L'autorité luxembourgeoise de contrôle de la protection des données Commission Nationale pour la Protection des Données (CNPD) a infligé le 15 juillet 2021 à Amazon Europe Core S.à r.l. une amende record de 746 millions d'euros a été imposée à la société. Le 18 mars 2025, le tribunal administratif de Luxembourg a confirmé cette décision dans son intégralité.
La CNPD inflige une amende record à Amazon
Le point de départ de la procédure a été l'analyse approfondie des activités publicitaires basées sur les données d'Amazon Europe Core S.à r.l. par l'autorité luxembourgeoise de surveillance de la protection des données (CNPD). Dans le cadre d'une enquête de longue durée, les processus de collecte, de stockage, d'analyse et de traitement ultérieur des données à caractère personnel par Amazon ont notamment été examinés. L'accent a été mis en particulier sur l'utilisation de ces données pour la publicité basée sur les intérêts, c'est-à-dire la diffusion personnalisée de contenus publicitaires sur la base du comportement de l'utilisateur, de ses achats antérieurs et d'autres traces numériques.
La CNPD a constaté qu'Amazon n'avait pas obtenu le consentement effectif des personnes concernées pour le traitement de leurs données à caractère personnel à des fins publicitaires. Au lieu de cela, Amazon s'est appuyé sur un intérêt légitime en vertu de l'article 6, paragraphe 1, point f), du RGPD, qui n'a toutefois pas été considéré comme suffisant dans ce cas précis. L'Autorité a estimé que les intérêts, les droits fondamentaux et les libertés des utilisateurs concernés prévalaient sur l'intérêt économique d'Amazon.
De plus, de graves lacunes ont été constatées dans le domaine de la transparence. Les personnes concernées n'ont pas été informées de manière suffisante ou compréhensible sur la finalité du traitement des données. La structure de la déclaration de protection des données et l'accessibilité des informations pertinentes étaient également insuffisantes aux yeux de l'autorité. Cela constitue une violation des articles 12 à 14 du RGPD.
En outre, il a été reproché à Amazon de graves lacunes dans la mise en œuvre des droits des personnes concernées. Les demandes d'information au titre de l'article 15 du RGPD n'ont pas été traitées ou l'ont été de manière incomplète. De même, l'entreprise n'aurait pas pris en compte de manière adéquate les droits de rectification, d'effacement et d'opposition. La CNPD y a vu des violations systématiques des articles 16, 17 et 21 du RGPD.
746.000 euros d'astreinte par jour en cas de non-application
En raison de ces infractions, la CNPD a infligé une amende de 746 millions d'euros en juillet 2021. En outre, des mesures correctives concrètes ont été imposées à Amazon. En cas de non-exécution, une astreinte quotidienne de 746 000 euros a été menacée. En outre, l'autorité a ordonné la publication de la décision afin de créer un effet dissuasif et d'assurer la transparence pour le public.
Amazon a alors introduit un recours contre la décision - dans le but de faire annuler les sanctions ou du moins de les réduire. Ce recours a été rejeté dans son intégralité par le tribunal administratif de Luxembourg dans son jugement du 18 mars 2025.
Conseil de lecture : Mega-pénalité contre Meta - près de 800 millions d'euros d'amende
Messages clés de l'arrêt
Dans sa décision, le tribunal administratif de Luxembourg a confirmé toutes les constatations centrales de la CNPD. Après un examen approfondi, le tribunal a conclu qu'Amazon Europe Core S.à r.l. avait enfreint des dispositions fondamentales du RGPD. Il s'agissait en particulier du traitement illégal de données à caractère personnel à des fins de publicité personnalisée.
Le tribunal a précisé qu'un traitement à des fins publicitaires peut en principe être autorisé - mais uniquement s'il repose sur une base juridique valable. Celle-ci n'existait pas dans le cas d'Amazon. L'invocation d'un intérêt légitime en vertu de l'article 6, paragraphe 1, point f), du RGPD n'était pas viable compte tenu de l'intensité de l'intervention du traitement et de l'absence de consentement effectif. L'utilité économique pour Amazon ne justifiait en aucun cas le profilage approfondi et le suivi complet des utilisateurs sur plusieurs plateformes.
Le tribunal a accordé une importance particulière aux obligations de transparence. Il a confirmé l'avis de la CNPD selon lequel les informations fournies par Amazon sur le traitement des données étaient insuffisantes, peu claires et partiellement trompeuses. Il s'agit non seulement d'un défaut formel, mais aussi d'une entrave substantielle à l'exercice des droits des personnes concernées.
Le tribunal n'a pas non plus fait preuve d'indulgence en ce qui concerne la mise en œuvre des droits des personnes concernées. Les réponses aux demandes d'information ont été incomplètes ou tardives. Les demandes de rectification et d'effacement n'ont été mises en œuvre que lentement, voire pas du tout, ce qui révèle des déficits structurels dans la gestion de la protection des données chez Amazon. Il en va de même pour la gestion des oppositions au traitement des données.
Un autre aspect central était le manque de réaction d'Amazon aux mesures ordonnées par la CNPD. L'entreprise n'a pas fait suffisamment d'efforts pour mettre fin aux violations de la protection des données pendant une longue période. Le tribunal a considéré cette inaction persistante comme un non-respect continu du droit européen de la protection des données, ce qui justifie en outre le montant de la sanction.
Importance de la décision d'Amazon pour la pratique
Avec ce jugement, le tribunal administratif de Luxembourg envoie un signal en direction des grandes entreprises tech : Même les leaders mondiaux du marché doivent se soumettre aux exigences d'un traitement des données transparent, équitable et légal - notamment en ce qui concerne le profilage à des fins publicitaires.
L'arrêt illustre en outre l'importance de la Conformité avec les droits des personnes concernées. Les entreprises qui traitent des données à caractère personnel à grande échelle seraient bien avisées de vérifier régulièrement leurs obligations d'information, leurs processus d'accès et leurs possibilités d'opposition et de les documenter en conséquence. Protection des données par la conception technique (Respect de la vie privée dès la conception) et les paramètres par défaut favorables à la protection des données (Protection de la vie privée par défaut) devraient être intégrés dès le début.
Pour les responsables de la protection des données, ce jugement signifie que le respect du RGPD n'est pas seulement une obligation légale, mais qu'il est également très important d'un point de vue économique. Des audits réguliers, une gestion documentée des droits ainsi que des mesures techniques et organisationnelles (TOM) sont indispensables - en particulier pour les modèles commerciaux axés sur les données. Une approche basée sur les risques dans la gestion de la protection des données permet d'identifier rapidement les points faibles potentiels et d'y remédier.
Perspectives d'avenir : Amazon peut jouer la montre
Amazon a maintenant la possibilité de faire appel de l'arrêt Appel devant la Cour administrative de faire appel. Un effet suspensif a été accordé à la procédure d'appel jusqu'à la décision de la prochaine instance. Il reste à voir si l'entreprise suivra cette voie.
Source : Communication du Tribunal administratif de Luxembourg
Conseil : Ne risquez pas d'amendes ! Avec Ailance, vous pouvez automatiser la plupart de vos tâches de protection des données et de conformité. N'hésitez pas à nous contacter, nous nous ferons un plaisir de vous présenter nos solutions.
☎️ +49 (228) 926165-100
📧 paris@2b-advice.com
French 
German 
English 
Italian