Connexion
Abonnez-vous

RGPD : 746 millions d’euros d’amende pour Amazon au Luxembourg

Le RGPD Prime

RGPD : 746 millions d’euros d’amende pour Amazon au Luxembourg

Le 30 juillet 2021 à 14h23

Ce 16 juillet dernier une sanction record de 746 millions d’euros par la CNIL luxembourgeoise. Le géant du e-commerce conteste la décision de la Commission nationale pour la protection des données (CNPD).

La décision fait visiblement suite à la plainte collective initiée par la Quadrature du Net. « Il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers », s’est défendu Amazon dans les colonnes de Bloomberg.

De fait, la plainte initiale de LQDN n'était pas calibrée sur les questions de sécurité, une obligation née certes du RGPD. Elle reproche à Amazon « d'annoncer réaliser certains traitements de données personnelles concernant les personnes (…) sans toutefois fonder ces traitements sur l'une des bases légales exigées par la loi, rendant dès lors ceux-ci illicites ».

Sont pointés du doigt des traitements d’analyse comportementale et de ciblage publicitaire, basés non sur le consentement ou l’intérêt légitime, mais visiblement sur le contrat Amazon. « Or, se soumettre à cette analyse comportementale et à ce ciblage publicitaire n’est pas l’objectif que les utilisateurs d’Amazon poursuivent en utilisant ses services », dixit cette plainte initiale.

Problème de base légale

Sans base légale, ces traitements seraient donc illicites, expose le même document, qui réclamait outre l'interdiction de ces analyses comportementales et autres ciblages publicitaires, « une amende administrative qui, de par le caractère massif, durable et manifestement délibéré de la violation constatée, doit être la plus élevée possible ». 

« En contraste, note aujourd'hui la Quadrature du Net, cette sanction historique rend encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google (relire nos critiques qui, sur ces cas, sont plus que jamais d’actualité) ».

Cette plainte serait l’un des fruits des multiples actions collectives lancées en 2018

Une certitude. Cette sanction a été révélée devant la Securities and Exchange Commission où Amazon estime que « la décision de la CNPD est sans fondement » et entend « se défendre vigoureusement dans cette affaire ». Contactée par nos soins, la « CNIL » luxembourgeoise n’a pas souhaité révéler la décision, n’ayant pas voulu assortir la sanction d’une mesure de publicité.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La décision fait visiblement suite à la plainte collective initiée par la Quadrature du Net. « Il n’y a aucune fuite de données, aucune donnée client n’a été exposée à des tiers », s’est défendu Amazon dans les colonnes de Bloomberg.


Où comment avouer qu’on n’a rien compris au RGPD. C’est quand même étonnant que les juristes d’Amazon ne sache pas faire la différence entre être condamné pour une violation de données, et être condamné pour des traitements illicites de données…



Le montant de l’amende en tout cas, est pour une fois non négligeable et devrait enfin secouer un peu le cocotier de ces grands groupes qui s’assoient sur les différentes réglementations…

votre avatar

fdorin a dit:


Où comment avouer qu’on n’a rien compris au RGPD. C’est quand même étonnant que les juristes d’Amazon ne sache pas faire la différence entre être condamné pour une violation de données, et être condamné pour des traitements illicites de données…



Le montant de l’amende en tout cas, est pour une fois non négligeable et devrait enfin secouer un peu le cocotier de ces grands groupes qui s’assoient sur les différentes réglementations…


746 Million ? c’est de l’argent de poche pour amazon, puis comme dab ca sera annulé après l’appel.
Rien de neuf sous le soleil quoi.

votre avatar

Pas vraiment non. Le bénéfice net annuel mondial pour 2020, c’est 21,3 milliards de dollars. Donc 750 millions d’euros, juste pour l’Europe, c’est pas vraiment ce que l’on peut qualifier “d’argent de poche”.

votre avatar

Macqael a dit:


746 Million ? c’est de l’argent de poche pour amazon, puis comme dab ca sera annulé après l’appel. Rien de neuf sous le soleil quoi.


Ouep, mais ça peut imposer à Amazon de clarifier ses processus de ciblage, voire de demander le consentement “libre, spécifique, éclairée et univoque” aux clients Amazon…



Dans son écosystème Alexa/Cloud/e-commerce/Prime video-music-etc qui se gave en données, ça peut lui faire perdre beaucoup plus que 746 millions.

votre avatar

“faut pas trop charger la barque”, d’où une amende que de 746 m. !



