Dossier

Google et Amazon sanctionnés par la CNIL : Une experte en cybersécurité nous explique tout

politique

Par Amandine Jonniaux le

La CNIL a récemment condamné Google et Amazon à plusieurs millions d’euros d’amende pour avoir enfreint le RGPD sur la gestion des cookies.

Crédits CNIL

L’information est tombée le lundi 7 décembre 2020, mais n’a été rendue publique que trois jours plus tard sur le site officiel de la CNIL et de Légifrance. Les GAFAM Google et Amazon ont récemment été épinglés par le comité de régulation pour avoir manqué à leurs obligations concernant le traitement des cookies utilisateurs. Avec trois sanctions distinctes et une amende cumulée de 135 millions d’euros pour les deux géants du web, on fait le point sur ce que risquent (vraiment) Google, Amazon et leurs utilisateurs, avec Maître Sabine Marcellin, avocate experte en droit du numérique, protection des données et cybersécurité du cabinet DLGA.

En quoi les cookies peuvent-ils devenir problématiques sur Internet ?

Un cookie, c’est quoi ?

En informatique, un cookie est un petit traceur déposé par un site web sur l’ordinateur. Pendant notre navigation, ce dernier va enregistrer un certain nombre d’informations nous concernant (pseudo, tranche d’âge, localisation, centres d’intérêt…), afin de personnaliser les prochains échanges avec le site en question. C’est notamment grâce à cela que l’ordinateur garde en mémoire les articles de notre panier lors d’un achat en ligne, ou que nos identifiants sur un réseau social restent mémorisés entre deux visites. C’est aussi “grâce” à eux que les entreprises peuvent récolter de précieuses informations sur nos habitudes et nos centres d’intérêt, afin de nous proposer des publicités ciblées.

Si les cookies ont un indéniable aspect pratique au quotidien, ils peuvent pourtant rapidement venir compromettre notre vie privée  sur Internet, rappelle Sabine Marcellin : “Ce sont des choses qui peuvent paraître insignifiantes, mais l’accumulation de ces petits traceurs peut nuire à la confidentialité de nos données”. Mis bout à bout, les cookies peuvent ainsi créer un portrait précis de l’utilisateur selon ses habitudes de navigation, sa localisation ou encore les informations personnelles qu’il distille au compte-goutte sur certains sites. “C’est cela qui est considéré comme étant une atteinte à la vie privée”, explique Sabine Marcellin.

Depuis la mise en place du RGPD (Règlement Général sur la Protection des Données), l’utilisation des cookies est obligatoirement soumise au consentement de l’utilisateur, “dès lors qu’ils ne sont pas strictement nécessaires au fonctionnement du site concerné”, rapporte la CNIL. Il est ainsi obligatoire pour un site web d’informer l’internaute sur la manière dont ces traceurs seront utilisés, mais aussi d’obtenir le consentement de ce dernier (pour une validité de 13 mois au maximum). L’internaute doit également avoir la possibilité de refuser l’utilisation des cookies, sans se voir interdire l’accès au service demandé.

Qu’est-ce que la CNIL reproche à Google et Amazon ?

Au total, ce n’est pas une, mais bien trois amendes distinctes qui ont été prononcées par la CNIL à l’encontre des géants Google et Amazon. La première, attribuée à Amazon Europe Core à hauteur de 35 millions d’euros, porte sur le dépôt de cookies et l’affichage de bandeaux sans consentement préalable des utilisateurs. Les deux autres sanctions de 60 et 40 millions d’euros chacune, reprochent respectivement à Google LLC et Google Ireland Limited de ne pas avoir suffisamment informé ses utilisateurs sur l’utilisation des cookies, mais surtout d’avoir déposé des cookies sans consentement préalable, et de ne pas avoir pris en compte certains refus. “Ces décisions de la CNIL portent sur des éléments similaires, mais pas identiques, la différence doit bien être faite entre toutes ces sanctions, qui sont proportionnelles au chiffre d’affaires de l’entreprise”, précise Sabine Marcelin.

135 millions d’euros cumulés, une sanction d’image

Si la somme de 135 millions d’euros a de quoi faire tourner quelques têtes, elle n’est définitivement pas grand-chose en comparaison des 7 millions d’euros gagnés chaque minute par le patron d’Amazon Jeff Bezos (comme le rapporte une enquête réalisée par le site Unilad). Des amendes qui ne mettront pas les GAFAM en difficulté financière, mais qui auront plutôt pour vocation à “porter atteinte à leur image”, analyse Sabine Marcellin : “La CNIL n’est pas obligée de rendre publiques ses sanctions. Concernant Google et Amazon, elle a publié ses deux décisions le même jour. Cela a avant tout un caractère de communication, c’est pour faire parler du sujet des cookies et faire réagir”.

Google et Amazon se défendent

Les trois amendes administratives prononcées par la CNIL envers Google et Amazon promettent déjà de ne pas pousser les GAFAM à la faillite. D’autant plus, rappelle Sabine Marcellin, qu’il est encore temps de faire appel de cette décision. En attendant de savoir si elles engageront ou non davantage de poursuites judiciaires, les deux entreprises américaines ont d’ores et déjà réagi officiellement à la situation. Chez Google, on estime que “la décision rendue par la CNIL en matière de “ePrivacy” fait l’impasse sur [nos] efforts et ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution”. Côté Amazon, le discours est sensiblement le même, puisque l’entreprise affirmait cette semaine son “désaccord avec la décision de la CNIL”, arguant que “la protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon”.

Des arguments “légitimes” estime Sabine Marcellin, mais qui ne justifient pas le comportement de Google et Amazon face à la gestion défaillante de certains cookies. “Les cookies sont un sujet un peu compliqué juridiquement, puisqu’ils sont soumis au RGPD, mais aussi aux directives ePrivacy européennes. De nouvelles recommandations ont été publiées, c’est vrai que c’est un sujet évolutif, il est en perpétuelle évolution, mais c’est le cas du droit en règle générale”.

Pour en savoir plus, vous pouvez aller consulter les décisions de la CNIL concernant Google et Amazon sur le site LégiFrance.