Coup dur pour le géant du e-commerce. Sale coup pour le 5e employeur du Grand-Duché. Bref, la firme Amazon Europe se serait bien passée de la décision prononcée par le Tribunal administratif luxembourgeois, pays où elle a choisi d’établir son siège depuis 2003… Mais les magistrats ont bel et bien confirmé que, pour avoir utiliser des données personnelles d’utilisateurs à des fins de ciblage publicitaire et d’analyse comportementale (sans leur consentement), l’entreprise méritait une condamnation.

C’est la Commission nationale pour la protection des données (CNPD) qui avait révélé l’affaire, voilà quatre ans. Le régulateur luxembourgeois avait alors décidé d’une amende de 746 millions d’euros, pour non-respect des règles, avec de possibles ajouts de 746 M€ supplémentaires par jour de non-mise à jour de ses usages. Un carton rouge jugé « sans fondement » par la compagnie qui, à l’été 2021, a immédiatement contesté cette amende. D’où cet appel auprès du Tribunal administratif.

Les juges, statuant uniquement sur le fond de l’affaire, sont toutefois restés en cette mi-mars 2025 dans le sens de la Commission nationale. « L’amende imposée pour les infractions sera maintenue et la société devra se conformer aux mesures correctives ordonnées par la CNPD. »

Ni fuites, ni correctifs

La Commission luxembourgeoise ne peut cependant pas crier victoire. Déjà parce que -secret professionnel oblige – la CNPD ne peut commenter les motivation de ce rejet de l’appel. Par ailleurs, l’administration sait qu’Amazon Europe a encore bien des recours juridiques qui s’ouvrent à elle. « Les effets de la décision de la CNPD restent suspendus pendant le délai d’appel et, le cas échéant, pendant une éventuelle procédure d’appel devant la Cour administrative ». Soit possiblement de longs mois, voire des années…

Dans son jugement, l’autorité judiciaire précise que « les violations retenues concernent le non-respect de la base de licéité du traitement de données à caractère personnel, le non-respect des obligations de transparence et de fournir des informations aux personnes concernées par le traitement de leurs données personnelles, la violation du droit d’accès aux données traitées, la violation des droits de rectification et à l’effacement des données personnelles traitées, ainsi que la violation du droit à l’opposition du traitement de données personnelles ».

De plus, le tribunal a constaté que la société Amazon Europe Core n’a pas adopté les changements qui lui étaient demandés afin de se conformer aux articles 6, 12 à 17 et 21 du RGPD. L’amende pourrait donc être de 746 millions multipliés par le nombre de jours sans respect des préconisations fixées par le régulateur luxembourgeois.

« Il n’y a eu aucune fuite de données, et aucune donnée client n’a été exposée à un quelconque tiers », avait commenté l’entreprise fondée par Jeff Bezos au moment de la première sanction. Voilà un dossier brûlant à régler pour celle qui vient de prendre la direction des entités Amazon installées au Grand-Duché. Un “cadeau de bienvenue” pour  Mariangela Marseglia, VP European Stores depuis le 3 mars dernier…


Suivez aussi nos actualités sur Instagram