Dans une décision du 27 juin 2022[1], le Conseil d’Etat confirme la sanction de 35 millions d’euros prononcée par la Cnil en 2020 à l’encontre de la société de commerce en ligne Amazon pour manquements relatifs aux cookies.
L’obligation de recueillir le consentement des utilisateurs avant le dépôt des cookies
La société de commerce en ligne Amazon exploite une plateforme lui permettant d’exercer son activité de commerce. Cette plateforme recueille les cookies des utilisateurs qui s’y connectent.
En matière de cookies, l’article 82 de la loi Informatique et Libertés[2] dispose que :
- le consentement de l’utilisateur doit être recueilli avant leur dépôt ;
- l’utilisateur doit être informé des cookies qui seront déposés en cas d’acceptation ;
- Il doit aussi avoir la possibilité de refuser le dépôt de ces cookies[3].
A ce titre, la Cnil précise que « toute inaction des utilisateurs autre qu’un acte positif signifiant un consentement doit être interprétée comme un refus de consentir »[4].
Au cours de son enquête, le rapporteur de la Cnil a constaté deux manquements importants :
- le site de la société déposait, quel que soit le parcours utilisateurs, une quarantaine de cookies et de traceurs poursuivant une finalité publicitaire sans obtenir le consentement préalable de l’utilisateur : en effet, lorsqu’un utilisateur se rendait sur le site de la société, certains cookies publicitaires étaient automatiquement déposés sur son ordinateur, sans aucune action de sa part ;
- l’information délivrée par la société en ce qui concerne les opérations d’accès ou d’inscription des cookies était incomplète ou inexistante :
- en particulier l’information sur les objectifs de ces cookies et les moyens pour les refuser.
Ainsi, la Cnil rappelle qu’en matière de dépôt de cookies non essentiels, le consentement préalable de l’utilisateur est impératif, outre le bénéfice d’une information claire et complète.
Ces principes, qui sont développés par la Cnil dans ses lignes directrices du 4 juillet 2019[5], sont donc confirmés par le Conseil d’Etat.
La confirmation de la compétence de la Cnil pour sanctionner les manquements relatifs aux cookies
La société de commerce en ligne soulevait l’incompétence de la Cnil à sanctionner les manquements relatifs aux cookies. Le responsable du traitement n’étant pas établi en France, la Cnil n’était pas compétente pour sanctionner l’entreprise.
Le Conseil d’Etat réplique que l’objectif poursuivi par la directive européenne 95/46/CE[6] consiste à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques et notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel.
Dès lors, il estime qu’un traitement de données est effectué dans le cadre des activités d’un établissement national, y compris :
- lorsque cet établissement se limite à assurer sur le territoire d’un Etat membre la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données personnelles via des traceurs de connexion.
C’est le raisonnement qu’avaient retenu les magistrats européens dans un arrêt du 5 juin 2018[7].
Dans sa décision du 27 juin 2022, le Conseil d’Etat confirme donc la compétence de la Cnil.
La décision de la Cnil ne méconnaît pas la charte des droits fondamentaux de l’UE
La requérante estimait que la formation restreinte de la Cnil aurait méconnu l’article 50 de la Charte des droits fondamentaux de l’Union européenne[8].
En effet, elle soulevait que la procédure engagée concernait la mise en œuvre de traitements de données. Or, l’autorité luxembourgeoise de protection des données avait déjà engagé une procédure similaire.
La procédure française aurait donc été menée au mépris d’un principe de procédure pénale (« ne bis in idem »). Selon ce principe, une même personne ne peut faire l’objet de plusieurs poursuites à raison des mêmes faits.
Le Conseil d’Etat répond en indiquant que selon l’article 50 précité et d’après la jurisprudence européenne :
- le principe « ne bis in idem » ne s’applique qu’à une sanction pénale devenue définitive.
C’est le cas lorsqu’une décision :
- a été rendue à la suite d’une appréciation portant sur le fond de l’affaire et
- qu’elle ne peut plus faire l’objet de recours.
Dans cette situation, le principe « ne bis in idem » s’oppose à des poursuites pénales intentées :
- pour la même infraction, et
- contre une même personne.
Le Conseil d’Etat précise qu’à la date de sa décision, la société de commerce en ligne n’apporte pas la démonstration qu’elle aurait fait l’objet d’une condamnation définitive pour les mêmes faits, au Luxembourg. Les Hauts magistrats ont donc écarté cet argument pour ce motif.
La proportionnalité de l’amende de 35 millions d’euros
La Cnil avait prononcé une amende de 35 millions d’euros contre Amazon, qui jugeait ce montant disproportionné.
Pour fixer sa sanction, la formation restreinte de la Cnil avait tenu compte de la gravité du manquement constaté, et notamment des éléments suivants :
- le dépôt automatique de cookies publicitaires dès l’arrivée de l’utilisateur sur le site internet et en l’absence de toute information de ce dernier lorsqu’il arrive depuis un site tiers ;
- l’ampleur des traitements réalisés par la société avec le dépôt de ces cookies ;
- la nature potentiellement sensible des données collectées via ces cookies ;
- l’avantage financier important dont a tiré bénéfice la société grâce à l’utilisation des données à caractère personnel ainsi collectées, qui lui a permis de personnaliser ses annonces ;
- le chiffre d’affaires annuel mondial réalisé par la société, estimé alors à 7,7 milliards d’euros.
Le Conseil d’Etat valide la sanction, et précise que la Cnil n’avait pas à se prononcer sur l’ensemble des critères prévus à l’article 83 du RGPD contrairement à ce que soutient la requérante.
En effet, pour le Conseil d’Etat, l’amende administrative de 35 millions d’euros prononcée par la Cnil n’est pas disproportionnée car :
- d’une part, les manquements commis sont d’une particulière gravité, qui tient à la nature des exigences méconnues et aux effets graves sur les utilisateurs français et,
- d’autre part, la société de commerce en ligne a pu tirer des avantages financiers importants avec la collecte des données résultant de l’exploitation des traceurs de connexion illégalement déposés sur les terminaux des utilisateurs.
Frédéric Forster
Lexing Télécom
Valentin Cayré
Notes
[1] CE n°451423 du 27-06-2022
[2] L. n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[3] Cnil Délib. n° 2020-091 du 17 septembre 2020 abrogeant la délibération n° 2019-093 du 4 juillet 2019.
[4] Délib n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
[5] Cnil Délib. n°2019-093 du 4 juillet 2019.
[6] Dir. 995/46/CE du 24 octobre 1995.
[7] CJUE 5-06-2018 Aff. C-210/16 « Wirtschaftsakademie ».
[8] Charte européenne des droits fondamentaux signée le 7 décembre 2000.