Intérêt légitime ou consentement ? La leçon « Amazon c. CNPD »

Le 12 mars 2026, la Cour administrative de Luxembourg a annulé l’amende record infligée à Amazon, tout en confirmant que la publicité comportementale ne pouvait pas reposer sur l’intérêt légitime. Ce tournant clarifie quand choisir entre consentement et intérêt légitime. Communiqué du ministère de la Justice.

L’affaire

Par un arrêt du 12 mars 2026 (n° 52757C), la Cour administrative a statué sur l’appel d’Amazon Europe Core S.à r.l. contre une décision de la CNPD ayant constaté plusieurs violations du RGPD dans le cadre de la publicité comportementale, assorties d’une astreinte et d’une amende de 746 M€ (amende ensuite annulée faute de caractérisation de la faute au sens de la jurisprudence postérieure à 2021). Le ministère de la Justice a publié un communiqué décrivant l’arrêt et la CNPD a, de son côté, pris acte en soulignant que ses constats matériels de non‑conformité (dont l’insuffisance de la base légale) étaient confirmés. Voir le communiqué officiel et la note d’information de la CNPD.

En substance, l’affaire pose une question centrale pour la gouvernance données/marketing : la publicité comportementale peut‑elle s’appuyer sur l’article 6(1)(f) RGPD (intérêt légitime), ou exige‑t‑elle l’article 6(1)(a) (consentement) et, partant, le respect strict des lignes directrices « Consentement » de l’EDPB (Guidelines 05/2020) ? Guidelines 05/2020.

Le raisonnement juridique

• Cadre RGPD. La licéité du traitement repose sur l’une des bases de l’article 6(1) RGPD. Deux options sont en balance ici :
  • l’intérêt légitime (art. 6(1)(f)), qui exige un test en trois temps : intérêt poursuivi déterminé et réel ; nécessité du traitement ; mise en balance favorable avec les droits et libertés (y compris l’opt‑out effectif de l’art. 21). L’EDPB a publié en octobre 2024 un projet de Guidelines 1/2024 détaillant ces conditions et rappelant la jurisprudence récente sur la nécessité et la proportionnalité. Développements EDPB 1/2024.
  • le consentement (art. 6(1)(a)), qui doit être libre, spécifique, éclairé et univoque, et aussi facile à retirer qu’à donner (Guidelines 05/2020). En pratique, pour la publicité comportementale, ces lignes imposent une interface de choix granulaires, sans « dark patterns », et sans conditionner l’accès au service non nécessaire. Texte EDPB.
• Apports de la Cour et de la CNPD dans l’affaire. Selon le communiqué public, la Cour a confirmé l’illégalité de certains traitements reprochés par la CNPD (dont la base légale inadaptée), tout en annulant uniquement la sanction pécuniaire faute d’analyse suffisante de la « faute » (intention/négligence) exigée par la jurisprudence plus récente de l’UE pour infliger une amende. La CNPD a souligné qu’elle avait « sécurisé la conformité » par des mesures correctrices et que ses « constats clés » étaient confirmés. Cela signifie que, sur le fond, l’intérêt légitime pour du ciblage comportemental à large échelle ne passe pas le test nécessité/balancement au regard du profilage intrusif. Communiqué Justice.
• Convergence avec la CJUE. L’arrêt CJUE C‑252/21 (Meta Platforms, 4 juillet 2023) a déjà balisé le terrain : il rappelle l’exigence stricte de nécessité (un traitement n’est « nécessaire » que s’il est objectivement indispensable au but poursuivi) et l’encadrement rigoureux du profilage, notamment en cas de risques d’inférences sur des catégories particulières (art. 9). Ces enseignements rendent particulièrement difficile de justifier, au seul titre de l’intérêt légitime, un suivi cross‑site/cross‑app pour publicité personnalisée. Texte EUR‑Lex.

