Amazon s’est vu infliger une amende de 746 millions d’euros (1,1 milliard $CA) pour non-respect de la nouvelle réglementation européenne sur la protection des données privées des internautes (RGPD), la plus lourde sanction financière jamais infligée dans le cadre de ces règles.

À l’origine de cette condamnation, l’association de défense des libertés La Quadrature du Net avait déposé cinq plaintes auprès du gendarme français des données personnelles, la CNIL, contre Amazon, Apple, Google, Facebook et Microsoft fin mai 2018, après l’entrée en vigueur de cette réglementation sur la protection des données. Amazon ayant son siège au Luxembourg, la CNIL a transmis le dossier à son pendant luxembourgeois, le CNPD.

L’amende a été infligée à la mi-juillet, mais elle n’a été annoncée que vendredi par Amazon dans un document boursier.

La CNPD « affirme que le traitement des données de la part d’Amazon n’a pas respecté la réglementation de l’Union européenne sur la protection des données », a indiqué le géant de l’Internet dans le document.

Cette condamnation est « sans fondement », a affirmé Amazon, précisant dans un communiqué distinct qu’il comptait « faire appel ». « Il n’y a eu aucune fuite de données, et aucune donnée client n’a été exposée à un quelconque tiers », ajoute le groupe, qui a été condamné à la plus lourde amende jamais infligée par une autorité nationale pour violation du RGPD.

Le géant du Web avait déjà été condamné fin 2020 à 35 millions d’euros (52 millions $CA) d’amende par la CNIL pour non-respect de la législation sur les traceurs publicitaires (cookies). Google avait pour sa part reçu une amende de 100 millions d’euros (148 millions $CA), ainsi qu’une autre de 50 millions d’euros, cette dernière étant déjà liée au RGPD.

« Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle », a déclaré la Quadrature du Net dans un communiqué transmis à l’AFP. L’association rappelle que sa plainte visait « le système de ciblage publicitaire imposé par Amazon […] réalisé sans notre consentement libre ».

« En contraste, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google », dit par ailleurs l’association.

Il est régulièrement reproché aux GAFAM la façon dont ils utilisent les données personnelles de leurs utilisateurs. Bruxelles a tenté de mettre de l’ordre en imposant en 2018 son règlement général sur la protection des données, qui s’est imposé comme une référence mondiale.

Les entreprises doivent demander le consentement des citoyens lorsqu’elles réclament leurs données personnelles, les informer de l’usage qui en sera fait et leur permettre de supprimer les données. Les manquements peuvent être sanctionnés de lourdes amendes. Selon le nouveau règlement européen sur les services numériques, les plateformes ne pourront plus utiliser des données collectées à travers plusieurs services pour cibler un utilisateur contre son gré. Elles devront aussi fournir aux entreprises clientes l’accès aux données qu’elles génèrent.

Ali Bekhtaoui – Agence France-Presse à New York