CNIL | SAN-2024-019 | 14 novembre 2024 | Affaire ORANGE SA | FAQ

PARTIE I — FAQ À L’ATTENTION DES RESPONSABLES DE TRAITEMENT

---

Q1. Une annonce publicitaire que mon service insère lui-même dans la boîte de réception de ses utilisateurs de messagerie électronique relève-t-elle du régime de l’opt-in (consentement préalable) ?

R. Oui, dès lors que cette annonce s’affiche dans un espace normalement réservé aux courriels privés et prend l’apparence d’un véritable courriel, elle constitue de la prospection directe par courrier électronique au sens de l’article L. 34-5 du CPCE. C’est ce qu’a jugé la formation restreinte dans la délibération SAN-2024-019, en s’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021 (C-102/20). La qualification de prospection directe est indépendante du fait que le message ne soit pas techniquement « envoyé » au sens d’un courriel classique : ce qui compte est la fonction du message (promouvoir un bien ou un service) et la perception qu’en a l’utilisateur dans son espace de communication privée. La CNIL a fermement écarté l’argument selon lequel l’absence d’envoi au sens strict exclurait l’application du régime de l’opt-in.

---

Q2. La responsabilité d’un fournisseur de messagerie peut-elle être retenue au titre de l’article L. 34-5 du CPCE pour des annonces publicitaires que des tiers (annonceurs) lui auraient commandées ?

R. Oui. Dans la délibération SAN-2024-019, la formation restreinte a retenu la responsabilité d’ORANGE en tant que fournisseur de messagerie ayant la maîtrise des publicités en cause. Elle a précisé qu’ORANGE « procédait à l’affichage » de ces annonces et les « commercialisait auprès des annonceurs ». Ce critère de la maîtrise technique et commerciale du dispositif est déterminant : dès lors que le fournisseur de messagerie conçoit, déploie et commercialise les espaces d’affichage publicitaire au sein de la boîte de réception de ses utilisateurs, c’est lui — et non les annonceurs — qui est responsable du respect de l’obligation de recueil du consentement. Cette solution est distincte du régime applicable aux courriels de prospection envoyés par un annonceur via l’adresse de courriel d’un prospect, sur lesquels le fournisseur de messagerie n’a aucune maîtrise.

---

Q3. Des modifications visuelles apportées aux annonces pour les rendre plus identifiables comme « publicités » sont-elles suffisantes pour écarter la qualification de prospection directe et l’obligation de recueil du consentement ?

R. Non. La CNIL a expressément écarté cet argument dans la délibération SAN-2024-019 (et l’a réaffirmé dans la procédure GOOGLE, SAN-2025-004). Elle a jugé que les modifications visuelles apportées par ORANGE à ses annonces depuis avril 2023 n’étaient pas de nature à remettre en cause le régime juridique applicable, « puisque celles-ci ne se distinguaient toujours pas clairement des véritables courriels ». Le critère décisif n’est pas la seule signalétique visuelle, mais la perception d’ensemble qu’a l’utilisateur moyen : tant que l’annonce s’inscrit dans l’espace réservé aux courriels et peut être confondue avec un vrai courriel, l’obligation de consentement préalable s’applique, quelles que soient les mentions de type « annonce », « publicité » ou « sponsorisé » portées sur l’annonce.

---

Q4. Si un responsable de traitement a cessé la pratique litigieuse avant la décision de la CNIL, peut-il éviter la sanction pécuniaire ?

R. Non, mais cette cessation constitue une circonstance atténuante dans la détermination du montant de l’amende. Dans la délibération SAN-2024-019, la formation restreinte a pris en compte le fait qu’ORANGE avait cessé l’affichage des publicités litigieuses depuis novembre 2023 — soit avant la décision de novembre 2024 — pour ajuster le montant de l’amende. Toutefois, cette cessation n’a pas conduit à l’abandon des poursuites ni à l’annulation de la sanction. La CNIL sanctionne les violations passées, y compris lorsque le responsable a cessé d’y procéder avant la délibération, dès lors que ces violations ont été établies et qu’elles ont affecté un nombre significatif de personnes. La cessation volontaire ne constitue un argument substantiel que si elle est précoce et documentée.

