Délibération SAN-2020-013 du 7 décembre 2020

Délibération de la formation restreinte no SAN-2020-013 du 7 décembre 2020 concernant la société AMAZON EUROPE CORE

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants;

Vu l’ordonnance n° 2014-1329 du 6 novembre 2014 relative aux délibérations à distance des instances administratives à caractère collégial ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2019-224C du 29 novembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements accessibles à partir du domaine amazon.fr ou portant sur des données à caractère personnel collectées à partir de ce dernier ;

Vu la décision n° 2020-042C du 27 décembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société AMAZON ONLINE France SAS ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 23 mars 2020 ;

Vu le rapport de Monsieur Éric PÉRÈS, commissaire rapporteur, notifié à la société AMAZON EUROPE CORE le 17 juillet 2020 ;

Vu les observations écrites versées par le conseil de la société AMAZON EUROPE CORE le 15 septembre 2020 ;

Vu la réponse du rapporteur à ces observations notifiée à la société AMAZON EUROPE CORE le 9 octobre 2020 ;

Vu les nouvelles observations écrites versées par le conseil de la société AMAZON EUROPE CORE, reçues le 2 novembre 2020 ;

Vu les observations orales formulées lors de la séance de la formation restreinte ;

Vu le courrier adressé par la société AMAZON EUROPE CORE au président de la formation restreinte le 17 novembre 2020 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 12 novembre 2020 :

- Monsieur Éric PÉRÈS, commissaire, entendu en son rapport ;

En qualité de représentants de la société AMAZON EUROPE CORE :

- […]

La société AMAZON EUROPE CORE ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La société AMAZON EUROPE CORE (ci-après la société ou AEC ) est une société de droit luxembourgeois dont le siège social est situé 5 rue Plaetis, L 2338 à Luxembourg, faisant partie du groupe AMAZON. Elle a pour principale activité l’exploitation des sites web européens Amazon qui permettent la vente en ligne de biens marchands. Pour les besoins de ses activités notamment en France, la société exploite le site web Amazon.fr accessible à partir de l’adresse URL https://www.amazon.fr/. Pour l’année 2019, elle a réalisé un chiffre d’affaires d’environ 7,7 milliards d’euros.

2. En application des décisions n° 2019-224C du 29 novembre 2019 et n° 2020-042C du 27 décembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ), une délégation de la CNIL a mené les opérations de contrôle suivantes :

- trois contrôles en ligne portant sur le site Amazon.fr effectués les 12 décembre 2019, 6 mars 2020 et 19 mai 2020 ;

- un contrôle réalisé le 30 janvier 2020 dans les locaux de la société AMAZON ONLINE France SAS, établissement français du groupe AMAZON ;

- […]

3. Ces missions avaient pour objet de vérifier le respect, par la société, des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi Informatique et Libertés ou loi du 6 janvier 1978 ). En particulier, il s’agissait de procéder à des investigations en lien avec les traitements consistant en des opérations d’accès ou d’inscription déposés sur le terminal des internautes résidant en France lors de leur visite sur le site web Amazon.fr.

4. Durant ces investigations, plusieurs échanges sont intervenus entre, d’une part, les sociétés AEC et AMAZON ONLINE France SAS et, d’autre part, la délégation de contrôle de la CNIL.

5. Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Monsieur Éric PÉRÈS en qualité de rapporteur, le 23 mars 2020, sur le fondement de l’article 22 de la loi du 6 janvier 1978.

6. À l’issue de son instruction, le rapporteur a fait signifier par huissier de justice à la société AEC, le 17 juillet 2020, un rapport détaillant le manquement à la loi Informatique et Libertés qu’il estimait constitué en l’espèce. Était également jointe au rapport une convocation à la séance de la formation restreinte du 15 octobre 2020, indiquant à la société qu’elle pouvait produire ses observations en réponse au plus tard le 8 septembre 2020.

7. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de la société AEC une amende administrative ainsi qu’une injonction, assortie d’une astreinte, de mettre le traitement en conformité avec les dispositions de l’article 82 de la loi Informatique et Libertés . Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

8. Par courrier du 19 aout 2020, la société a sollicité auprès du président de la formation restreinte un délai supplémentaire pour produire ses observations en réponse au rapport du rapporteur. Le 1er septembre 2020, le président de la formation restreinte a accordé un délai supplémentaire d’une semaine à la société.

9. Le 15 septembre 2020, par l’intermédiaire de son conseil, la société a produit des observations en réponse au rapport du rapporteur et a formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos. Elle a renouvelé sa demande le 13 octobre 2020.

10. Par courrier électronique du 24 septembre 2020, sur le fondement de l’article 40, alinéa 4, du décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi Informatique et Libertés (ci-après le décret du 19 mai 2019 ), le rapporteur a demandé au président de la formation restreinte un délai supplémentaire de neuf jours pour répondre aux observations de la société, qui lui a été accordé le 28 septembre 2020. La société en a été informée le même jour.

11. Le 1er octobre 2020, le secrétaire général de la CNIL a informé la société de ce que la séance de formation restreinte initialement prévue le 15 octobre était reportée au 12 novembre 2020.

12. Le rapporteur a répondu aux observations de la société le 9 octobre 2020.

13. Le 22 octobre 2020, le président de la formation restreinte a fait droit à la demande de huis clos formulée par la société au motif que […]

14. Le 2 novembre 2020, la société a présenté de nouvelles observations en réponse à celles du rapporteur.

15. Le 4 novembre 2020, la société a sollicité le report de la séance de la formation restreinte prévue le 12 novembre suivant. Par courrier du 5 novembre, le président de la formation restreinte a refusé de faire droit à cette demande.

16. La société et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte du 12 novembre 2020.

17. Le 17 novembre 2020, la société a, par un courrier adressé au président de la formation restreinte, indiqué que certains de ses représentants assistant à la séance par le biais d’un système de visioconférence n’avaient pas pu entendre l’intégralité des échanges entre leurs conseils et le rapporteur, […].

II. Motifs de la décision

A. Sur la compétence de la CNIL

1. Sur la compétence matérielle de la CNIL et l’applicabilité du mécanisme de guichet unique prévu par le RGPD

18. Aux termes de l’article 16 de la loi Informatique et Libertés , la formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi. Au titre de l’article 20, paragraphe III, de cette même loi, lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l'informatique et des libertés […] peut saisir la formation restreinte en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes […] 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

19. Aux termes de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la directive ePrivacy ) Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement […]

20. Ces dispositions ont été transposées en droit interne à l’article 82 de la loi Informatique et Libertés , au sein du chapitre IV de cette loi, relatif aux Droits et obligations propres aux traitements dans le secteur des communications électroniques . Cet article prévoit que Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur .

21. Le rapporteur considère que la CNIL est matériellement compétente en application de ces dispositions pour contrôler et engager une procédure de sanction concernant les opérations d’accès ou d’inscription d’informations mises en œuvre par la société dans les terminaux des utilisateurs du site Amazon.fr en France.

22. La société AEC conteste la compétence de la CNIL. Elle considère que seule l’autorité luxembourgeoise de protection des données (Commission nationale pour la protection des données, ci-après la CNPD ) est compétente pour engager une procédure de sanction et éventuellement prononcer une amende administrative à son encontre en cas de méconnaissance de ses obligations en matière de cookies.

23. Elle soutient tout d’abord que ses pratiques en matière de cookies doivent être examinées dans le cadre des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après RGPD ) en raison des liens étroits entre ce texte et la directive ePrivacy.

24. A l’appui de son argumentation, la société fait valoir le caractère indissociable de l’inscription de cookies sur les terminaux des utilisateurs de l’utilisation subséquente des données collectées par ces cookies pour les finalités poursuivies par le responsable de traitement. […].

25. La société note en outre que tant la décision de la présidente de la CNIL du 29 novembre 2019 d’ouvrir une procédure de contrôle que les correspondances échangées avec la CNIL dans le cadre de ces contrôles mentionnent expressément que l’objet des contrôles est notamment d’évaluer la conformité des pratiques de la société au RGPD. Elle relève également que le rapporteur a lui-même utilisé dans son rapport de sanction des notions issues du RGPD lorsqu’il analyse les conséquences pour les utilisateurs de l’utilisation des cookies. Elle note encore que le législateur français a fait le choix de transposer l’article 5(3) de la directive ePrivacy non pas dans un texte dédié, mais bien directement au sein de la loi Informatiques et Libertés , démontrant ainsi l’unité des deux matières.

26. La société estime ensuite que même dans l’hypothèse où les investigations de la CNIL porteraient uniquement sur les dispositions de l’article 82 de la loi Informatique et Libertés, le mécanisme de coopération entre les autorités de contrôle, dit mécanisme de guichet unique, prévu au chapitre VII du Règlement, devrait s’appliquer et que par conséquent, la CNIL ne serait pas l’autorité compétente pour agir en tant qu’autorité chef de file. Elle considère en effet que dans la mesure où la directive ePrivacy ne prévoit aucune règle de compétence lorsqu’un traitement qu’elle encadre est transfrontalier, il convient d’appliquer celles prévues par le RGPD, compte tenu notamment de ce que, depuis l’entrée en application du RGPD, les références faites par la directive ePrivacy à la directive abrogée 95/46/CE s’entendent comme faites au RGPD.

27. La société considère par ailleurs que le fait que certains Etats membres de l’Union européenne ont fait le choix de confier le contrôle du respect de la directive ePrivacy à leur autorité de régulation des télécommunications et non à leur autorité de protection des données, n’est pas un obstacle à l’application du mécanisme de guichet unique dans la mesure où des accords de coopération entre ces différentes autorités ont pu être signés dans plusieurs Etats membres, permettant ainsi aux autorités de protection des données de participer au mécanisme de guichet unique dans des situations impliquant des dispositions issues de la directive ePrivacy.Elle considère que toute sanction prononcée à son encontre par la formation restreinte fondée sur la méconnaissance des dispositions issues de l’article 5(3) de la directive ePrivacy irait à l’encontre du principe d’harmonisation contenu à l’article 15 bis de la directive, lequel dispose que Les autorités réglementaire nationales compétentes peuvent adopter des mesures afin d’assurer une coopération transfrontalière effective dans le contrôle de l’application des législations nationales adoptées en application de la présente directive et de créer des conditions harmonisées pour la fourniture de services impliquant des flux de données transfrontaliers et du principe de libre prestation de services contenu à l’article 56 du Traité sur le fonctionnement de l’Union européenne (TFUE) aux termes duquel les restrictions à la libre prestation des services à l'intérieur de l'Union sont interdites à l'égard des ressortissants des États membres établis dans un État membre autre que celui du destinataire de la prestation.

28. La formation restreinte relève tout d’abord, que les opérations qui font l’objet de la présente procédure sont effectuées dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications et qu’elles concernent exclusivement des actions de lecture et d’écriture sur le terminal des internautes situés en France lorsque ceux-ci se rendent sur le site Amazon.fr, opérations qui se matérialisent par le dépôt et la lecture de cookies.

29. La formation restreinte rappelle qu’un tel traitement est régi par les dispositions de la directive vie privée et communication électroniques , communément appelée ePrivacy, et en particulier par son article 5(3) qui a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés . La formation restreinte relève, tout d’abord, qu’il ressort des dispositions citées ci-avant que le législateur français a chargé la CNIL de veiller au respect, par les responsables de traitement, des dispositions de la directive ePrivacy en lui confiant notamment le pouvoir de sanctionner toute méconnaissance de cet article. Elle souligne que cette compétence a été reconnue par le Conseil d’Etat dans sa décision Association des agences-conseils en communication du 19 juin 2020 concernant la délibération de la CNIL no 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur, dès lors que ce dernier a relevé que l’article 20 de cette loi confie à son président [de la CNIL] le pouvoir de prendre les mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d’être prononcées (CE, 19 juin 2020, req. 434684, pt. 3).

30. Elle relève, ensuite, que lorsqu’un traitement relève à la fois du champ d’application matériel de la directive ePrivacy et du champ d’application matériel du RGPD, il convient de se référer aux dispositions pertinentes des deux textes qui prévoient leur articulation. Ainsi, l’article 1er paragraphe 2 de la directive ePrivacy dispose que les dispositions de la présente directive précisent et complètent la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 sur la protection des données personnelles (ci-après la directive 95/46/CE sur la protection des données personnelles ), étant rappelé que depuis l’entrée en application du Règlement, les références faites à cette dernière directive doivent s’entendre comme faites au RGPD, conformément à l’article 94 de ce dernier. De même, il ressort du considérant 173 du RGPD que ce texte prévoit explicitement n’être pas applicable aux traitements de données à caractère personnel soumis à des obligations spécifiques ayant le même objectif [de protection des libertés et droits fondamentaux] énoncées dans la directive 2002/58/CE du Parlement européen et du Conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques . Cette articulation a été confirmée par la Cour de justice de l’Union européenne (ci-après CJUE ) dans sa décision Planet49 du 1er octobre 2019 (CJUE, 1er octobre 2019, C‑673/17, pt. 42).

31. A cet égard, la formation restreinte relève que, contrairement à ce que soutient la société, la directive ePrivacy prévoit bien, pour les obligations spécifiques qu’elle comporte, son propre mécanisme de mise en œuvre et de contrôle de son application au sein de son article 15bis. Ainsi, le premier paragraphe de cette directive laisse aux Etats membres la compétence pour déterminer le régime des sanctions, y compris des sanctions pénales s’il y a lieu, applicables aux violations des dispositions nationales prises en application de la présente directive et prennent toute mesure nécessaire pour assurer la mise en œuvre de celles-ci. Les sanctions ainsi prévues doivent être effectives, proportionnées et dissuasives et peuvent être appliquées pour couvrir la durée de l’infraction, même si celle-ci a été ultérieurement corrigée , Or la règle posée au 3 de l’article 5 de la directive ePrivacy , selon laquelle les opérations de lecture et d’écriture doivent systématiquement faire l’objet d’un accord préalable de l’utilisateur, après information, constitue une règle spéciale au regard du RGPD puisqu’elle interdit de se prévaloir des bases légales mentionnées à l’article 6 qui ne requièrent pas un accord de l’utilisateur pour pouvoir licitement procéder à ces opérations de lecture et d’écriture sur le terminal. Le contrôle de cette règle relève donc bien du mécanisme spécial de contrôle et sanction prévu par la directive ePrivacy et non des autorités de protection de données et du CEPD en application du RGPD. C’est par un choix propre que le législateur français a confié cette mission à la CNIL.

32. La formation restreinte relève, ensuite, que le deuxième paragraphe du même article oblige les Etats membres à veiller à ce que l’autorité nationale compétente et, le cas échéant, d’autres organismes nationaux aient le pouvoir d’ordonner la cessation des infractions visées au paragraphe 1 .

33. Elle estime que ces dernières dispositions excluent en tant que telles l’application du mécanisme de guichet unique prévu par le RGPD à des faits relevant de la directive ePrivacy .

