L’autorité de protection des données luxembourgeoises a infligé une amende de 746 millions d’euros pour violation du RPGD suite à une plainte déposée par la Quadrature du Net. Il s’agit de l’amende la plus élevée infligée dans le cadre du RGPD, détrônant ainsi une amende de 50 millions d’euros ayant été infligée à Google.

En 2018, la Quadrature du Net déposait une plainte à l’encontre d’Amazon pour non-respect du RGPD. En cause, le système de ciblage publicitaire de l’entreprise, imposé aux utilisateurs, qui ne respectait pas les critères de recueil d’un consentement libre et éclairé des internautes, comme le veut le RGPD. Le siège social européen d’Amazon étant situé au Luxembourg, c’est là que la plainte a dû être déposée. C’est donc la Commission Nationale pour la Protection des Données du Luxembourg qui s’est chargée de l’affaire. Il semblerait que cette dernière ait été sensible aux arguments de la Quadrature du Net et a décidé de lui donner raison.

Toutefois, cette dernière ne s’exprime pas directement sur les sanctions infligées. La sanction a donc été découverte par Bloomberg en consultant les documents transmis par Amazon au gendarme américain des marchés. La firme de Jeff Bezos y indique considérer cette décision comme illégitime et fait part de son intention de contester la sanction sur le plan juridique. Afin d’en apprendre davantage sur cette décision, Bloomberg a contacté Amazon, suite à quoi un porte-parole de l’entreprise a déclaré : “Il n’y a eu aucune fuite de données et aucune donnée client n’a été exposée à un tiers”.

C’est là une réponse entièrement hors propos, puisque la sanction ne concerne pas une fuite de donnée potentielle, mais le fonctionnement même du système publicitaire d’Amazon. La Quadrature du Net a commenté la sanction dans son propre communiqué : “C’est le système même de la publicité ciblée que nos plaintes comptent balayer dans son ensemble, et non pas quelques failles de sécurité occasionnelles. Cette sanction historique frappe au cœur le système de prédation des GAFAM et doit être applaudie en tant que telle”. La Quadrature du Net en a profité pour mettre en perspective l’inaction de l’autorité irlandaise de protection des données personnelles. Alors que l’Irlande est le siège social de nombreux géants de la Tech, notamment en raison des avantages fiscaux qu’elle leur accorde, elle est chargée d’instruire de nombreuses plaintes à l’encontre de ces entreprises. Cependant, elle peine à agir, tout comme la CNIL française dont l’attitude est jugée passive par la Quadrature.

Avant ça, la sanction la plus élevée pour violation du RGPD remonte à janvier 2019 et s’élevait à 50 millions de dollars à l’encontre de Google pour ne pas avoir demandé l’accord explicite des utilisateurs, afin de leur proposer des publicités personnalisées. Si le chef d’accusation est similaire, l’amende imposée à Amazon atteint de nouveaux sommets.