Ce 16 juillet dernier une sanction record de 746 millions d’euros par la CNIL luxembourgeoise. Le géant du e-commerce conteste la décision de la Commission nationale pour la protection des données (CNPD).
La décision fait visiblement suite à la plainte collective initiée par la Quadrature du Net. « Il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers », s’est défendu Amazon dans les colonnes de Bloomberg.
De fait, la plainte initiale de LQDN n'était pas calibrée sur les questions de sécurité, une obligation née certes du RGPD. Elle reproche à Amazon « d'annoncer réaliser certains traitements de données personnelles concernant les personnes (…) sans toutefois fonder ces traitements sur l'une des bases légales exigées par la loi, rendant dès lors ceux-ci illicites ».
Sont pointés du doigt des traitements d’analyse comportementale et de ciblage publicitaire, basés non sur le consentement ou l’intérêt légitime, mais visiblement sur le contrat Amazon. « Or, se soumettre à cette analyse comportementale et à ce ciblage publicitaire n’est pas l’objectif que les utilisateurs d’Amazon poursuivent en utilisant ses services », dixit cette plainte initiale.
Problème de base légale
Sans base légale, ces traitements seraient donc illicites, expose le même document, qui réclamait outre l'interdiction de ces analyses comportementales et autres ciblages publicitaires, « une amende administrative qui, de par le caractère massif, durable et manifestement délibéré de la violation constatée, doit être la plus élevée possible ».
« En contraste, note aujourd'hui la Quadrature du Net, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google (relire nos critiques qui, sur ces cas, sont plus que jamais d’actualité) ».
Cette plainte serait l’un des fruits des multiples actions collectives lancées en 2018.
Une certitude. Cette sanction a été révélée devant la Securities and Exchange Commission où Amazon estime que « la décision de la CNPD est sans fondement » et entend « se défendre vigoureusement dans cette affaire ». Contactée par nos soins, la « CNIL » luxembourgeoise n’a pas souhaité révéler la décision, n’ayant pas voulu assortir la sanction d’une mesure de publicité.
Commentaires (31)
#1
Où comment avouer qu’on n’a rien compris au RGPD. C’est quand même étonnant que les juristes d’Amazon ne sache pas faire la différence entre être condamné pour une violation de données, et être condamné pour des traitements illicites de données…
Le montant de l’amende en tout cas, est pour une fois non négligeable et devrait enfin secouer un peu le cocotier de ces grands groupes qui s’assoient sur les différentes réglementations…
#2
746 Million ? c’est de l’argent de poche pour amazon, puis comme dab ca sera annulé après l’appel.
Rien de neuf sous le soleil quoi.
#2.1
Pas vraiment non. Le bénéfice net annuel mondial pour 2020, c’est 21,3 milliards de dollars. Donc 750 millions d’euros, juste pour l’Europe, c’est pas vraiment ce que l’on peut qualifier “d’argent de poche”.
#3
Ouep, mais ça peut imposer à Amazon de clarifier ses processus de ciblage, voire de demander le consentement “libre, spécifique, éclairée et univoque” aux clients Amazon…
Dans son écosystème Alexa/Cloud/e-commerce/Prime video-music-etc qui se gave en données, ça peut lui faire perdre beaucoup plus que 746 millions.
#4
“faut pas trop charger la barque”, d’où une amende que de 746 m. !
(pour pas ‘qu’Amazon’ ne se rebiffe)
#5
Sur la base de ces chiffres, ce serait 1⁄20 du bénéfice mondial d’une seule année, pour un crime qui rapporte copieusement depuis bien longtemps.
Rapporte cela à ton salaire annuel net, si tu veux te rendre compte. C’est bien une paille.
À partir du moment où les amendes coûtent moins que ce que rapporte le crime, s’étonner qu’ils persistent au sein d’entités dont la seule raison d’exister est pécuniaire m’inquiète.