34. Elle ajoute, par ailleurs, que cette exclusion est corroborée par le fait que les États membres, qui sont libres de déterminer l’autorité nationale compétente pour connaître des violations des dispositions nationales prises en application de la directive ePrivacy , peuvent avoir attribué cette compétence à une autorité autre que leur autorité de protection des données, en l’occurrence à leur autorité de régulation des télécommunications. Dès lors, dans la mesure où ces dernières autorités ne font pas partie du Comité européen à la protection des données (ci-après CEPD ), alors que ce comité joue une fonction incontournable dans le mécanisme de contrôle de la cohérence mis en œuvre au chapitre VII du RGPD, il est de fait impossible d’appliquer le guichet unique à des pratiques susceptibles d’être sanctionnées par des autorités de contrôle nationales ne siégeant pas au sein de ce comité.

35. Elle souligne que les accords de coopération passés entre autorités de protection des données et autorités de régulation des télécommunications dans certains Etats invoqués par la société, par exemple, aux Pays-Bas, en Suède ou en Hongrie, ont pour but d’instaurer une coopération au niveau national entre les différents régulateurs afin d’assurer la cohérence de leurs doctrines lorsqu’un traitement relève à la fois du champ matériel du RGPD et de la directive ePrivacy mais qu’ils n’ont pas pour objectif de faire participer en tant que telles les autorités de régulation des télécommunications au mécanisme de guichet unique prévu par le chapitre VII du RGPD.

36. La formation restreinte souligne enfin que le CEPD a, dans son avis n°5/2019 du 12 mars 2019 relatif aux interactions entre la directive vie privée et communications électroniques et le RGPD, estimé que [traduction libre] Conformément au chapitre VII du RGPD, les mécanismes de coopération et de contrôle de la cohérence dont disposent les autorités chargées de la protection des données au titre du RGPD concernent le contrôle de l’application des dispositions du RGPD. Les mécanismes du RGPD ne s’appliquent pas au contrôle de l’application des dispositions de la directive vie privée et communications électroniques en tant que telle et que l’autorité ou les autorités désignées comme compétentes au sens de la directive vie privée et communications électroniques par les Etats membres sont exclusivement responsables du contrôle de l’application des dispositions nationales transposant la directive vie privée et communications électroniques qui sont applicables à ce traitement spécifique, y compris dans les cas où le traitement de données à caractère personnel relève à la fois du champ d’application matériel du RGPD et de celui de la directive vie privée et communications électroniques

37. La formation restreinte note encore que l’éventuelle application du mécanisme de guichet unique à un traitement encadré par la directive ePrivacy fait l’objet de nombreuses discussions dans le cadre de l’élaboration du projet de règlement ePrivacy en cours de négociation depuis trois ans au niveau européen. Dès lors, l’existence même de ces débats confirme qu’en l’état, le mécanisme de guichet unique prévu par le RGPD n’est pas applicable aux matières régies par l’actuelle directive ePrivacy.

38. Il convient donc de distinguer d’une part, les opérations de lecture et d’écriture sur un terminal, qui sont régies par les dispositions de l’article 82 de la loi Informatique et Libertés et pour lesquelles le législateur français a confié à la CNIL une mission de contrôle et notamment le pouvoir de sanctionner toute méconnaissance de cet article et d’autre part, l’utilisation qui est faite ultérieurement des données collectées grâce aux cookies, qui est régie par le RGPD et peut donc, le cas échéant, être soumise au dispositif de guichet unique .

39. La formation restreinte note encore que la société a fait le choix d’utiliser un nom de domaine en .fr. qui est une extension désignant l'espace territorial de la France lui permettant de bénéficier d'une visibilité optimale auprès des internautes français.

40. La formation restreinte note enfin que les références au RGPD contenues dans certains documents communiqués par la CNIL durant la mission de contrôle sont sans incidence sur la légalité de la procédure dans la mesure où les opérations de contrôle sont générales mais où la CNIL n’a entendu poursuivre , par la suite, que des manquements pour lesquels elle jouit d’une compétence de sanction, qui étaient clairement indiqués dans la notification des griefs par le rapporteur et sur lesquels la société a été mise en mesure de faire valoir ses observations dans des conditions conformes au respect des droits de la défense.

41. Il résulte de ce qui précède que le mécanisme de guichet unique prévu par le RGPD n’est pas applicable à la présente procédure et que la CNIL est compétente pour contrôler et engager une procédure de sanction concernant les opérations de lecture et écriture de cookies mises en œuvre par la société qui relèvent du champ d’application de la directive ePrivacy , sous réserve qu’elles se rattachent à sa compétence territoriale.

2. Sur la compétence territoriale de la CNIL

42. La règle d’application territoriale des exigences prévues à l’article 82 de la loi informatique et libertés est fixée à l’article 3, paragraphe I, de la loi informatique et libertés , qui dispose : sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France .

43. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du site Amazon.fr, est effectué dans le cadre des activités de la société AMAZON ONLINE France SAS qui constitue l’établissement sur le territoire français de la société AEC,. laquelle est concrètement responsable de la mise en œuvre des cookies en cause dans cette procédure, ce qu’elle n’a d’ailleurs pas contesté.

44. En défense, la société estime que la compétence territoriale de la CNIL fait en l’espèce défaut dans la mesure où l’une des conditions permettant l’action de la CNIL prévues par le I de l’article 3 de la loi Informatique et Libertés , en l’occurrence celle relative au fait que le traitement de données à caractère personnel doit être effectué dans le cadre des activités d'un établissement d'un responsable du traitement, n’est pas remplie. Elle souligne que la société AMAZON ONLINE France SAS n’intervient pas dans le dépôt de cookies sur les terminaux des utilisateurs et que son activité consiste à fournir des solutions marketing et de conseils aux entreprises qui souhaitent commercialiser leurs produits dans la boutique Amazon.fr ainsi que sur des sites tiers. Elle précise également que c’est elle qui place des publicités sur des sites tiers pour le compte de ses clients et non pas la société AMAZON ONLINE France SAS.

45. Elle considère ainsi qu’il n’existe pas de lien indissociable entre, d’une part, les activités d’AMAZON ONLINE France SAS et d’autre part, le dépôt de cookies par AMAZON EUROPE CORE à partir du site Amazon.fr.

46. La formation restreinte rappelle qu’en vertu de l’article 3 de la loi Informatique et Libertés , la CNIL est compétente pour exercer ses pouvoirs dès lors que les deux critères prévus par cet article sont remplis, en l’occurrence, l’existence d’un établissement du responsable de traitement sur le territoire français et l’existence d’un traitement effectué dans le cadre des activités de cet établissement.

47. La formation restreinte rappelle que la directive ePrivacy , adoptée en 2002 et modifiée en 2006 puis en 2009, ne fixe pas elle-même explicitement la règle d’application territoriale des différentes lois de transposition adoptées par chaque Etat membre. Cependant, cette directive indique qu’elle précise et complète la directive 95/46.CE , laquelle prévoyait à l’époque, à son article 4, que Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable . Cette règle de détermination de la loi nationale applicable au sein de l’Union n’a plus lieu d’être pour l’application des règles du RGPD, qui a remplacé la directive 95/46/CE et s’applique uniformément sur tout le territoire de l’Union, mais il est logique que le législateur français ait maintenu le critère d’application territoriale pour les règles spécifiques du droit français, notamment celles qui transposent la directive ePrivacy . Dès lors, la jurisprudence de la CJUE sur l’application de l’article 4 de l’ancienne directive 95/46/CE demeure pertinente, dans la mesure où le législateur français a utilisé ces mêmes critères pour définir la compétence territoriale de la CNIL.

