POLITIQUE & INSTITUTIONS — Justice

349 millions d’euros

Amazon visé par une amende «luxembourgeoise»



Le géant américain de l’e-commerce pourrait être sanctionné par la CNPD pour violation du RGPD, une décision qui intervient alors que le régulateur est critiqué en France et en Allemagne. (Photo: Shutterstock)

Le géant américain de l’e-commerce pourrait être sanctionné par la CNPD pour violation du RGPD, une décision qui intervient alors que le régulateur est critiqué en France et en Allemagne. (Photo: Shutterstock)

Selon le Wall Street Journal, Amazon risquerait une amende européenne de 349 millions d’euros pour violation du RGPD via la Commission nationale pour la protection des données. Une nouvelle étape, mais pas une surprise.

Le Wall Street Journal a révélé, jeudi en fin d’après-midi, que la CNPD faisait circuler une première version d’un projet de sanction contre Amazon pour violation du Règlement européen sur la protection des données (RGPD): le montant de l’amende proposé par le régulateur luxembourgeois serait de 349 millions d’euros. Selon le RGPD, l’amende peut aller jusqu’à 4% du chiffre d’affaires mondial de la société concernée, ce qui, pour Amazon, en 2020, donnerait 6,64 milliards d’euros au maximum. Le montant, 20 fois inférieur, témoigne simplement du doigté de la CNPD dans l’affaire, dont les motivations précises ne sont pas connues.

Il y a trois ans que le RGPD est entré en vigueur dans l’Union européenne. Il y a exactement trois ans que les associations qui œuvrent pour la protection de nos données ont directement saisi les autorités. L’idée qu’Amazon – comme les autres géants américains – ne prend pas suffisamment en compte les exigences européennes n’est pas neuve.

Dès le jour de son entrée en vigueur du RGPD, le 25 mai 2018, Noyb, l’ONG de l’activiste autrichien Max Schrems, avait déposé quatre plaintes, un peu partout en Europe, contre Android, Instagram, Whatsapp et Facebook. Trois jours plus tard, l’ONG française La Quadrature du Net avait envoyé cinq plaintes à l’autorité française, la CNIL, contre Facebook, Google, Amazon, Linkedin et Apple, à partir d’une récolte de 12.000 plaintes individuelles en France. Et, début mars, Noyb a déposé une nouvelle plainte, dans le Land de Hesse, contre Amazon , au motif que les e-mails des utilisateurs n’étaient même pas chiffrés.

Une règle générale et des chemins de traverse

Dans le mécanisme imaginé par l’UE, il y a plusieurs choses à comprendre. En cas de saisine d’un régulateur européen, la plainte est transmise à l’autorité nationale du pays dans lequel la société a son siège – au moins son siège européen (l’Irlande pour Facebook, Google, Linkedin et Apple, le Luxembourg pour Amazon) – et c’est à cette autorité de mener l’enquête – d’un dialogue d’avocats et d’experts jusqu’à une décision. Ensuite, les traités européens ont prévu un autre mécanisme qui permet à un régulateur non concerné d’agir quand même si l’autorité responsable n’agit pas. Enfin, les États membres peuvent s’appuyer sur la directive ePrivacy – très importante pour le consentement sur les cookies – pour agir sans avoir à passer par un régulateur-chef de file.

La plainte de La Quadrature du Net contre Amazon , en France et au Luxembourg, s’appuie uniquement sur le RGPD… mais elle a été en partie entendue en décembre dernier par la CNIL , qui a choisi de s’appuyer sur ePrivacy, née en 2002 – bien avant le RGPD – et transposée en droit français, pour condamner deux filiales françaises du géant américain à une amende de 35 millions d’euros.