#5.1
Une entreprise internationale qui se prend une amende au niveau européen représentant 1⁄20 de son bénéfice mondial et ce n’est rien ? Sachant qu’avant le RGPD, en France, le montant maximum aurait été de… 300 000 € !
Sachant que cette amende vient en plus d’amendes déjà établies (j’ai en tête une amende de 35 millions d’€ par la CNIL au sujet des cookies pour l’année 2020, et cela ne concernait que la France).
Alors oui, une amende seule n’est peut être pas grand chose pour un groupe de cette taille. Mais cumule toutes les amendes de plusieurs millions sur tout le globe, et tu constateras qu’il ne s’agit plus d’argent de poche.
Sachant qu’il y a potentiellement d’autres procédures comme abus de position dominant, violations présumées des règles de la concurrence (et encore, uniquement pour l’Europe). Il existe des procédures dans d’autres pays. Une rapide recherche montre par exemple un problème de pourboire aux états-unis pour les livreurs.
La pression monte en Europe, aux Etats-Unis, et très certainement dans d’autres pays. Donc qualifier cette amende de broutille n’a pas vraiment de sens.
#5.2
Notons au passage, que le CA annuel d’Amazon est de 386 milliards de dollars.
J’irai pas jusqu’à dire que cette amende, c’est de l’argent de poche, mais c’est pas extraordinaire non plus.
A priori, non, c’est une loi luxembourgeoise qui interdit de divulguer, pour respecter le secret des affaires.
Cf https://twitter.com/reesmarc/status/1421103079676686339
#5.3
C’est bien pour cela que je raisonne sur le bénéfice et non sur le CA ;)
Le CA n’indique rien quant à la santé de l’entreprise. On peut avoir un gros CA et perdre de l’argent.
#5.4
Le secret des affaires est bien protégé au Luxembourg :-/
Ce n’est pas grâce à lui que l’État Luxembourgeois expliquait aux groupes internationaux comment lui payer moins d’impôt ??
#5.5
..et, légal (c’est ça le pire) !
https://www.lemonde.fr/les-decodeurs/article/2021/02/09/openlux-a-quoi-sert-une-societe-luxembourgeoise_6069261_4355770.html
#6
Effectivement, cela fait plusieurs fois que Google est condamnée par l’Europe à des millions d’€ d’amendes. En a-t-elle jamais payé un seul centime vu que toutes ces condamnations font l’objet de recours de la sa part ? Même chose ici, Amazon paiera-t-elle un centime un jour ?
#7
Étonnant que la sanction ne soit au moins public. Amazon aurait négocier avec le Luxembourg sur ce point??
#8
Que les Etats européens annoncent clairement la couleur: ils veulent de l’argent pour compenser les impôts injustement non-récoltés, plutôt que de trouver des prétextes fallacieux dont les GAFAM peuvent éviter les condamnations.
Mais demander au Luxembourg, à la Hollande et à l’Irlande de mettre fin à l’optimisation fiscale pour toutes les sociétés qui font du business en Europe (pas que les GAFAM), c’est bien plus compliqué, mais ça serait bien plus juste.
#9
Je ne sais pas quelles sont leurs intentions, mais c’est possible que leurs communicants cherchent juste à noyer le poisson, à entretenir la confusion auprès du public.
#10
D”autant que la CNPD ne s’était pas jusqu’à présent beaucoup manifestée (ça doit être le temps de transport en heure de pointe entre Esch-Belval et le Kirchberg) alors que son poids est tout aussi intéressant que le DPA irlandais qui sommeille
#11
c’est, aussi, mon avis !
#12
Comme évoqué précédemment, je persiste à inviter ceux qui semblent perturbés par les sommes inhumaines (millions/milliards) en jeu à se reporter sur quelque chose qu’ils maitrisent mieux : leur propre salaire annuel.
Considérez donc que depuis de nombreuses années vous ne deviez toucher que ce salaire annuel net abaissé : c’est votre salaire “normal”.