48. S’agissant, en premier lieu de l’existence d’un établissement du responsable de traitement sur le territoire français, la CJUE a,dans son arrêt Weltimmo, du 1er octobre 2015, précisé que la notion d’établissement, au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable , le critère de stabilité de l’installation étant examiné au regard de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question . La CJUE estime qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).

49. En l’espèce, la formation restreinte relève tout d’abord que la qualité d’établissement de la société AMAZON ONLINE France SAS n’est pas contestée par la société. Elle relève ensuite que cette société dispose de locaux stables situés en France, au 67 boulevard du général Leclerc à Clichy, au sein desquels travaillent environ 120 personnes. En conséquence, elle constitue bien un établissement de la société AEC au sens de l’article 3 de la loi Informatique et Libertés précité.

50. S’agissant en second lieu de l’existence d’un traitement effectué dans le cadre des activités de cet établissement, la formation restreinte rappelle que, dans sa décision Google Spain du 13 mai 2014, la CJUE a considéré que le traitement relatif au moteur de recherche Google Search , était effectué dans le cadre des activités de la société Google Spain, établissement de la société Google Inc. dans la mesure où cette société est destinée à assurer en Espagne la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur. Elle a également précisé qu’afin d’assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, cette notion ne saurait recevoir une interprétation restrictive. Si dans l’arrêt Google Spain l’établissement responsable du traitement était établi en dehors de l’Union européenne, la Cour a par la suite, dans son arrêt du 5 juin 2018, appliqué la même interprétation extensive des traitements effectués dans le cadre des activités d’un établissement national à une situation où le traitement était en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne (CJUE, 5 juin 2018, C-210/16, pts 53 sq). Enfin, il faut relever que l’interprétation de la notion de traitement mis en œuvre dans le cadre des activités d’un établissement national du responsable de traitement est sans incidence sur le fait que le débiteur des obligations demeure le responsable de traitement et, le cas échéant, son sous-traitant.

51. La formation restreinte note que la société AMAZON ONLINE France SAS s’est présentée à la délégation de contrôle comme proposant des solutions de marketing digital à des entreprises clientes, elles-mêmes fournissant des produits et services vendus ou non sur le site amazon.fr auprès des entreprises souhaitant améliorer la visibilité de leurs produits sur le web. Dans ce cadre, elle est amenée à assurer, comme l’a indiqué la société AEC au cours du contrôle, la promotion et la commercialisation d’outils publicitaires ( Sponsored Ads et Amazon DSP ) qui sont contrôlés et exploités par la société Amazon Europe Core S.à.r.l., établie au Luxembourg . Or, ces produits élaborés par la société AEC fonctionnent notamment grâce aux données collectées par le biais des cookies déposés sur les terminaux des internautes. La formation restreinte constate ainsi que la société AMAZON ONLINE France SAS exerce une activité permettant d’assurer en France la promotion et la commercialisation des outils développés par la société AEC. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis et que le traitement est suffisamment territorialisé en France pour être soumis à la loi française. L’application de la loi française ne concerne que les opérations de lecture et d’écriture qui sont effectuées sur le territoire français (l’article 4 de la directive 95/46/CE précisait d’ailleurs que la loi de l’Etat membre ne s’appliquait qu’aux activités de l’établissement sur le territoire de l’Etat membre ), ce qui correspond aux données lues sur les terminaux en France ou écriture sur ces terminaux en France. La formation restreinte souligne enfin qu’il s’agit d’une position constante de sa part depuis l’intervention de la jurisprudence Google Spain en 2014 (cf. notamment la décision CNIL, formation restreinte, 27 avril 2017, SAN-2017-006 ; CNIL, formation restreinte, 19 décembre 2018, SAN-2018-011).

52. Il en résulte que la loi française est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, y compris celui de prendre une mesure de sanction concernant le traitement en cause qui relève du champ d’application de la directive ePrivacy . La compétence de la CNIL se limite à ces traitements effectués dans le cadre de l’activité d’AMAZON ONLINE France SAS sur le territoire français, à savoir les opérations de lecture et d’écriture exercés par le responsable de traitement sur les terminaux (ordinateurs, ordiphones, etc.) situés en France.

[…]

C. Sur la procédure

60. En défense, la société fait valoir que la procédure suivie par la CNIL a méconnu son droit à un procès équitable tel que garanti par l’article 6 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

61. En particulier, la société se plaint de ce qu’elle a répondu aux questions de la délégation de contrôle de la CNIL sans que cette dernière lui indique quels étaient l’objet et le fondement juridique des contrôles menés, de sorte que son droit de ne pas participer à sa propre incrimination aurait été violé. Elle explique également que la décision de la présidente de la CNIL portant désignation d’un rapporteur en date du 23 mars 2020, qui constitue un acte d’accusation, ne lui a été notifiée par courrier électronique que le 13 mai suivant, retardant d’autant la préparation de sa défense.

62. La société estime ensuite que la procédure suivie par la CNIL est entachée d’irrégularité dans la mesure où les agents de la CNIL ont effectué un contrôle en ligne le 19 mai 2020 sur la base de la décision de contrôle de la présidente de la CNIL du 29 novembre 2019 alors qu’un rapporteur avait déjà été désigné. Elle explique également que la méthodologie suivie par la délégation de la CNIL lors de ce contrôle, qui visait à reproduire le parcours d’un internaute se rendant sur le site Amazon.fr à partir d’une bannière publicitaire présente sur des sites tiers, ne permet aucunement de distinguer les cookies déposés par les sites tiers de ceux déposés sur le site Amazon.fr .

a. Sur le respect du droit à un procès équitable.

63. La formation restreinte rappelle que le droit de ne pas participer à sa propre incrimination et le droit de disposer du temps et des facilités nécessaires à la préparation de sa défense invoqués par la société sont des composantes du droit à un procès équitable contenus à l’article 6 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et qui doivent, conformément à la jurisprudence de la Cour européenne des droits de l’homme, être analysées à la lumière de leurs fonctions dans le contexte général de la procédure (voir entre autres, Mayzit c. Russie, 20 janvier 2005).

64. La formation restreinte relève, tout d’abord, qu’aux termes de l’article 18 de la loi Informatique et Libertés , les personnes interrogées dans le cadre des vérifications faites par la commission en application du g du 2° du I de l'article 8 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions. Ainsi, les personnes interrogées par la délégation de le CNIL sont tenues de répondre à ses demandes afin de lui apporter leur concours à la réalisation de ses missions.

65. La formation restreinte rappelle, ensuite, que lorsque la délégation de contrôle sollicite des informations, notamment des informations factuelles, de la part d’un organisme, aucune accusation n’est encore portée à son encontre, de sorte que la phase du contradictoire , telle qu’entendu par la jurisprudence de la Cour européenne des droits de l’homme, n’est pas encore entamée.

66. S’agissant de la notification à l’organisme de la décision de la présidente de désigner un rapporteur, la formation restreinte rappelle qu’en application de l’article 39 du décret du 19 mai 2019, cette désignation ne peut intervenir que dans la mesure où une sanction est susceptible d’être prononcée au titre du III de l’article 20 de la loi Informatique et Libertés .

67. Elle relève qu’en vertu de l’article 39 du décret du 19 mai 2019, il revient précisément au rapporteur de procéder à toutes les diligences utiles pour déterminer si des manquements peuvent, ou non, être reprochés à la personne physique ou morale en cause. C’est notamment pour cette raison que, conformément aux articles 8-2-g et 19 de la loi n° 78-17 du 6 janvier 1978 modifiée, le rapporteur dispose de la faculté de procéder ou de faire procéder à des investigations complémentaires avant de rédiger son rapport.