(pour pas ‘qu’Amazon’ ne se rebiffe)

votre avatar

fdorin a dit:


Pas vraiment non. Le bénéfice net annuel mondial pour 2020, c’est 21,3 milliards de dollars. Donc 750 millions d’euros, juste pour l’Europe, c’est pas vraiment ce que l’on peut qualifier “d’argent de poche”.


Sur la base de ces chiffres, ce serait 120 du bénéfice mondial d’une seule année, pour un crime qui rapporte copieusement depuis bien longtemps.
Rapporte cela à ton salaire annuel net, si tu veux te rendre compte. C’est bien une paille.



À partir du moment où les amendes coûtent moins que ce que rapporte le crime, s’étonner qu’ils persistent au sein d’entités dont la seule raison d’exister est pécuniaire m’inquiète.

votre avatar

Une entreprise internationale qui se prend une amende au niveau européen représentant 120 de son bénéfice mondial et ce n’est rien ? Sachant qu’avant le RGPD, en France, le montant maximum aurait été de… 300 000 € !



Sachant que cette amende vient en plus d’amendes déjà établies (j’ai en tête une amende de 35 millions d’€ par la CNIL au sujet des cookies pour l’année 2020, et cela ne concernait que la France).



Alors oui, une amende seule n’est peut être pas grand chose pour un groupe de cette taille. Mais cumule toutes les amendes de plusieurs millions sur tout le globe, et tu constateras qu’il ne s’agit plus d’argent de poche.



Sachant qu’il y a potentiellement d’autres procédures comme abus de position dominant, violations présumées des règles de la concurrence (et encore, uniquement pour l’Europe). Il existe des procédures dans d’autres pays. Une rapide recherche montre par exemple un problème de pourboire aux états-unis pour les livreurs.



La pression monte en Europe, aux Etats-Unis, et très certainement dans d’autres pays. Donc qualifier cette amende de broutille n’a pas vraiment de sens.

votre avatar

Notons au passage, que le CA annuel d’Amazon est de 386 milliards de dollars.

J’irai pas jusqu’à dire que cette amende, c’est de l’argent de poche, mais c’est pas extraordinaire non plus.



A priori, non, c’est une loi luxembourgeoise qui interdit de divulguer, pour respecter le secret des affaires.

Cf twitter.com Twitter

votre avatar

C’est bien pour cela que je raisonne sur le bénéfice et non sur le CA ;)



Le CA n’indique rien quant à la santé de l’entreprise. On peut avoir un gros CA et perdre de l’argent.

votre avatar

Le secret des affaires est bien protégé au Luxembourg :-/



Ce n’est pas grâce à lui que l’État Luxembourgeois expliquait aux groupes internationaux comment lui payer moins d’impôt ??

votre avatar

..et, légal (c’est ça le pire) !
lemonde.fr Le Monde

votre avatar

Macqael a dit:


puis comme dab ca sera annulé après l’appel. Rien de neuf sous le soleil quoi.


Effectivement, cela fait plusieurs fois que Google est condamnée par l’Europe à des millions d’€ d’amendes. En a-t-elle jamais payé un seul centime vu que toutes ces condamnations font l’objet de recours de la sa part ? Même chose ici, Amazon paiera-t-elle un centime un jour ?

votre avatar

Étonnant que la sanction ne soit au moins public. Amazon aurait négocier avec le Luxembourg sur ce point??

votre avatar

Que les Etats européens annoncent clairement la couleur: ils veulent de l’argent pour compenser les impôts injustement non-récoltés, plutôt que de trouver des prétextes fallacieux dont les GAFAM peuvent éviter les condamnations.
Mais demander au Luxembourg, à la Hollande et à l’Irlande de mettre fin à l’optimisation fiscale pour toutes les sociétés qui font du business en Europe (pas que les GAFAM), c’est bien plus compliqué, mais ça serait bien plus juste.

votre avatar

fdorin a dit:


Où comment avouer qu’on n’a rien compris au RGPD. C’est quand même étonnant que les juristes d’Amazon ne sache pas faire la différence entre être condamné pour une violation de données, et être condamné pour des traitements illicites de données…


Je ne sais pas quelles sont leurs intentions, mais c’est possible que leurs communicants cherchent juste à noyer le poisson, à entretenir la confusion auprès du public.

votre avatar

fdorin a dit:


Une entreprise internationale qui se prend une amende au niveau européen représentant 120 de son bénéfice mondial et ce n’est rien ? Sachant qu’avant le RGPD, en France, le montant maximum aurait été de… 300 000 € !