---

Q5. Le retrait de consentement aux cookies par un utilisateur doit-il produire des effets immédiats ? Les cookies déjà déposés peuvent-ils continuer à être lus après ce retrait ?

R. Non. La délibération SAN-2024-019 l’affirme avec la plus grande netteté : lorsqu’un utilisateur retire son consentement au dépôt et à la lecture de cookies sur son terminal, « les cookies précédemment déposés [ne doivent plus] être lus », et cela « même si ces informations ne sont pas exploitées par la suite ». L’article 82 de la loi Informatique et Libertés interdit expressément toute opération d’accès aux informations stockées dans le terminal de l’utilisateur dès lors que son consentement a été retiré. Il s’agit d’une obligation de résultat : le responsable de traitement doit s’assurer que son dispositif de gestion du consentement (CMP) bloque effectivement toute opération de lecture des cookies soumis à consentement, dès que le retrait est exprimé, et ce de manière exhaustive, y compris pour les cookies des partenaires tiers.

---

Q6. Un responsable de traitement peut-il invoquer la responsabilité de ses partenaires technologiques ou publicitaires pour se dégager de sa propre responsabilité en cas de lecture de cookies persistante après retrait du consentement ?

R. Non. La délibération SAN-2024-019 établit clairement que la lecture de cookies après retrait du consentement a été constatée non seulement pour les cookies déposés par ORANGE elle-même, mais également pour ceux déposés par ses partenaires. La formation restreinte a retenu la responsabilité d’ORANGE pour l’ensemble de ces lectures, indépendamment de la part de responsabilité éventuelle des partenaires. En application du principe d’accountability consacré par l’article 5, §2, du RGPD, le responsable de traitement ne peut se défausser sur ses partenaires pour justifier le maintien d’un manquement. Il lui appartient de mettre en place les mécanismes techniques et contractuels nécessaires pour garantir que ses partenaires respectent eux aussi l’effectivité du retrait de consentement.

---

Q7. Comment calculer le montant d’une amende potentielle au titre de l’article L. 34-5 du CPCE et de l’article 82 de la loi Informatique et Libertés ?

R. Le montant de l’amende est déterminé par la formation restreinte en application des critères de l’article 83 du RGPD, parmi lesquels figurent notamment : le nombre de personnes concernées, la durée de la violation, la position de marché de l’organisme sanctionné, l’avantage financier retiré de la pratique litigieuse, et les mesures prises pour remédier au manquement. Dans la délibération SAN-2024-019, l’amende de 50 millions d’euros a été prononcée compte tenu de plus de 7,8 millions de personnes concernées, de la position d’ORANGE comme premier opérateur de télécommunications en France, et de l’avantage financier tiré des espaces publicitaires litigieux. Ces éléments illustrent que le montant d’une amende peut varier considérablement selon le profil de l’organisme sanctionné et l’ampleur des manquements : à titre de comparaison, la sanction infligée à GOOGLE pour des faits similaires s’est élevée à 325 millions d’euros (SAN-2025-004).

---

Q8. L’injonction de cessation assortie d’une astreinte oblige-t-elle à une mise en conformité effective ou simplement formelle ?

R. Elle oblige à une mise en conformité effective et vérifiable. La délibération SAN-2024-019 a enjoint à ORANGE de « cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois », sous peine d’une astreinte de 100 000 euros par jour de retard. L’effectivité de cette mise en conformité a ensuite été vérifiée par les services de la CNIL, qui ont constaté sa réalisation dans le délai imparti (délibération SAN-2025-007 du 11 septembre 2025 clôturant l’injonction). Le responsable de traitement doit donc être en mesure de démontrer à la CNIL, sur la base de tests techniques documentés et de données concrètes, que le retrait de consentement produit bien les effets techniques requis sur l’ensemble des navigateurs et terminaux supportés.