68. La formation restreinte souligne ainsi que la décision de désignation d’un rapporteur ne comporte aucun grief, de sorte que cette désignation n’a pas vocation, à ce stade, de permettre à la société de comprendre ce qui pourrait éventuellement lui être reproché. Elle rappelle que les griefs ne prennent forme qu’au travers du rapport de sanction, qui vaut notification des griefs, puisque c’est ce document qui contient le ou les manquements que le rapporteur estime être constitués. Les deux rapports du rapporteur indiquaient explicitement le fondement juridique du manquement retenu. La formation restreinte relève par ailleurs que la notification de cette décision à la personne physique ou morale concernée n’est encadrée par aucun délai par les textes applicables.

69. La formation restreinte note qu’en outre, la société n’est pas fondée à soutenir qu’elle n’a pas été mise en mesure de comprendre le périmètre des investigations de la CNIL. Elle relève en ce sens que les procès-verbaux de contrôle et leurs pièces jointes, communiquées à la société après réalisation des contrôles, établissaient clairement le périmètre de l’investigation menée par la CNIL. Elle relève que parmi les pièces jointes transmises à la société figuraient notamment des captures d’écran de la page d’accueil du site où figure le bandeau d’information sur les cookies, ainsi que des pages d’informations sur les cookies, mais aussi la liste des cookies dont l’inscription sur le terminal a été constatée. La formation restreinte note encore qu’à l’occasion de la notification du procès-verbal du contrôle du 6 mars 2020, il a d’ailleurs été demandé à la société d’ indiquer, pour chacun des 46 cookies précédemment mentionnés, leur finalité (par exemple : technique, publicitaire, bouton de partage de réseau social, mesure d’audience, etc.)

70. Enfin, la formation restreinte rappelle que l’article 40 du décret n° 2019-536 du 29 mai 2019 prévoit que la personne physique ou morale à laquelle est notifié un rapport proposant une sanction dispose d’un délai d’un mois pour transmettre ses observations en réponse. En l’espèce, ce délai a été respecté dans la mesure où la société a disposé d’un délai initial de huit semaines pour produire ses premières observations au rapport du rapporteur et que ce délai a été prolongé d’une semaine à sa demande. Dès lors, la formation restreinte considère que la société a été mise en mesure de préparer convenablement sa défense.

71. La société a ensuite disposé d’un délai de trois semaines pour répondre aux secondes observations du rapporteur et a enfin eu la possibilité de formuler des observations orales au cours de la séance de la formation restreinte du 12 novembre 2020.

72. Au regard de ces éléments, la formation restreinte estime que les droits de la défense de la société AEC ont été respectés.

b. Sur la régularité du contrôle en ligne du 19 mai 2020

73. La formation restreinte rappelle qu’en application des articles 8-2-g et 19 de la loi n° 78-17 du 6 janvier 1978 modifiée, le rapporteur dispose de la possibilité de demander aux agents de la CNIL de procéder à des vérifications. Elle souligne que dans le cas d’espèce, le rapporteur a souhaité que soit réalisé un contrôle en ligne retraçant deux parcours d’utilisateurs qui se rendent sur le site Amazon.fr après avoir cliqué sur un lien publicitaire présent sur des sites tiers.

74. La formation restreinte considère ensuite que le fait que le procès-verbal établi dans le cadre de ce contrôle porte la référence de la décision de contrôle n° 2019-224C du 29 novembre 2019 de la présidente de la CNIL est sans incidence sur la validité de celui-ci dans la mesure où la désignation d’un rapporteur par la présidente de la CNIL n’a pas en soi pour effet de clore la procédure de contrôle. En effet, le contrôle du 19 mai 2020 a été diligenté dans la continuité des contrôles précédant la désignation du rapporteur et donc dans le prolongement de la décision de la présidente.

75. La formation restreinte note que les cookies dont la présence a été constatée par la délégation lors de l’arrivée sur la page d’accueil du site Amazon.fr lors des deux premiers contrôles figurent également parmi ceux présents lors de l’arrivée sur une autre page du site dans le cas où l’utilisateur y accède via un site tiers. Ainsi, les autres cookies identifiés par la délégation sont ceux inscrits par les sites tiers en question et qui ne font donc pas partie du périmètre des investigations. Elle considère en conséquence que les constatations effectuées le 19 mai 2020, rapprochées de celles réalisées les 12 décembre 2019 et 6 mars 2020, font apparaître sans ambiguïté quels sont les cookies qui sont, d’une part, déposés par les sites tiers affichant une annonce publicitaire pour un produit Amazon et d’autre part, ceux déposés lors de l’arrivée de l’internaute sur le site Amazon.fr. après avoir cliqué sur ladite annonce.

76. Au regard de ces éléments, la formation restreinte considère que le contrôle en ligne du 19 mai 2020 n’est pas entaché d’irrégularité.

D. Sur les manquements aux dispositions de l’article 82 de la loi Informatiques et Libertés

77. Ainsi qu’il l’a été rappelé au point 20, l’article 82 de la loi informatique et libertés constitue la transposition en droit interne de l’article 5(3) de la directive ePrivacy .

78. Le rapporteur estime que les opérations de la société AEC en matière de dépôt et de lecture de cookies présentent deux séries de négligences graves relatives :

- au dépôt de cookies sur le terminal de l’utilisateur avant toute action de sa part et sans recueil de son consentement ;

- à l’information délivrée à l’utilisateur quant aux opérations d’accès ou d’inscription d’informations dans leur terminal.

79. Le rapporteur considère qu’en déposant des cookies sur le terminal des internautes situés en France se rendant sur le site Amazon.fr avant toute action de leur part, la société empêche nécessairement ces derniers d’exprimer valablement leur consentement. Il rappelle que la loi Informatique et Libertés prévoit expressément que les opérations d’accès ou d’inscription d’informations dans le terminal de l’utilisateur, sauf exceptions, ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.

80. Le rapporteur estime ensuite que les informations délivrées par la société sur la page d’accueil du site web Amazon.fr au moyen du bandeau d’information sont insuffisantes en ce que celui-ci ne constitue qu’une description générale et approximative des finalités de l’ensemble des cookies déposés et qu’il n’y est pas non plus fait état des moyens dont dispose l’internaute pour s’opposer au dépôt des cookies. Il ajoute que lorsque l’utilisateur se rend sur le site Amazon.fr non pas par le biais de la page d’accueil, mais à partir d’une annonce publiée sur un site tiers, des cookies sont déposés à l’arrivée de l’internaute sur le site Amazon.fr sans qu’une information soit délivrée

81. En défense, la société rappelle que ses pratiques en matière de cookies sont soumises au respect du droit luxembourgeois et non au droit français. Elle souligne qu’elle a lancé un vaste projet de refonte de sa politique d’utilisation des cookies dès 2019 et que ces changements sont effectifs sur le site Amazon.fr depuis le 2 septembre 2020. Elle fait valoir qu’en tout état de cause, ses pratiques en matière de cookies ont toujours étés conformes aux dispositions du droit luxembourgeois.

82. A cet égard, si la société ne conteste pas en soi le fait qu’avant les changements introduits en septembre 2020, des cookies étaient déposés sur le terminal de l’utilisateur dès son arrivée sur la page du site Amazon.fr, elle fait valoir que dans la mesure où le droit luxembourgeois prévoit que le consentement puisse être exprimé grâce au paramétrage du navigateur, elle a toujours recueilli valablement le consentement des utilisateurs.