Alors oui, une amende seule n’est peut être pas grand chose pour un groupe de cette taille. Mais cumule toutes les amendes de plusieurs millions sur tout le globe, et tu constateras qu’il ne s’agit plus d’argent de poche.



La pression monte en Europe, aux Etats-Unis, et très certainement dans d’autres pays. Donc qualifier cette amende de broutille n’a pas vraiment de sens.


D”autant que la CNPD ne s’était pas jusqu’à présent beaucoup manifestée (ça doit être le temps de transport en heure de pointe entre Esch-Belval et le Kirchberg) alors que son poids est tout aussi intéressant que le DPA irlandais qui sommeille

votre avatar

Fabimaru a dit:


Je ne sais pas quelles sont leurs intentions, mais c’est possible que leurs communicants
cherchent juste à noyer le poisson, à entretenir la confusion auprès du public.


c’est, aussi, mon avis ! :zarb:

votre avatar

fdorin a dit:


Une entreprise […] qui se prend une amende […] représentant 120 de son [bénéfice] et ce n’est rien ?


Comme évoqué précédemment, je persiste à inviter ceux qui semblent perturbés par les sommes inhumaines (millions/milliards) en jeu à se reporter sur quelque chose qu’ils maitrisent mieux : leur propre salaire annuel.




  1. Prenez votre salaire net annuel, divisez-le par 20.

  2. Considérez maintenant que votre salaire net annuel devrait en fait être plus faible (de combien ? tout dépend à combien vous supposez la valorisation pécuniaire que les entreprises collectant massivement des données personnelles en tirent).
    Considérez donc que depuis de nombreuses années vous ne deviez toucher que ce salaire annuel net abaissé : c’est votre salaire “normal”.

  3. Rapportez 120 de votre salaire annuel “gonflé” sur plusieurs années du-dit salaire, et remarquez que c’est une paille

  4. Exercice supplémentaire encore plus intéressant : ramenez l’amende de 120 de votre salaire annuel “gonflé” au surplus de salaire annuel que vous avez indûment touché en monétisant les données personnelles indûment collectées.
    Vous remarquerez alors que l’amende est bien plus faible que la somme que le crime a généré.



Vous avez donc 2 conclusions à votre disposition :




  1. 120 d’un revenu annuel, au vu des sommes en jeu, est une paille.
    Vous remarquerez aussi, si vous être d’une bonne foi, que retirer 120 du salaire de quelqu’un touchant le SMIC est autrement plus violent que retirer 120 des revenus d’une entreprise générant des milliards.
    La nécessité respective des sommes considérées n’est pas la même.

  2. L’amende est plus faible que le profit tiré du crime. En d’autres termes, la sanction n’est pas assez élevée pour dissuader du-dit crime : une entité ne raisonnant qu’en termes pécuniers (que j’appellerais au hasard “entreprise”) choisira le chemin le plus profitable, ici continuer à agir illégalement et payer de temps à autres une éventuelle amende, qui sera d’autant plus combattue jusqu’au bout (ce qui fait gagner du temps et permet donc de réduire encore plus l’impact négatif), avant d’être parfois annulée, réduite, ou étalée dans le temps.



En note annexe, n’oubliez pas non plus que les entreprise effectuent des provisions pour risque, qui sont déduites du bénéfice : Amazon en a certainement, ce qui fait qu’au moins une partie de l’amende n’impactera aucunement son bénéfice.

votre avatar

Berbe a dit:


Comme évoqué précédemment, je persiste à inviter ceux qui semblent perturbés par les sommes inhumaines (millions/milliards) en jeu à se reporter sur quelque chose qu’ils maitrisent mieux : leur propre salaire annuel.




  1. Prenez votre salaire net annuel, divisez-le par 20.


Pquoi faut prendre le net? Amazon paye tous ses impôts maintenant?

votre avatar

Je serai curieux de voir un jour la méthode de calcul de cette amende.



Il y a 622 108 habitants aux Luxembourg donc en admettant qu’ils soient tous individuellement client d’Amazon… ça fait environ 1200 € par personne :reflechis:

votre avatar

Pour le RGPD, la “CNIL” compétente est celle où est établi la société en Europe. Pour Amazon, c’est le Luxembourg, pour d’autres, c’est l’Irlande.



Donc, comparer le montant de l’amende à la population du pays n’a aucun sens.

votre avatar

Peut-être cela :



4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu

votre avatar

Aucun rapport, être dans la limite du plafond n’empêche de devoir justifier le montant.