---

Q9. Un opérateur de télécommunications ou un fournisseur de services numériques est-il soumis à des obligations renforcées en raison de sa position sur le marché ?

R. Oui, de fait. La délibération SAN-2024-019 confirme que la position de marché du responsable de traitement est prise en compte comme critère aggravant dans la détermination du montant de l’amende. ORANGE est le premier opérateur de télécommunications en France, et ce facteur a pesé dans la fixation de l’amende à 50 millions d’euros. Au-delà de l’amende, la position dominante d’un opérateur implique une responsabilité accrue en termes de conformité, en raison du nombre d’utilisateurs concernés et de l’impact systémique potentiel de ses pratiques sur la vie privée des personnes. Les opérateurs de grande taille ne peuvent légitimement s’abriter derrière la complexité de leurs systèmes pour justifier des délais de mise en conformité excessifs.

---

Q10. Quelles sont les conditions de mise en conformité minimales en matière de gestion des cookies sur un site web exploité par un responsable de traitement ?

R. Sur la base de la délibération SAN-2024-019 et de la jurisprudence consolidée de la CNIL, les conditions minimales de conformité sont les suivantes :
—-Recueil préalable du consentement : aucun cookie soumis à consentement ne doit être déposé avant que l’utilisateur ait expressément accepté ;
—-Équilibre des choix : le refus des cookies doit être aussi simple à exercer que l’acceptation ;
—-Effectivité du retrait : le retrait du consentement doit déclencher immédiatement l’arrêt de toute opération de lecture des cookies soumis à consentement, y compris ceux de partenaires tiers ;
—-Traçabilité du consentement : le responsable de traitement doit être en mesure de prouver à tout moment la réalité et la date du consentement donné, ainsi que les modalités dans lesquelles il a été recueilli.

---

PARTIE II — FAQ À L’ATTENTION DES PERSONNES CONCERNÉES

---

Q11. Comment savoir si les publicités qui s’affichent dans ma boîte de réception de messagerie sont bien des courriels d’annonceurs ou des annonces insérées par le fournisseur de messagerie sans mon consentement ?

R. Une annonce insérée par le fournisseur de messagerie dans votre boîte de réception ressemble à un courriel ordinaire mais ne provient pas d’un expéditeur réel : elle est généralement affichée par le service de messagerie lui-même et peut comporter une mention discrète de type « annonce sponsorisée », « publicité » ou « ad ». Suite à la délibération SAN-2024-019, les fournisseurs de messagerie qui maintiendraient ce type de format sans avoir recueilli votre consentement préalable seraient en infraction avec l’article L. 34-5 du CPCE. Si vous n’avez pas expressément consenti à recevoir ce type d’annonces, vous pouvez accéder aux paramètres de votre compte de messagerie pour vérifier vos préférences et, le cas échéant, déposer une plainte auprès de la CNIL via le formulaire disponible sur cnil.fr.

---

Q12. Si j’ai refusé les cookies sur un site web, comment vérifier que ce refus est effectivement pris en compte par le site ?

R. Vous pouvez vérifier l’effectivité du refus de cookies en utilisant les outils de développement de votre navigateur (généralement accessibles via la touche F12). Dans l’onglet « Stockage » ou « Application », vous trouverez la liste des cookies stockés dans votre navigateur pour le site visité. Si, après avoir retiré votre consentement, des cookies soumis à consentement (autres que les cookies strictement nécessaires) sont toujours présents ou continuent à faire l’objet d’opérations de lecture, le site est en infraction avec l’article 82 de la loi Informatique et Libertés. Vous pouvez alors déposer une plainte auprès de la CNIL, en joignant des captures d’écran de vos constatations à titre de preuves.

---

Q13. Quels recours puis-je exercer si un fournisseur de services numériques continue à m’adresser de la prospection commerciale alors que je n’y ai pas consenti ?