83. S’agissant de l’information délivrée aux utilisateurs, la société estime que quand bien même la loi Informatique et Libertés serait applicable, l’information qu’elle fournissait était, en tout état de cause, conforme aux dispositions de l’article 82 de cette loi. Elle fait valoir qu’en cliquant sur le lien En savoir plus du bandeau d’information, l’utilisateur était redirigé vers une page d’information relative à sa politique en matière de cookies. Elle explique que dans le cas d’un utilisateur qui se rend sur le site Amazon.fr via une annonce publicitaire affichée sur un site tiers, la plupart de ces publicités comportent une icône AdChoices qui renvoie à une page où l’utilisateur peut prendre connaissance des informations sur sa politique de publicités ciblées.

84. La société indique en outre que la très grande majorité des internautes qui cliquent sur les publicités Amazon sont des clients qui ont déjà visité ou acheté sur le site et donc déjà reçu une information relative à sa politique en matière de cookies.

85. Elle précise encore que son dispositif d’information est complété par la présence en pied de page de liens renvoyant vers ses pages dédiées aux rubriques cookies et publicités ciblées.

86. Enfin, la société rappelle qu’il n’existe pas de doctrine commune à l’ensemble des régulateurs européens sur l’utilisation de cookies et qu’il est donc difficile pour les acteurs de savoir ce qui est attendu d’eux en la matière. Elle fait valoir, par le biais d’une étude comparative, que la grande majorité des sites web français ne respectent pas la législation en vigueur. La société pointe en outre le fait qu’au moment du déclenchement des investigations de la CNIL en novembre 2019, la recommandation relative aux cookies et aux autres traceurs adoptée le 5 décembre 2013 avait déjà été abrogée, ce qui contribuait au flou juridique sur les règles en matière de cookies.

87. Tout d’abord , s’agissant du recueil du consentement, la formation restreinte souligne qu’il ressort des constations effectuées par la délégation les 12 décembre 2019, 6 mars 2020 et 19 mai 2020 et des informations transmises par la société que quel que soit le parcours de l’utilisateur, que celui-ci se rende sur la page d’accueil du site Amazon.fr ou bien qu’il se rende sur une page produit du site via une annonce, plus de 40 cookies poursuivant une finalité publicitaire étaient déposés sur le terminal de l’utilisateur.

88. Les cookies dits publicitaires ne peuvent entrer dans le champ des exceptions définies à l’article 82 de la loi Informatique et Libertés dans la mesure où ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique et ne sont pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par conséquent, de tels cookies ne peuvent être déposés ou lus sur le terminal de la personne tant qu’elle n’a pas fourni son consentement.

89. La formation restreinte observe que le bandeau d’information, rédigé de la façon suivante : En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus , ne contenait aucune information précise s’agissant des moyens mis à disposition des utilisateurs pour exprimer leur choix quant à l’inscription de cookies. En tout état de cause, les cookies étaient déposés avant toute action de l’internaute, fût-ce une simple poursuite de la navigation, qui avait été admise comme modalité valable d’expression du consentement dans une délibération n° 2013-378 du 5 décembre 2013 de la CNIL (mais qui ne correspond plus à l’état du droit, éclairé par la délibération n° 2020-091 du 17 septembre 2020 de la CNIL).

90. La formation restreinte considère que la société aurait dû recueillir préalablement le consentement des utilisateurs, avant de procéder au dépôt de cookies poursuivant une finalité publicitaire sur le terminal de ces derniers. Elle relève qu’en tout état de cause, quand bien même le paramétrage du navigateur peut dans certains cas constituer un mécanisme valable du recueil du consentement, c’est à la condition que l’utilisateur ait été préalablement informé qu’il dispose de cette possibilité, ce qui n’est pas le cas en l’espèce.

91. Au demeurant, la formation restreinte rappelle que, comme indiqué précédemment, il revient à la société de respecter les dispositions de l’article 82 de la loi Informatique et Libertés dès lors que sont déposés des cookies sur des terminaux d’utilisateurs situés sur le territoire français à partir du site Amazon.fr.

92. Ensuite, la formation restreinte considère que l’information délivrée par la société s’agissant des opérations d’accès ou d’inscription de cookies est, selon les cas, soit incomplète, soit inexistante.

93. Elle rappelle que tant l’article 5-3 de la directive ePrivacy que l’article 82 de la loi Informatique et Libertés prévoient expressément que l’utilisateur doit être informé de manière complète des finalités poursuivies par les opérations de dépôt et de lecture des cookies et des moyens dont il dispose pour s’y opposer.

94. Or, la formation restreinte relève que le bandeau d’information susmentionné affiché en page d’accueil ne contenait qu’une description générale et approximative des finalités de l’ensemble cookies déposés. Sur ce point, elle considère que les termes offrir et améliorer nos services permettent uniquement d’informer l’utilisateur de ce que des cookies sont inscrits afin de permettre à la société d’assurer le bon fonctionnement de son activité et de la faire évoluer. Ainsi, à la lecture de ce bandeau, l’utilisateur n’est pas mis en mesure de comprendre le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement

95. En outre, le bandeau d’information ne fait pas non plus état des moyens dont dispose l’internaute pour refuser l’inscription de cookies.

96. La formation restreinte relève encore que la défaillance de la société en matière d’information des personnes est encore plus notoire lorsque l’utilisateur se rend sur le site Amazon.fr par le biais d’une annonce publiée sur un site tiers, par exemple après avoir cliqué sur un lien présent dans la liste de résultats dans un moteur de recherche ou bien sur une annonce présente sur un site tiers faisant la promotion d’un produit vendu sur le site Amazon.fr.

97. Il ressort en effet des constatations effectuées par la délégation de la CNIL que, dans cette hypothèse, des cookies ayant une finalité publicitaire étaient bien déposés sur les terminaux des utilisateurs situés sur le territoire français sans qu’une information soit délivrée à ces derniers. Or, les dispositions de l’article 82 de la loi Informatique et Libertés prévoient que Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimée, après avoir reçu cette information, son consentement (soulignement ajouté). La formation restreinte considère que ce cas de figure est particulièrement attentatoire aux droits des utilisateurs situés sur le territoire français dans la mesure où la société dépose des cookies sur leur terminal sans jamais les en avoir informés.

98. La formation restreinte considère que les observations présentées par la société en défense ne permettent pas de remettre en question l’existence de ce manquement.

99. Tout d’abord, la société ne saurait se retrancher derrière le fait que certaines publicités affichées sur des sites tiers contiennent une icône Adchoices sur laquelle les utilisateurs peuvent cliquer pour consulter une page les informant de sa politique en matière de cookies. En effet, au-delà du fait que ce dispositif ne concerne que les internautes venant d’un site tiers sur lequel est affichée une publicité avec une icône Adchoices , la formation restreinte considère qu’il ne peut être raisonnablement attendu de l’utilisateur auquel est présenté une publicité qu’il ait le réflexe de cliquer sur une icône de taille réduite avant de cliquer sur la publicité elle-même. Cette icône ne permet d’ailleurs pas aux personnes regardant la publicité de savoir qu’une information relative aux cookies est disponible à condition de cliquer dessus.

100. En tout état de cause, la formation restreinte observe que la page vers laquelle renvoie l’icône Adchoices permet simplement à l’utilisateur de cocher une case afin que ne soient plus affichées de la part d’Amazon de publicités basées sur ses centres d’intérêts. Cette page ne contient pas d’informations sur la finalité des actions tendant à inscrire des informations dans son terminal équipement et des moyens dont il dispose pour s'y opposer Enfin, aucune information n’est délivrée quant au droit dont dispose l’utilisateur de refuser les cookies mais simplement un lien vers la page Cookies du site. Un tel dispositif ne répond pas aux exigences de l’article 82 précité.

