En 2020, la autoridad francesa de protección de datos, la CNIL, sancionó a Amazon Europe Core por:
- La instalación sin consentimiento de cookies en los dispositivos de los usuarios de amazon.fr. Dado que este tipo de cookies no es esencial para el servicio, la CNIL consideró que la empresa no había cumplido con la obligación de obtener el consentimiento de los usuarios de Internet antes de depositar las cookies.
- La falta de la información mínima requerida para tal instalación.el banner que se muestra en el sitio «Amazon.fr» no permitía informar de antemano y claramente a los usuarios que residen en Francia sobre el depósito de cookies, en particular sobre los objetivos de estas cookies y los medios para rechazar a ellos. Además, la CNIL señaló que cuando los usuarios iban al sitio “Amazon.fr” después de hacer clic en un anuncio publicado en otro sitio web, se depositaban las mismas cookies pero sin que se mostrara ningún banner.
En su momento, se cuestionó la competencia de la CNIL en estos casos, teniendo en cuenta el sistema de “ventanilla única” establecido por el RGPD, que implica que la autoridad de protección de datos competente para conocer las cuestiones en materia de protección de datos es aquella correspondiente al territorio donde la empresa de que se trate tenga su establecimiento principal.
Ante ello, el Consejo de Estado francés ha confirmado la competencia de la CNIL para imponer sanciones a las cookies fuera de este mecanismo de ventanilla única al considerar que, en virtud de la Ley Francesa 78-17, de 6 de enero de 1978, relativa a la informática, los archivos y las libertades, la Comisión Nacional de Informática y Libertades (CNIL) “es responsable en particular de garantizar que el tratamiento de datos personales se lleva a cabo de conformidad con lo dispuesto en la presente ley. El primer párrafo del artículo 16 de la misma ley dispone que la formación restringida de la CNIL “adopta medidas y pronuncia sanciones contra los responsables del tratamiento o subcontratistas que incumplan las obligaciones derivadas del Reglamento (UE) 2016/679, de 27 de abril 2016 y de esta ley en las condiciones previstas en el apartado 3 de este capítulo«.
También se hace referencia a la decisión del mismo Consejo de Estado del 28 de enero de 2022 dictada en el contexto de la sanción contra GOOGLE , en la que confirmó la competencia de la CNIL para el mismo caso, afirmando que la CNIL era competente para sancionar las infracciones del artículo 82 de la Ley de Protección de Datos, incluso en el caso de que el responsable del tratamiento no esté establecido en Francia, pero tenga en el territorio francés un establecimiento involucrado en actividades relacionadas con el tratamiento llevado a cabo.