Contacté mi-mai, dans un autre contexte que celui de la plainte d’Amazon, le commissaire de la CNPD, Christophe Buschmann, expliquait que «contrairement au RGPD, ePrivacy est une directive qui est transposée avec de légères nuances d’un État membre à l’autre. C’est la raison pour laquelle il faudra être prudent lorsqu’on essaie de comparer les ‘positions’ entre autorités sur le sujet», même si les autorités essaient toujours d’harmoniser leurs positions. «Je ne constate pas de différence de fond entre la position de la CNPD et celle de la CNIL», indiquait-il.

La CNPD ne se laisse pas mettre sous pression

Le temps pris par la CNPD pour «traiter» les plaintes a régulièrement été dénoncé, par les ONG elles-mêmes et par des politiques européens, certains allant même jusqu’à souhaiter que la compétence de la CNPD soit retirée dans le cas d’Amazon puisque les décisions qui concernent la protection des données sont prises à Seattle.

Le sujet agace gentiment le Premier ministre, Xavier Bettel (DP), et le ministre des Finances, Pierre Gramegna (DP), qui essaient de décoller l’image de «paradis fiscal» de la chaussure du Luxembourg depuis leur arrivée au pouvoir. Or, de nombreux articles relient la clémence supposée du régulateur à une volonté luxembourgeoise de ne pas se fâcher avec les géants de la tech.

La réalité apparaît assez différente lorsque l’on se penche sérieusement sur les 18 premières décisions publiées cette semaine par la CNPD. Elles font apparaître de nombreux échanges avec les sociétés qui font l’objet d’une plainte ou d’une enquête d’initiative de la CNPD, avant qu’une décision soit prise. Dans le cadre des géants américains, on le sait, tout passe par des avocats et se joue au mot près, ce qui prend du temps.

À l’heure où les géants perdent le contrôle sur les données de leurs utilisateurs –  comme Facebook, par exemple, avec les données de 188.000 comptes, dont celui du Premier ministre  –, la CNPD peut-elle se permettre de rester sur le mode de fonctionnement qu’elle a choisi? La question reste en suspens. Mais, interrogé récemment par Politico, M. Bettel avait annoncé lui-même que, à sa connaissance, deux sanctions avaient été prises par la CNPD, avant même qu’elle ne les rende publiques.

En France, par exemple, la CNIL fait l’objet des mêmes critiques, exactement: le 28 mai, trois ans après avoir déposé ses plaintes, La Quadrature du Net a accusé le régulateur de «manœuvres dilatoires manifestes» , jugeant qu’il «est inadmissible que la Data Protection Commission (l’autorité irlandaise, ndlr) ait permis à Apple de prendre deux ans pour vérifier un simple identifiant. Si nous lui donnons un nouvel identifiant, nous n’avons aucune raison de penser que celui-ci ne sera pas vérifié dans 2 ans, lui aussi. La CNIL cautionne-t-elle cette façon de faire de la part de la DPC et d’Apple? Ou a-t-elle entamé des démarches pour contraindre la DPC à faire cesser ces manœuvres dilatoires?»

La CNIL n’a pas hésité à répondre – très collégialement… – qu’elle avait régulièrement relancé les deux autorités responsables, celles de l’Irlande et du Luxembourg, sans avoir de réponse satisfaisante.

La CNPD se retrouve dans l’inconfortable position de devoir agir, sans se mettre dans l’urgence, sous peine de risquer de voir son indépendance et sa crédibilité ruinées. Un sujet soulevé par la mère du RGPD, Viviane Reding , redevenue députée CSV au Luxembourg et qui s’inquiétait récemment des risques de ne pas publier de décisions pour l’image de la CNPD et du pays.

Sans vouloir défendre la CNPD, celui-ci est d’abord lentement monté en puissance – sans avoir le staff nécessaire au volume de travail qui est attendu, ce que le Premier ministre réfute régulièrement –, a déménagé, a attendu que se mettent en place les mécanismes de coopération européenne et a pris des options comme la décision de mener ses propres enquêtes d’initiatives en plus des réponses aux plaintes qui arrivaient jusqu’à lui.

Ni Amazon ni le régulateur luxembourgeois n’ont commenté les révélations du Wall Street Journal.