Amazon a annoncé vendredi s’être vu infliger une amende de 746 millions d’euros au Luxembourg, pour non respect de la réglementation européenne sur les données privées des internautes.
À l’origine de la plus lourde sanction financière jamais infligée dans le cadre de ces règles, l’association de défense des libertés La Quadrature du Net avait déposé cinq plaintes auprès du gendarme français des données personnelles, la CNIL, contre Amazon, Apple, Google, Facebook et Microsoft fin mai 2018, après l’entrée en vigueur de la réglementation RGPD.
Amazon ayant son siège au Luxembourg, la CNIL avait transmis le dossier, qui a abouti à cette amende, infligée à la mi-juillet par la Commission luxembourgeoise pour la protection des données (CNPD) mais annoncée seulement vendredi par Amazon dans un document boursier.
La CNPD « affirme que le traitement des données de la part d’Amazon n’a pas respecté la règlementation de l’Union européenne sur la protection des données », a indiqué le géant de l’internet dans son document boursier.
Cette condamnation est « sans fondement », a affirmé Amazon, précisant dans un communiqué distinct qu’il comptait « faire appel ». « Il n’y a eu aucune fuite de données et aucune donnée client n’a été exposée à un quelconque tiers », ajoute le groupe. Amazon, qui a présenté un chiffre d’affaires trimestriel décevant la veille, voyait son titre chuter de plus de 7 % en Bourse peu après l’ouverture de Wall Street.
Un total de 785 amendes dans l’UE
Le géant du web avait déjà été condamné fin 2020 à 35 millions d’euros d’amende par la CNIL pour non-respect de la législation sur les cookies, les traceurs publicitaires. Google avait pour sa part pris une amende de 100 millions d’euros, ainsi qu’une autre de 50 millions d’euros cette dernière étant déjà liée au RGPD.
Le dernier rapport de la Commission européenne datant de juin 2020 sur la mise en œuvre de cette réglementation fait état d’environ 785 amendes émises par 22 autorités de protection des données dans l’UE entre le 25 mai 2018 et le 30 novembre 2019. Les montants évoqués sont généralement bien plus faibles que l’amende infligée à Amazon.
Sollicitée, la CNPD a affirmé qu’elle n’était « pas autorisée à commenter des cas individuels », bien qu’elle ait confirmé avoir rendu une décision le 15 juillet concernant Amazon en lien avec la réglementation RGPD.
« Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle », a réagi la Quadrature du net. L’association rappelle que sa plainte visait « le système de ciblage publicitaire imposé par Amazon (…) réalisé sans notre consentement libre ».
L’Irlande montrée du doigt
« En contraste, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google », s’insurge par ailleurs l’association. Il est régulièrement reproché aux Gafam la façon dont ils utilisent les données personnelles de leurs utilisateurs.
Bruxelles a tenté de mettre de l’ordre en imposant en 2018 son règlement général sur la protection des données, qui s’est imposé comme une référence mondiale. Les entreprises doivent demander le consentement des citoyens lorsqu’elles réclament leurs données personnelles, les informer de l’usage qui en sera fait et leur permettre de supprimer les données. Les manquements peuvent être sanctionnés de lourdes amendes.
Selon le nouveau règlement européen sur les services numériques, les plateformes ne pourront plus utiliser des données collectées à travers plusieurs services pour cibler un utilisateur contre son gré. Elles devront aussi fournir aux entreprises clientes l’accès aux données qu’elles génèrent.
Hors d’Europe, la justice américaine a validé en 2020 une amende de 5 milliards de dollars infligée à Facebook pour n’avoir pas su protéger les données personnelles.
LQ/AFP