Vous remarquerez alors que l’amende est bien plus faible que la somme que le crime a généré.
Vous avez donc 2 conclusions à votre disposition :
Vous remarquerez aussi, si vous être d’une bonne foi, que retirer 1⁄20 du salaire de quelqu’un touchant le SMIC est autrement plus violent que retirer 1⁄20 des revenus d’une entreprise générant des milliards.
La nécessité respective des sommes considérées n’est pas la même.
En note annexe, n’oubliez pas non plus que les entreprise effectuent des provisions pour risque, qui sont déduites du bénéfice : Amazon en a certainement, ce qui fait qu’au moins une partie de l’amende n’impactera aucunement son bénéfice.
#13
Pquoi faut prendre le net? Amazon paye tous ses impôts maintenant?
#14
Je serai curieux de voir un jour la méthode de calcul de cette amende.
Il y a 622 108 habitants aux Luxembourg donc en admettant qu’ils soient tous individuellement client d’Amazon… ça fait environ 1200 € par personne
#14.1
Pour le RGPD, la “CNIL” compétente est celle où est établi la société en Europe. Pour Amazon, c’est le Luxembourg, pour d’autres, c’est l’Irlande.
Donc, comparer le montant de l’amende à la population du pays n’a aucun sens.
#14.2
Peut-être cela :
4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu
#14.3
Aucun rapport, être dans la limite du plafond n’empêche de devoir justifier le montant.
Merci je comprend mieux la motivation du Luxembourgs qui d’habitude est si pro Gafa…
En fait ils vont faire trainer comme ça pendant ce temps là Amazon n’est attaqué nulle part ailleurs sur ce sujet et à la fin ça foire sur un vice de procédure
#14.4
Désolé Rien compris . Quel plafond ? quelle limite ?
Je ne faisais que citer l’article 83
Mais bon pas grave
#15
L’analogie est malheureusement foireuse car souffre d’au moins 3 biais importants :
Porté sur votre analogie, cela signifie qu’un travail qui m’a pris 1h dans le mois et touchant 30% de mes clients va m’imputer 5% de mon bénéfice mensuel. Mais vous avez raison, c’est une paille.
Ajoutons également qu’en 2020, Amazon affichait une perte en Europe (montage financier + investissement).
Non, car vous confondez revenu (ie. le CA) du reste à vivre (le bénéfice). Amazon en Europe est déficitaire (autrement dit, les dépenses sont supérieures aux recettes). Heureusement qu’il y a papa/maman (Amazon, la maison mère) pour colmater la fuite.
Là, le gamin a fait une bêtise, donc on l’ampute du 20e du reste à vivre de ses parents, 2 cadres touchant 5000€ / mois chacun.
Absolument pas. Comme je le disais plus haut, votre hypothèse de départ est erronée : le CA d’Amazon est en grande partie issue de la market place, et non du traitement des données.
Donc la décision est amplement dissuasive !
Sauf qu’une provision sur risque c’est quand il y a un litige avéré et non une éventualité de litige. Avant la condamnation, ce n’était qu’une éventualité.
#16
Pourquoi l’emploi de ces pincettes conditionnelles ? Ca a été jugé, et si c’est une mauvaise décision, il y a un appel.
#16.1
Nous n’avons le détail de la condamnation, juste l’amende finale.
La CNIL Luxembourgeoise refuse de la communiquer s’abritant derrière le secret des affaires.
#17
Non, ça c’est les rescrits puis les lettres de demande d’information…
#18
un voyage en moins dans l’espace l’année prochaine pour jeff au “pire”
#19
Bonjour,
Est-ce que quelqu’un pourrait m’expliquer à qui reviendrait l’argent de l’amende dans l’hypothèse où Amazon payerait celle-ci ( ce qui n’arrivera sans doute jamais) ?
#20
Les amendes vont dans les caisses de l’état