claires ni complètes, considérant que :

1.  le bandeau d’information affiché par la société ne contenait qu’une description générale et approximative des finalités de l’ensemble des cookies déposés ;

2.  à la lecture de ce bandeau, l’utilisateur n’était pas à même de comprendre que les cookies déposés sur son ordinateur avaient pour principal objectif de lui afficher des publicités personnalisées ;

3.  le bandeau n’indiquait pas non plus à l’utilisateur qu’il a le droit de refuser ces cookies et les moyens dont il dispose à cette fin.

Fort de ces constats, la CNIL condamnait AMAZON EUROPE CORE à une amende de 35 millions d’euros, ce montant se justifiant selon l’autorité par la gravité des manquements constatés.

Un recours ayant été formé devant le Conseil d’Etat, ce dernier a, par arrêt du 27 juin 2022, confirmé la compétence de la CNIL pour prendre des sanctions portant sur les manquements relatifs à la gestion des cookies en application des dispositions de l’article 82 de la loi Informatique et Libertés et ce, même dans le cas où le responsable de traitement n’est pas en établi en France, mais qu’il dispose sur le territoire français d’un établissement impliqué dans les activités liées au traitement effectué.

Sur le fond, le Conseil d’État confirme également les deux violations de l’article 82 de la loi Informatique et Libertés qualifiées par la CNIL, en l’occurrence le dépôt de cookies sans consentement préalable et l’information défaillante des utilisateurs.

Enfin, le Conseil d’État estime que le montant de l’amende prononcé par la CNIL n’est pas disproportionné au regard de la gravité des manquements, de la portée des traitements et de la capacité financière de la société.

Partager cet article