Merci je comprend mieux la motivation du Luxembourgs qui d’habitude est si pro Gafa…



En fait ils vont faire trainer comme ça pendant ce temps là Amazon n’est attaqué nulle part ailleurs sur ce sujet et à la fin ça foire sur un vice de procédure :roll:

votre avatar

Désolé Rien compris . Quel plafond ? quelle limite ?
Je ne faisais que citer l’article 83

Mais bon pas grave

votre avatar

Berbe a dit:


Comme évoqué précédemment, je persiste à inviter ceux qui semblent perturbés par les sommes inhumaines (millions/milliards) en jeu à se reporter sur quelque chose qu’ils maitrisent mieux : leur propre salaire annuel.


L’analogie est malheureusement foireuse car souffre d’au moins 3 biais importants :




  • elle considère que la source principale des revenus, c’est le traitement de données à caractère personnel. Raté, c’est la commission sur la marketplace

  • elle considère agir de manière universelle. Raté encore, le RGPD ne s’applique que pour les Européens

  • le RGPD étant en application depuis seulement 3 ans, impossible de le faire jouer de manière rétroactive antérieurement à cette date.



Porté sur votre analogie, cela signifie qu’un travail qui m’a pris 1h dans le mois et touchant 30% de mes clients va m’imputer 5% de mon bénéfice mensuel. Mais vous avez raison, c’est une paille.



Ajoutons également qu’en 2020, Amazon affichait une perte en Europe (montage financier + investissement).




Vous avez donc 2 conclusions à votre disposition :




  1. 120 d’un revenu annuel, au vu des sommes en jeu, est une paille.
    Non, car vous ne pensez qu’à cette amende en particulier, en l’isolant. Prenez en compte ne serait-ce que la portée géographique et clientèle de cette amende.



Vous remarquerez aussi, si vous être d’une bonne foi, que retirer 120 du salaire de quelqu’un touchant le SMIC est autrement plus violent que retirer 120 des revenus d’une entreprise générant des milliards.


Non, car vous confondez revenu (ie. le CA) du reste à vivre (le bénéfice). Amazon en Europe est déficitaire (autrement dit, les dépenses sont supérieures aux recettes). Heureusement qu’il y a papa/maman (Amazon, la maison mère) pour colmater la fuite.



Là, le gamin a fait une bêtise, donc on l’ampute du 20e du reste à vivre de ses parents, 2 cadres touchant 5000€ / mois chacun.





  1. L’amende est plus faible que le profit tiré du crime. En d’autres termes, la sanction n’est pas assez élevée pour dissuader du-dit crime


Absolument pas. Comme je le disais plus haut, votre hypothèse de départ est erronée : le CA d’Amazon est en grande partie issue de la market place, et non du traitement des données.



Donc la décision est amplement dissuasive !




En note annexe, n’oubliez pas non plus que les entreprise effectuent des provisions pour risque, qui sont déduites du bénéfice


Sauf qu’une provision sur risque c’est quand il y a un litige avéré et non une éventualité de litige. Avant la condamnation, ce n’était qu’une éventualité.

votre avatar

Sans base légale, ces traitements seraient donc illicites
Cette plainte serait l’un des fruits des multiples actions collectives lancées en 2018


Pourquoi l’emploi de ces pincettes conditionnelles ? Ca a été jugé, et si c’est une mauvaise décision, il y a un appel.

votre avatar

Nous n’avons le détail de la condamnation, juste l’amende finale.



La CNIL Luxembourgeoise refuse de la communiquer s’abritant derrière le secret des affaires.

votre avatar

Soriatane a dit:


Ce n’est pas grâce à lui que l’État Luxembourgeois expliquait aux groupes internationaux comment lui payer moins d’impôt ??


Non, ça c’est les rescrits puis les lettres de demande d’information…

votre avatar

un voyage en moins dans l’espace l’année prochaine pour jeff au “pire” :D

votre avatar

Bonjour,



Est-ce que quelqu’un pourrait m’expliquer à qui reviendrait l’argent de l’amende dans l’hypothèse où Amazon payerait celle-ci ( ce qui n’arrivera sans doute jamais) ?

votre avatar

lefouduclavier a dit:


Bonjour,



Est-ce que quelqu’un pourrait m’expliquer à qui reviendrait l’argent de l’amende dans l’hypothèse où Amazon payerait celle-ci ( ce qui n’arrivera sans doute jamais) ?


Les amendes vont dans les caisses de l’état

RGPD : 746 millions d’euros d’amende pour Amazon au Luxembourg

  • Problème de base légale

Fermer