L’autorité française de protection des données CNIL a été très active ces dernières semaines et a prononcé diverses sanctions pour mauvaise description des cookies et traitement de données sur les sites Web de grandes entreprises. Voici un bref aperçu.

Google – 100 millions d’euros d’amende
Début décembre 2020, la plus grande sanction à ce jour a été infligée pour « violations de cookies » – ici contre Google. Au total, la CNIL a infligé une amende de 100 millions d’euros – 60 millions à Google LLC et 40 millions à Google Ireland Ltd. Dans les deux cas, le problème est que les visiteurs du moteur de recherche google.fr n’ont pas été suffisamment informés des cookies publicitaires par un bandeau créé par Google.
La particularité de cette affaire est que, selon le RGPD, l’autorité irlandaise de protection des données DPC serait en fait responsable. Afin de pouvoir encore infliger la sanction, la CNIL s’appuie donc sur la directive ePrivacy et non sur le RGPD.
Explications de la CNIL sur les sanctions de Google (en anglais).
Amazon – 35 millions d’euros d’amende
Outre l’amende susmentionnée contre Google, l’amende contre Amazon pour violation de la protection des données a également été annoncée en France : 35 millions d’euros. Dans ce cas également, le problème est que des cookies publicitaires ont été installés sans le consentement des visiteurs (ici sur amazon.fr). Ici aussi, ePrivacy a été utilisé et non le RGPD comme base.
Explications de la CNIL France sur les pénalités Amazon (anglais).
Carrefour – 3 millions d’euros d’amende
Une bonne semaine avant Google et Amazon, la CNIL a infligé une amende d’environ 3 millions d’euros à Carrefour (l’une des plus grandes boutiques en ligne de France) fin novembre. L’amende passe à 2,25 millions pour Carrefour et 800 000 euros supplémentaires à Carrefour Banque. Dans les deux cas, il s’agit également de cookies mal définis et de consentement manquant.
Plus d’informations auprès de la CNIL .