R. Vous disposez de plusieurs recours successifs :
1. Exercice du droit d’opposition : en application de l’article 21 du RGPD, vous pouvez adresser au responsable de traitement (ou à son DPO) une demande d’opposition à tout traitement de vos données à des fins de prospection commerciale. Ce droit est absolu et doit être honoré immédiatement ;
2. Utilisation du mécanisme de désinscription : tout message de prospection commerciale doit comporter, en application de l’article L. 34-5 du CPCE, un moyen simple et gratuit de s’opposer à la réception de nouveaux messages ;
3. Saisine de la CNIL : en cas d’absence de réponse ou de persistance des manquements, vous pouvez déposer une plainte en ligne sur cnil.fr (rubrique « Exercer mes droits »). La CNIL peut, après instruction, mettre en demeure ou sanctionner le responsable de traitement.

---

Q14. La délibération SAN-2024-019 me donne-t-elle un droit à réparation contre ORANGE pour les préjudices subis du fait des pratiques illicites constatées ?

R. La délibération de la CNIL est une décision administrative qui ne crée pas directement un droit à réparation au bénéfice des personnes concernées. Toutefois, les personnes ayant subi un préjudice du fait des pratiques illicites constatées par la CNIL peuvent, sur la base des articles 79 et 82 du RGPD, former une action en responsabilité civile devant les juridictions judiciaires compétentes. L’article 82 du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir réparation de ce dommage auprès du responsable de traitement. La délibération de la CNIL, qui établit la réalité des manquements d’ORANGE, constitue un élément de preuve particulièrement utile dans le cadre d’une telle action.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2024-019 du 14 novembre 2024, par laquelle la formation restreinte de la CNIL a prononcé à l’encontre de la société ORANGE SA une amende de 50 millions d’euros assortie d’une injonction sous astreinte de 100 000 euros par jour de retard, constitue une décision fondatrice dans le droit de la prospection commerciale électronique et de la gestion des traceurs.

S’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021 (C-102/20), la formation restreinte a qualifié de prospection directe soumise à l’obligation de consentement préalable de l’article L. 34-5 du CPCE les annonces publicitaires qu’ORANGE insérait au sein même de la boîte de réception de son service « Mail Orange », entre les courriels de ses utilisateurs, en retenant le critère de la maîtrise technique et commerciale du dispositif par le fournisseur de messagerie — critère qui distingue radicalement ce format de la prospection classique envoyée par un annonceur via l’adresse courriel d’un prospect —, et ce alors même qu’ORANGE avait introduit des modifications visuelles sur ses annonces depuis avril 2023, jugées insuffisantes à exclure la confusion avec un véritable courriel ; au titre d’un second manquement autonome à l’article 82 de la loi Informatique et Libertés, la formation restreinte a établi, comme règle formelle ne souffrant aucune exception, que la lecture de cookies s’opérant postérieurement au retrait du consentement par l’utilisateur — fût-ce sans exploitation effective des données ainsi lues — constitue en soi une violation, y compris lorsqu’elle porte sur des cookies déposés par des partenaires tiers auxquels le responsable de traitement a ouvert son espace numérique ; la détermination du montant de l’amende tient compte de l’atteinte portée à plus de 7,8 millions de personnes, de la position d’ORANGE comme premier opérateur de télécommunications en France, de l’avantage financier retiré de la commercialisation des espaces publicitaires litigieux, et de la cessation volontaire du premier manquement en novembre 2023 à titre atténuant ;

L’injonction, exécutée dans le délai de trois mois imparti ainsi que l’a constaté la délibération SAN-2025-007 du 11 septembre 2025 clôturant la procédure sans astreinte liquidée, a permis à ORANGE de se mettre effectivement en conformité, mais l’affaire a ouvert la voie à la sanction infligée à GOOGLE le 1er septembre 2025 (SAN-2025-004, 325 millions d’euros) pour des pratiques similaires, confirmant qu’ORANGE constitue le précédent jurisprudentiel fondateur d’une ligne doctrinale désormais pleinement assumée par la formation restreinte, qui soumet à l’obligation d’opt-in l’ensemble des formats publicitaires insérés dans les espaces de messagerie privée par leurs fournisseurs, quelle que soit la sophistication technique du dispositif ou la discrétion des mentions d’identification.