Dans sa première sanction (délibération SAN-2023-021 du 27 décembre 2023), la CNIL pointe de nombreux manquements de la société AMAZON FRANCE LOGISTIQUE, qui gère les grands entrepôts français du groupe Amazon, à la réglementation des traitements de données personnelles. Elle prononce une amende de 32 millions d'euros contre la société notamment pour des violations en matière de surveillance de la vie privée des salariés.

Si la CNIL admet l'importance pour Amazon d'un rendement élevé dans la gestion des commandes e-commerce, elle considère que le stockage sur une longue durée ainsi que l'accès à l'intégralité des données du scanner utilisé par les employés dans les entrepôts est excessif. La remontée des données aux superviseurs en temps réel ou sur une durée hebdomadaire serait suffisante - en l'état, Amazon violait le principe de minimisation des données prévu à l'article 5.1.C du RGPD. De même, justifier un accès à ces données pour l'évaluation et la formation des employés viole le principe de minimisation.

Par ailleurs, la collecte de données telles que le temps d'inactivité du scanner ou la vitesse des scans constitue un manquement au principe de licéité : en amenant les salariés à potentiellement justifier de leur activité à tout moment, il est excessivement intrusif. En outre, en ne s'assurant pas que la politique de confidentialité était remise à ses employés, Amazon manquait à ses obligations d'information et de transparence.

Par ailleurs, Amazon n'informait pas correctement ses salariés et visiteurs sur les systèmes de vidéosurveillance, et ne les sécurisait pas suffisamment.

Dans une seconde sanction (Délibération SAN-2023-024 du 29 décembre 2023) la CNIL inflige une amende de 10 millions d'euros à YAHOO EMEA LIMITED. 

Lors d'un contrôle en octobre 2020, la CNIL a en effet constaté que malgré l'usage d'un bandeau cookies sur le site Yahoo.com, une vingtaine de cookies publicitaires étaient, quelle que soit la décision de l'utilisateur, placés sur son terminal. En ce sens, Yahoo viole l'article 82 de la loi Informatique et libertés qui conditionne l'usage de ce type de cookie au recueil d'un consentement.

En outre, la CNIL a sanctionné l'usage par Yahoo d'un procédé déloyal afin d'inciter les utilisateurs à ne pas retirer leur consentement sur la messagerie YahooMail. En effet, l'internaute souhaitant retirer son consentement était informé qu'il ne pourrait plus accéder au service et perdrait l'accès à sa messagerie.  Pour la CNIL, si lier l'utilisation d'un service à l'usage de cookies est possible, c'est à la condition que le refus du consentement n'entraîne pas de préjudice pour l'utilisateur.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité.

Pour toute question, n’hésitez pas à nous contacter.