101. La formation restreinte rappelle, par ailleurs, que la CNIL a adopté plusieurs instruments juridiques de droit souple détaillant les obligations des responsables de traitement en matière de traceurs dont, notamment, une recommandation du 5 décembre 2013 ainsi que des lignes directrices du 4 juillet 2019, en vigueur à la date du contrôle en ligne. Bien que dépourvus de valeur impérative, ces instruments offrent un éclairage utile aux responsables de traitement, en les renseignant sur la mise en place de mesures concrètes permettant de garantir le respect des dispositions de la loi informatique et libertés relatives aux traceurs afin, soit qu’ils mettent en œuvre ces mesures, soit qu’ils mettent en œuvre des mesures d’effet équivalent.

102. A cet égard, à l’article 2 de sa recommandation de 2013, la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète . En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience .

103. De telles recommandations avaient été reprises dans les lignes directrices du 4 juillet 2019, dans des termes équivalents.

104. Ensuite, la formation restreinte considère que l’argument de la société selon lequel la grande majorité des personnes qui cliquent sur une publicité Amazon ont déjà visité ou acheté un produit sur le site Amazon.fr et qu’elles ont donc déjà reçu antérieurement une information sur l’inscription de cookies n’est pas opérant.

105. La formation restreinte relève en effet qu’avant de devenir clientes, ces personnes ont nécessairement dû se rendre une première fois sur le site, soit par l’intermédiaire de la page d’accueil, soit après avoir cliqué sur une bannière publicitaire Or, les constatations de la CNIL démontrent justement que lors de leur toute première visite sur le site, les internautes soit sont insuffisamment informés, soit ne sont jamais informés de l’inscription de cookies et que quel que soit le niveau d’information reçu, des cookies sont systématiquement inscrits sur leur terminal. Par ailleurs, la circonstance alléguée que les pratiques d’autres sites web ne seraient pas conformes aux exigences de l’article 82 est sans incidence sur les obligations de la société.

106. De même, la formation restreinte considère que les liens Cookies présents en pied de page et qui renvoient vers une page d’informations ne constituent pas une modalité d’information satisfaisante dès lors que, le dépôt de cookies avant toute action de l’utilisateur prive nécessairement l’information de son caractère préalable, contrairement à ce que prévoit les dispositions de l’article 82 de la loi Informatique et Libertés , selon lesquelles Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimée, après avoir reçu cette information, son consentement (soulignement ajouté).

107. Enfin, la formation restreinte rappelle que si les recommandations en matière de cookies ont évolué, les pratiques reprochées à la société ont continuellement été considérées comme non conformes par la CNIL et cela a été confirmé dans les lignes directrices du 4 juillet 2019 et que cette position demeure inchangée dans sa deuxième recommandation et dans sa dernière version des lignes directrices qui ne remettent en question cet état de fait.

108. La formation restreinte observe de surcroît que dans son communiqué de presse publié sur son site internet le 18 juillet 2019 prévoyant un moratoire avant l’application effective de sa deuxième recommandation relative aux cookies, la CNIL avait pris soin de préciser qu’elle continuerait à contrôler le respect des obligations n’ayant fait l’objet d’aucune modification en indiquant qu’ En particulier, les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs [… et] doivent fournir un dispositif de retrait du consentement facile d’accès et d’usage . Ainsi, la société ne peut valablement soutenir que les obligations dont la méconnaissance lui est reprochée dans la présente procédure n’étaient pas clairement identifiées.

109. La formation restreinte précise qu’au demeurant, le manquement reproché à la société n’est pas fondé sur la méconnaissance des lignes directrices ou des recommandations de la CNIL mais sur la méconnaissance des dispositions de l’article 82 de la loi Informatique et Libertés , lesquelles ne contiennent que des obligations qui figuraient déjà dans les versions antérieures ladite loi.

110. La formation restreinte, relève encore que sur la base de ces dispositions, elle a déjà adopté plusieurs décisions de sanction, concernant parfois des pratiques identiques, dont certaines ont d’ailleurs été rendues publiques (voir, en ce sens, délibération n°SAN-2016-204 du 7 juillet 2016 et délibération n°SAN-2017-006 du 27 avril 2017).

111. Au vu de ces éléments, la formation restreinte considère que le manquement aux dispositions de l’article 82 de la loi Informatique et Libertés est caractérisé en ce que la société dépose des cookies sur le terminal des utilisateurs situés sur le territoire français avant de recueillir leur consentement et sans leur fournir les informations prescrites par cet article, dans les conditions qu’il définit.

III. Sur le prononcé de mesures correctrices et la publicité

112. L’article 20 de la loi n° 78-17 du 6 janvier 1978 modifiée prévoit que : lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]

7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

113. L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi informatique et libertés , prévoit :

1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et

k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

A. Sur le prononcé d’une amende administrative

114. En défense, la société fait valoir que le montant de l’amende proposé par le rapporteur est disproportionné et que ce dernier n’a pas tenu compte de plusieurs critères prévus par l’article 83(2) du Règlement, notamment, le fait qu’un dispositif d’information des utilisateurs était en place, l’absence d’intentionnalité de commettre le manquement, les mesures prises pour atténuer le dommage ou encore l’absence de violations antérieures. Elle fait valoir qu’il n’est pas possible, pour déterminer le montant de l’amende, de prendre en compte les traitements effectués grâce aux cookies car ces éléments ne font pas partie du périmètre des investigations de la CNIL. Elle note enfin que l’amende proposée par le rapporteur est sans commune mesure avec les amendes prononcées par d’autres autorités en matière de cookies.

115. Au regard des éléments développés ci-dessus, la formation restreinte considère que les faits précités, constitutifs d’un manquement à l’article 82 de la loi Informatique et Libertés , justifient que soit prononcée une amende administrative à l’encontre de la société AEC, personne morale responsable du traitement. Elle rappelle que les changements apportés par la société au site Amazon.fr depuis septembre 2020 sont sans incidence sur le prononcé d’une amende dans la mesure où celle-ci vise à sanctionner les faits constatés au cours des contrôles.

116. La formation restreinte rappelle, à titre général, que l’article 20, paragraphe III, de la loi informatique et libertés lui donne compétence pour prononcer diverses sanctions, notamment une amende administrative dont le montant maximal peut être équivalant à 2 % du chiffre d'affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. Elle ajoute que la détermination du montant de cette amende s’apprécie au regard des critères précisés par l’article 83 du RGPD.

117. Dans le cas d’espèce, la formation restreinte considère que le manquement en cause justifie le prononcé d’une amende administrative à l’encontre de la société pour les motifs suivants.

118. Tout d’abord, la formation restreinte relève que le manquement commis est particulièrement grave dans la mesure où en inscrivant des cookies sur les terminaux des utilisateurs situés en France avant toute action leur part, sans leur fournir les informations nécessaires, la société les prive de la possibilité d’exercer leur choix conformément aux dispositions de l’article 82 précité.

119. La formation restreinte considère que la gravité du manquement est accentuée dans le cas des utilisateurs français qui accèdent au site Amazon.fr après avoir cliqué sur une annonce présente dans un moteur de recherche ou sur un site tiers. En effet, compte tenu de ce que le dépôt de cookies est effectué dans ce cadre en l’absence de toute information des personnes concernées, il s’effectue ainsi à leur insu.

120. La formation restreinte observe que la gravité du manquement doit également être appréciée au regard de la portée des opérations de lecture et d’écriture et du nombre de personnes concernées.

121. S’agissant de la portée des opérations de lecture et d’écriture, la formation restreinte relève que la visite d’un internaute sur le site Amazon.fr se traduit par le dépôt par une vingtaine de sociétés spécialisées dans la publicité personnalisée de cookies dont le but est de suivre sa navigation sur le web afin que lui soit affiché ultérieurement de la publicité correspondant à son comportement.

122. Elle considère qu’il convient de tenir compte de l’ampleur des traitements qui seront réalisés grâce au dépôt préalable de cookies sur les terminaux des utilisateurs résidant en France et de la nécessité impérieuse pour ces derniers de garder la maîtrise de leurs données. En ce sens, les utilisateurs doivent être mis en situation d’être suffisamment informés de la portée des traitements mis en œuvre.

123. S’agissant du nombre de personnes concernées, il ressort des informations fournies par la société qu’environ 300 millions d’identifiants AMAZON ont été attribués en France sur une période de neuf mois. La formation restreinte note que même si une seule personne est susceptible de correspondre à plusieurs identifiants différents en raison de l’utilisation de multiples terminaux et navigateurs, ce volume reflète la place centrale occupée par le site Amazon.fr dans le quotidien des personnes résidents en France. Les informations susceptibles d’être collectées pour un même identifiant au moyen de ces cookies publicitaires sont par ailleurs nombreuses, variées, parfois relatives à des aspects touchant à l’intimité des personnes, et il n’est pas impossible que certaines révèlent des informations correspondant à des données sensibles (opinions religieuses, politiques, état de santé,etc. régies par l’article 9 du RGPD.

124. Ensuite, la formation restreinte considère que la société AEC, qui a réalisé pour l’année 2019 un chiffre d’affaires mondial d’environ 7,7 milliards d’euros, a tiré du manquement commis un avantage financier certain. En effet, comme rappelé au point 121, le recours aux cookies permet à la société de présenter aux utilisateurs, lorsqu’ils naviguent sur d’autres sites, des publicités personnalisées faisant la promotion de ses produits. La formation restreinte note que si l’activité principale de la société réside dans la vente de biens de consommation, la personnalisation des annonces, rendue possible notamment par les cookies, permet justement d’augmenter considérablement la visibilité de ces biens et d’augmenter la probabilité qu’ils soient achetés. Or, en ne délivrant pas d’informations de manière claire et complète aux utilisateurs et en déposant les cookies avant que les personnes y consentent, la société élimine le risque que ces cookies soient refusés.

125. Il résulte de tout ce qui précède et des critères dont il a été dûment tenu compte par la formation restreinte, au vu du montant maximum encouru établi sur la base de 2% du chiffre d’affaires, qu’il est justifié de prononcer une amende administrative à hauteur de 35 millions d’euros.

B. Sur le prononcé d’une injonction assortie d’une astreinte

126. Le rapporteur propose, en complément de l’amende administrative, que soit prononcée une injonction assortie d’une astreinte de 100 000 euros en ce que la société n’informe pas les utilisateurs des finalités exactes de l’inscription de cookies et des moyens dont ils disposent pour s’y opposer.

127. En défense, la société fait valoir que cette injonction n’est pas justifiée dans la mesure où d’une part, elle a déjà fait évoluer ses pratiques et d’autre part, le montant proposé est disproportionné. Elle rappelle que plus aucun cookie n’est déposé avant que l’utilisateur n’ait exprimé son consentement. Elle relève en outre que le prononcé d’une injonction sur ce point risque de se heurter à la publication par la CNIL de ses nouvelles lignes directrices et recommandations en matière de cookies. Elle souligne qu’elle serait contrainte d’entreprendre deux séries de modifications, la première pour se conformer à l’injonction et la seconde pour appliquer les nouvelles recommandations de la CNIL.

128. La formation restreinte relève en effet que depuis la réception du rapport de sanction, la société a apporté des modifications sur le site Amazon.fr. Elle note tout d’abord que quel que soit le chemin par lequel l’utilisateur se rend sur le site, plus aucun cookie n’est déposé sur son terminal avant qu’il ait exprimé son consentement.

129. Elle relève ensuite que lors de l’arrivée sur le site, quel que soit le parcours suivi par l’utilisateur, le bandeau affiché contient le texte le suivant :

Choisir vos préférences en matière de cookies. Nous utilisons des cookies et des outils similaires pour faciliter vos achats, fournir nos services, pour comprendre comment les clients utilisent nos services afin de pouvoir apporter des améliorations, et pour présenter des annonces. Des tiers approuvés ont également recours à ces outils dans le cadre de notre affichage d’annonces Ce bandeau contient en outre deux boutons Accepter les cookies et Personnaliser les cookies .

130. La formation restreinte considère néanmoins que ce nouveau dispositif ne délivre toujours pas une information claire et complète telle que prévue par l’article 82 de la loi Informatique et Libertés .

131. La formation restreinte observe en effet que les informations fournies ne permettent toujours pas aux internautes de comprendre précisément certaines des finalités poursuivies par le dépôt de cookies, notamment les finalités publicitaires, alors que ces derniers sont utilisés en grande partie pour leur proposer des publicités personnalisées en fonction de leur comportement.

132. En conséquence, sans méconnaître les démarches de la société pour se mettre en conformité avec les dispositions de l’article 82 de la loi Informatique et Libertés , la formation restreinte considère qu’elle n’a pas démontré, au jour de la clôture de l’instruction, sa conformité avec les dispositions de l’article précité et qu’il convient donc de prononcer une injonction sur ce point.

133. S’agissant du montant de l’astreinte journalière, la formation restreinte rappelle qu’il s’agit d’une pénalité financière par jour de retard que devra payer le responsable de traitement en cas de non-respect de l’injonction à l’expiration du délai d’exécution prévu.

134. Aux fins de conserver à l’astreinte sa fonction comminatoire, son montant se doit d’être à la fois proportionné à la gravité du manquement reproché mais également adapté aux capacités financières du responsable de traitement. Il convient de prendre également en considération le fait que le manquement en cause participe indirectement aux bénéfices générés par le responsable de traitement. Compte tenu de ces éléments, la formation restreinte estime qu’une astreinte d’un montant de 100 000 euros par jour de retard à compter de la notification de la présente décision apparaît proportionnée.

135. S’agissant du délai octroyé à la société pour se conformer à l’injonction, la formation restreinte estime qu’un délai de trois mois à compter de la notification de la présente décision est suffisant pour régulariser la situation.

C Sur la publicité de la décision

[…]

137. La formation restreinte considère que compte tenu de ce qui a été exposé précédemment, il est justifié de prononcer une sanction complémentaire de publicité. Il est également tenu compte de la place prépondérante occupée par la société en matière de commerce en ligne, de la gravité des manquements et de l’intérêt que représente la présente décision pour l’information du public, dans la détermination de la durée de sa publication.

[…]

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société AMAZON EUROPE CORE, une amende administrative d’un montant de 35 (trente-cinq) millions d’euros ;

- prononcer une injonction de mettre en conformité le traitement, dans un délai de trois mois à compter de la notification de la présente décision, avec les dispositions de l’article 82 de la loi Informatique et Libertés , et en particulier :

- informer les personnes concernées au préalable et de manière claire et complète, par exemple au moyen d’un bandeau d’information apparaissant lors de la première arrivée de l’internaute sur le site Amazon.fr et cela quel que soit la première page accédée :

- des finalités précises de tous les cookies dont l’inscription est soumise au consentement

- ainsi que des moyens dont elles disposent pour les refuser ;

- assortir l’injonction d’une astreinte de 100 000 (cent mille) euros par jour de retard, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

- d’adresser cette décision à la société AMAZON ONLINE France SAS en vue de l’exécution de cette décision ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.

Retourner en haut de la page