Ce que ça change concrètement

• Plateformes, e‑commerce, médias luxembourgeois : les bannières de consentement doivent offrir des choix granulaire par finalité, sans pré‑cochage, avec un refus aussi simple que l’acceptation, et un retrait à tout moment. Les cookies/SDK publicitaires et tout traitement en arrière‑plan ne peuvent démarrer qu’après consentement valable. Guidelines 05/2020. Pour cadrer ces pratiques au Luxembourg, voyez notre ressource conformité CNPD et, si besoin, la page RGPD pour les références d’articles.
• Groupes internationaux opérant au Luxembourg : les privacy notices et records doivent refléter précisément la base 6(1)(a) pour le ciblage, et 6(1)(f) seulement pour des finalités pouvant satisfaire le test de légitimité tel que précisé par l’EDPB 1/2024 (intérêt défini, nécessité, pesée documentée, mécanisme d’opposition efficace). Projet EDPB 1/2024.
• Gouvernance des amendes : l’arrêt du 12 mars 2026 rappelle que l’autorité doit caractériser la faute pour sanctionner pécuniairement ; pour les entreprises, cela implique de documenter la diligence raisonnable : tests de nécessité, AIPD le cas échéant, analyses de balance, journaux de décision, preuve des paramétrages « privacy by default ». Référence de l’arrêt. Pour structurer ces chantiers, l’appui d’un mandat DPO peut accélérer la mise en conformité.

Exemples rapides

• Publicité comportementale cross‑site : base = consentement (6(1)(a)) ; intérêt légitime écarté. Position CNPD.
• Mesure d’audience limitée, agrégée, sans recoupement ni identifiants persistants : potentiellement 6(1)(f) si le test EDPB 1/2024 est satisfait et si l’opposition (art. 21) est effective. EDPB 1/2024.
• Sécurité/fraude (détection d’accès anormal) : souvent 6(1)(f), nécessité démontrable et minimisation forte. Rappels EDPB.

Pièges fréquents

1. « Empiler » plusieurs finalités hétérogènes sous un même intérêt légitime. Le test EDPB 1/2024 exige d’identifier un intérêt précis par finalité et d’évaluer la nécessité et la balance pour chacune, avec documentation probante. Projet 1/2024.
2. Lancer les traceurs/SDK avant le recueil du consentement, ou rendre le refus plus complexe que l’acceptation (« dark patterns », cases grises, nudge déséquilibrant). Les Guidelines 05/2020 proscrivent ces pratiques. Guidelines 05/2020.
3. Confondre « information dans les CGU » avec consentement. La CJUE C‑252/21 rappelle qu’un consentement doit être libre et spécifique ; l’adhésion globale à des CGU ne suffit pas pour du profilage publicitaire. Arrêt C‑252/21.
4. Oublier l’opposition (art. 21) en cas d’intérêt légitime. Le mécanisme d’opt‑out doit être effectif, accessible et documenté ; à défaut, l’équilibre bascule contre le responsable. L’EDPB 1/2024 insiste sur la mise en balance concrète et sur l’effectivité des garanties. EDPB 1/2024.
5. Négliger l’AIPD quand le profilage est « susceptible d’engendrer un risque élevé ». Sans AIPD, l’analyse de nécessité/balance est rarement crédible pour un traitement à forte intrusivité. Les exigences de documentation sont scrutées en contentieux comme en contrôle. Lignes EDPB.

Sources officielles

• Cour administrative (Luxembourg) — Communiqué sur l’arrêt du 12 mars 2026 (n° 52757C) : « Arrêt de la Cour administrative en relation avec un des grands acteurs mondiaux au niveau du commerce en ligne. » https://justice.public.lu/fr/actualites/2026/03/arret-cour-administrative-amazon.html
• CNPD (Luxembourg) — « The CNPD has secured effective data-processing compliance by Amazon, has seen its key findings confirmed and pursues its work », 13 mars 2026. https://cnpd.public.lu/en/actualites/national/2026/03/arret-ca-amazon-cnpd.html
• EDPB — Guidelines 05/2020 sur le consentement au sens du RGPD (version consolidée). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
• EDPB — Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR (consultation publique, octobre 2024). https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_de
• CJUE — Arrêt C‑252/21, Meta Platforms e.a., 4 juillet 2023 (texte EUR‑Lex et communiqué de presse). https://eur-lex.europa.eu/legal-content/EN/CASE/?uri=CELEX%3A62021CJ0252 et https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-07/cp230113en.pdf

En bref : à la lumière d’« Amazon c. CNPD », les organisations luxembourgeoises doivent réserver l’intérêt légitime aux traitements réellement nécessaires et faiblement intrusifs, et exiger le consentement pour le profilage publicitaire. La clé n’est plus le discours, mais la preuve : tests documentés, interfaces de choix conformes, et gouvernance de la décision. Pour un accompagnement opérationnel, contactez‑nous via la page de contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.