Amazon condamné à une amende de 746 millions

Amazon est une nouvelle fois dans le collimateur de la justice pour sa gestion des données privées des internautes. Le géant américain a annoncé, vendredi 30 août, s’être vu infliger une amende de 746 millions d’euros au Luxembourg pour non-respect de la réglementation européenne sur les données privées.

La commission luxembourgeoise pour la protection des données (CNPD) « affirme que le traitement des données de la part d’Amazon n’a pas respecté la réglementation de l’Union européenne sur la protection des données », a rapporté Amazon dans un document boursier publié vendredi.

À l’origine de la condamnation record d’Amazon

“On a eu deux ans d’état d’urgence (sécuritaire), plus d’un an d’état d’urgence sanitaire… J’ai l’impression qu’il n’y a pas une semaine sans un nouveau fichier de police, de nouvelles atteintes aux libertés. On est dans un monde de fichage et de surveillance généralisée. Il y a dix fois plus de choses à attaquer” que ce qui fait l’objet de recours, estimait récemment l’avocat et membre de l’association Alexis Fitzjean Ó Cobhthaigh.

La procédure contre Amazon est issue de l’une des plaintes collectives lancées par la Quadrature du Net au lendemain de l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), en mai 2018, et qui visaient également Google, Apple, Facebook et Microsoft/LinkedIn.

Des manquements au RGPD

Le groupe américain est accusé d’avoir récolté et traité les données personnelles de ses utilisateurs en violation avec les règles du Règlement général sur la protection des données (RGPD), apprend-on d’un rapport financier du géant de Seattle valant pour le second trimestre de l’année 2021.

La sanction a été prononcée le 16 juillet dernier et prévoit également qu’Amazon révise ses méthodes pour entrer en conformité avec la réglementation européenne en vigueur.

Amazon fait déjà savoir qu’il estime que cette décision est « dénuée de fondement » et entend « se défendre vigoureusement » contre celle-ci, ce qui signifie sans doute qu’une procédure d’appel va être lancée.

Les GAFAM dans le viseur des pays de l’UE

La Commission européenne, mais aussi les organismes nationaux, a les multinationales du numérique dans le viseur ces dernières années. Alphabet (Google), Facebook, Apple, Microsoft et Amazon sont tous sous les radars, mais les GAFAM ne semblent pas prendre la menace au sérieux et récidivent souvent.

En France, la Commission nationale de l’informatique et des libertés (CNIL) a par exemple condamné Amazon fin 2020 à une amende de 35 millions d’euros pour non-respect du RGPD à l’égard de sa politique de cookies et de traceurs publicitaires. Pour des raisons similaires, Google avait écopé d’une amende de 100 millions d’euros.

Un regard critique sur la Cnil

Ces plaintes ont été déposées auprès de la Cnil, le régulateur français, mais en application du RGPD, elles sont instruites par les autorités de l’État membre de l’UE désigné comme pays de référence par l’entreprise concernée : le Luxembourg pour Amazon, et l’Irlande pour les quatre autres.

L’aboutissement de cette procédure concernant Amazon est une excellente surprise pour la Quadrature du Net, qui en mai dernier expliquait qu’elle n’avait “jamais eu signe de vie de l’autorité luxembourgeoise” sur ce dossier.

Les quatre autres procédures semblent pour l’instant perdues dans les limbes de la DPC, l’autorité de protection des données irlandaises, très critiquée pour sa passivité face aux géants américains qu’elle est censée réguler en Europe.

La Quadrature du Net n’a par ailleurs pas de mots assez durs pour la Cnil française, qu’elle accusait récemment d’avoir démissionné face aux “stratégies dilatoires” de ses collègues luxembourgeoises et irlandaises.

Le combat de la Quadrature rappelle celui de l’association autrichienne Noyb, dirigée par l’avocat autrichien Max Schrems.

Fort de la qualité de ses analyses juridiques, Max Schrems a réussi à deux reprises à faire annuler par la Cour de Justice de l’Union européenne les accords sur les échanges de données entre l’Europe et les États-Unis, du fait de l’insuffisante protection des données des Européens face à l’appareil sécuritaire américain.