Le Luxembourg, petit pays situé au cœur de l’Europe, fort de ses 615 000 habitants, a décidé de prendre part à l’histoire du RGPD.
L’autorité luxembourgeoise, la Commission nationale sur la protection des données (CNPD), a effectivement décidé de frapper un grand coup. Elle a condamné Amazon à une amende de 746 millions d’euros. La sanction la plus importante jamais infligée au sein de l’UE pour violation des règles sur la protection des données personnelles.
Pourtant, il y a quelques mois, l’autorité luxembourgeoise était encore l’une des dernières d’Europe, avec son homologue irlandais, à n’avoir prise aucune sanction depuis sa création. Mise sous pression par des associations militantes, comme celle de l’Autrichien Max Schrems, et par la Commission européenne, la CNPD avait publié, début juin, les premières décisions de sa courte existence, dont six amendes allant de 1.000 à 18.000 euros.
Cela fait effectivement plus de trois ans, depuis l’entrée en vigueur du RGPD, le 25 mai 2018, qu’Amazon est dans le viseur des différents acteurs de défense de la vie privée. La Quadrature du Net (par exemple) avait saisi les différentes autorités européennes. Elle accuse le géant de l’e-commerce d’avoir illégalement collecté et utilisé les données de ses utilisateurs.
Les premières sources luxembourgeoises avaient indiqué, début juin, une amende en préparation d’un montant de 350 millions d’euros. Finalement, ce sera plus du double.
Etant donné qu’Amazon a établi son siège social européen au Luxembourg, dans le quartier réputé de Clausen, c’est à la CNPD, en qualité d’autorité chef de file, qu’est revenue la tâche de gérer les plaintes, comme le prévoit le RGPD.
Si l’intégralité de la décision n’a pas encore été publiée sur le site de la CNPD, les sanctions porteraient sur différentes infractions :
- Amazon aurait mis à disposition ou diffusé à des tiers les données de ses clients, sans leur consentement préalable.
- Le système de ciblage publicitaire, au travers des cookies, mis en œuvre par Amazon serait réalisé sans le consentement libre de l’internaute.
Dans un communiqué, Amazon se dit « en profond désaccord avec la décision de la CNPD ». Elle estime la sanction « sans fondement » et reposant « sur des interprétations subjectives et non éprouvées de la réglementation européenne». « Il n’y a eu aucune fuite de données et aucune donnée client n’a été exposée à un tiers. » selon le porte-parole de la firme.
Une première réponse considérée comme hors-sujet par la Quadrature qui expose dans son propre communiqué : « C’est le système même de la publicité ciblée que nos plaintes comptent balayer dans son ensemble, et non pas quelques failles de sécurité occasionnelles. Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle. »
Pour rappel, en décembre 2020, la CNIL avait déjà sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs à partir du site amazon.fr sans consentement préalable et sans information satisfaisante.
Affaire complexe à suivre où les critiques envers l’autorité luxembourgeoise furent nombreuses, soupçonnées par certains de retarder l’enquête dans le but d’épargner la multinationale, l’un des principaux employeurs du pays.
