← Tous les articles

consultant

Amazon vs CNPD (12 mars 2026) : l’intérêt légitime ne suffit pas

La Cour administrative annule l’amende record de 746 M€ mais confirme que la publicité comportementale ne peut pas reposer sur l’intérêt légitime. Conséquences 2026 pour vos bases légales et la caractérisation de la faute.

Par Expertise Luxgap 15/05/2026

Le 12 mars 2026, la Cour administrative de Luxembourg a annulé l’amende record de 746 M€ infligée à Amazon, tout en confirmant que l’entreprise ne pouvait pas fonder la publicité comportementale sur l’intérêt légitime. Enseignement clé: pour les traitements marketing intrusifs, le consentement s’impose; et toute amende RGPD suppose désormais la preuve d’une faute.

L’affaire

  • Organisation et autorité : Amazon Europe Core S.à r.l. et la CNPD.
  • Décision attaquée : amende de 746 M€ et mesures correctrices décidées à l’été 2021 pour des traitements liés à la publicité comportementale.
  • Arrêt : Cour administrative de Luxembourg, 12 mars 2026 (n° 52757C). La Cour confirme l’illégalité du recours à l’intérêt légitime pour ces traitements et des manquements d’information, constate l’exécution des mesures correctrices avant l’audience, mais annule la seule amende à la lumière d’une évolution de la jurisprudence de la CJUE imposant d’établir une faute (intentionnelle ou par négligence) pour infliger une amende RGPD. Voir le communiqué officiel de la Justice luxembourgeoise et la note d’information de la CNPD du 13 mars 2026. justice.public.lu · cnpd.public.lu
  • Motif d’annulation de l’amende : exigence d’une analyse de la faute (négligence/intentionalité) découlant des arrêts du 5 décembre 2023 (C‑807/21 Deutsche Wohnen; C‑683/21 Nacionalinis), à intégrer dans l’évaluation au titre de l’article 83 RGPD. curia.europa.eu · ipcuria.eu

Le raisonnement juridique

1) Base légale (article 6 RGPD)

L’arrêt confirme que le ciblage publicitaire comportemental – tel que reproché en 2021 – ne pouvait pas reposer sur l’« intérêt légitime » (article 6(1)(f) RGPD). En pratique, le traitement exigeait le consentement, compte tenu de la nature intrusive du profilage et du traçage inter‑services. La Cour « confirme que le recours à l’intérêt légitime (…) n’était pas justifié » et relève des manquements d’information. Références : position de la CNPD, article 6 RGPD. Cette approche s’inscrit dans la ligne européenne: en 2024, l’EDPB a mis en consultation les Guidelines 1/2024 sur l’article 6(1)(f), resserrant la démonstration de nécessité et la mise en balance. edpb.europa.eu

2) Amendes (article 83 RGPD) et exigence de faute

La Cour annule l’amende au regard de la jurisprudence CJUE postérieure à 2021. Les arrêts du 5 décembre 2023 précisent que les amendes RGPD exigent une infraction commise intentionnellement ou par négligence, excluant toute responsabilité objective; et rappellent l’usage du concept d’« entreprise » pour les plafonds. communiqué CJUE n° 184/23 · C‑807/21. Méthode de calcul: l’EDPB (24 mai 2023) décrit un processus en 5 étapes à articuler avec cette exigence de faute. Lignes directrices 04/2022

3) Portée sectorielle luxembourgeoise

L’arrêt renvoie l’affaire à la CNPD pour réexamen: les obligations matérielles (licéité, transparence) demeurent et le refus de l’intérêt légitime pour du ciblage comportemental reste d’actualité; seule l’amende doit être réévaluée au regard de la faute. communiqué du ministère de la Justice

Ce que ça change concrètement

  1. Marketing et publicité comportementale : par défaut, base « consentement » et non « intérêt légitime », y compris pour des données issues de services multiples ou de tiers. Parcours de consentement granulaires, spécifiques, libres et documentés; information claire au moment de la collecte. CNPD
  2. Gouvernance des amendes : l’autorité devra caractériser une faute (intention/négligence) avant toute sanction pécuniaire. Côté organisations, documentez l’absence de négligence: registres de décision, tests de nécessité et de mise en balance, DPIA, preuves de privacy‑by‑default. Références: CJUE et grille EDPB. Pour cadrer ces travaux, un mandat DPO structuré sécurise l’analyse et la documentation.
  3. Contentieux et remédiation : les mesures correctrices exécutées rapidement peuvent rendre une partie du litige sans objet, même si le fond (licéité) est confirmé.

Exemples au Luxembourg :

  • Plateforme e‑commerce: reciblage cross‑device et personnalisation profonde via données d’autres services → base « consentement ».
  • Média en ligne: mesure d’audience strictement nécessaire (cookies exemptés/solutions server‑side sans reciblage) → intérêt légitime envisageable avec test rigoureux; tout élargissement marketing requiert le consentement.
  • Banque/assurance: prévention de la fraude et sécurité réseau (considérant 49) → intérêt légitime possible, documenté, avec minimisation et droits préservés. Voir RGPD (articles 6 et 83).

Pièges fréquents

  1. Étiqueter « intérêt légitime » pour aller plus vite: pour des traitements intrusifs (profilage publicitaire), la CNPD et la Cour l’écartent sans nécessité stricte ni mise en balance solide.
  2. Confondre « consentement » et « acceptation des CGU »: l’article 6(1)(b) ne couvre pas le tracking marketing non indispensable au contrat.
  3. Oublier la « faute » dans le risque d’amende: documentez les décisions de bonne foi, avis du DPO, contrôles internes, correctifs, formation.
  4. Information lacunaire: une information claire (art. 12–13 RGPD) conditionne la validité de la base légale et pèse dans l’évaluation de la gravité (EDPB 04/2022).
  5. Sous‑estimer l’effet des mesures correctrices rapides: tarder à corriger aggrave l’exposition et prive d’un argument lors du contrôle.

Sources officielles

Synthèse et prochaines étapes

L’arrêt du 12 mars 2026 fixe une frontière nette: pour le marketing intrusif, le consentement est requis; pour une amende, la preuve d’une faute est nécessaire. Consolidez vos analyses (nécessité, mise en balance, DPIA) et formalisez vos choix. Pour un cadrage opérationnel au Luxembourg, appuyez‑vous sur l’article 6 et l’article 83 et, si besoin, échangez avec notre équipe via la page contact. Les organisations locales peuvent également structurer leurs démarches via notre page DPO Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnpd interet-legitime amendes publicite-comportementale
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →