CNIL | SAN-2024-019 | 14 novembre 2024 | Affaire ORANGE SA | MANQUEMENTS

LE PREMIER MANQUEMENT : LA PROSPECTION COMMERCIALE PAR VOIE ÉLECTRONIQUE SANS CONSENTEMENT PRÉALABLE (ARTICLE L. 34-5 DU CPCE)

---

A. LA QUALIFICATION DE PROSPECTION DIRECTE : LES CONSTATATIONS DE LA CNIL ET LA MOTIVATION DE LA FORMATION RESTREINTE

 

Les contrôles réalisés par les services de la CNIL ont permis d’établir de manière circonstanciée qu’ORANGE mettait à disposition de ses clients un service de messagerie électronique (« Mail Orange ») et que, dans le cadre de ce service, les utilisateurs des comptes de messagerie électronique voyaient s’afficher au sein de leur boîte de réception, entre les courriels reçus et sans y avoir consenti, des messages publicitaires prenant la forme de courriers électroniques.

Le communiqué de la CNIL décrit avec précision la nature de ces annonces :

« Les utilisateurs des comptes de messagerie électronique ORANGE voyaient s’afficher au sein de leur boîte de réception, entre les courriels reçus et sans qu’ils n’y aient consenti, des messages publicitaires prenant la forme de courriers électroniques. »

Pour caractériser la violation, la formation restreinte a procédé en deux temps. En premier lieu, elle a statué sur la qualification juridique de ces annonces au regard de l’article L. 34-5 du CPCE. Cette disposition soumet à l’obligation de consentement préalable toute « prospection directe au moyen d’un système automatisé de communications électroniques » dans le but de promouvoir des biens ou services. La question était dès lors de déterminer si les annonces publicitaires affichées par ORANGE dans la boîte de réception de ses utilisateurs relevaient de cette qualification.

La formation restreinte a répondu par l’affirmative, en s’appuyant expressément sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 25 novembre 2021, StWL Gesellschaft für Werbung mbH c. eprimo GmbH (C-102/20). La CJUE avait jugé dans cet arrêt que des messages publicitaires présentés dans la boîte de réception d’un service de messagerie électronique, de manière à ressembler à des courriels normaux, constituent des communications envoyées à des fins de prospection directe. La formation restreinte en a tiré la conséquence suivante :

« Ces messages faisant la promotion de services ou de biens et qui ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique. En conséquence, il est nécessaire de recueillir le consentement des personnes concernées en application de l’article L. 34-5 du CPCE. »

Ce raisonnement ne procède pas d’une interprétation extensive de la notion de prospection directe, mais d’une application rigoureuse du critère fonctionnel et perceptuel dégagé par la CJUE : ce qui compte n’est pas le procédé technique par lequel la communication commerciale atteint l’utilisateur, mais la fonction qu’elle remplit dans l’espace de communication et la perception qu’en a l’utilisateur. Une annonce qui s’insère entre des courriels privés, prend l’apparence d’un courriel ordinaire et fait la promotion d’un produit ou d’un service est fonctionnellement identique à un courriel de prospection.

---

B. L’IMPUTATION DE LA RESPONSABILITÉ À ORANGE : LE CRITÈRE DE LA MAÎTRISE DU DISPOSITIF

 

La seconde question était celle de l’imputation de la responsabilité à ORANGE en tant que fournisseur de messagerie. La formation restreinte a clairement retenu la responsabilité d’ORANGE en motivant sa décision sur le critère de la maîtrise technique et commerciale :

« Pour retenir la responsabilité de la société ORANGE, fournisseur de messagerie, la CNIL a relevé que c’était elle qui avait la maîtrise des publicités en cause, en procédant à leur affichage et en commercialisant auprès des annonceurs ces espaces dédiés. Elle a ainsi distingué ces publicités des courriels adressés par un annonceur à un prospect en utilisant son adresse de courrier électronique, sur lesquels le fournisseur de messagerie n’a aucun contrôle et qu’il se contente d’acheminer. »

Cette distinction est particulièrement remarquable sur le plan juridique. La formation restreinte opère ainsi une nette différenciation entre deux situations :

—-D’une part, le courriel de prospection classique, envoyé par un annonceur à un prospect via son adresse électronique, sur lequel le fournisseur de messagerie ne dispose d’aucune maîtrise et qu’il se contente d’acheminer techniquement : dans ce cas, la responsabilité au titre de l’article L. 34-5 du CPCE pèse sur l’annonceur expéditeur ;
—-D’autre part, les annonces publicitaires que le fournisseur de messagerie lui-même insère dans l’interface de réception de ses utilisateurs, commercialise auprès d’annonceurs et affiche sans leur consentement : dans ce cas, la responsabilité pèse sur le fournisseur, en sa qualité de maître du dispositif.

Cette construction jurisprudentielle, qui s’inscrit dans la continuité de l’arrêt StWL de la CJUE, est susceptible d’avoir des répercussions considérables sur l’ensemble des fournisseurs de services de messagerie électronique qui monétisent leurs interfaces par l’insertion d’espaces publicitaires au sein même des boîtes de réception de leurs utilisateurs.

---

C. LES MOYENS DE DÉFENSE D’ORANGE ET LEUR TRAITEMENT PAR LA FORMATION RESTREINTE

 

La formation restreinte a indiqué, dans ses constatations, qu’ORANGE avait cessé de procéder à ce type d’affichage depuis le mois de novembre 2023 et que le nouveau format de publicité mis en œuvre permettait désormais de distinguer clairement les annonces des véritables courriels. Cet élément a été pris en compte comme circonstance atténuante dans la détermination du montant de l’amende, sans toutefois remettre en question la réalité et la gravité du manquement.

Il ressort des sources disponibles qu’ORANGE avait également fait valoir, à titre de moyen de défense, que des modifications visuelles avaient été apportées aux messages publicitaires dès avril 2023, afin de réduire le risque de confusion avec les autres courriels. La formation restreinte n’a pas retenu cet argument pour écarter le manquement, considérant — comme la CNIL l’avait fait dans la procédure parallèle visant GOOGLE (SAN-2025-004) — que les modifications apportées n’étaient pas de nature à remettre en cause le régime juridique applicable à l’affichage de ces annonces, « puisque celles-ci ne se distinguaient toujours pas clairement des véritables courriels ».

Il convient de souligner que l’arrêt rendu dans la procédure ORANGE est antérieur à la décision GOOGLE (SAN-2025-004, 1er septembre 2025), et que la CNIL a, en sanctionnant ORANGE le 14 novembre 2024, posé les fondements jurisprudentiels qui ont été repris et amplifiés dans la sanction ultérieure infligée à GOOGLE pour des faits similaires.

---

LE SECOND MANQUEMENT : LA LECTURE DE COOKIES APRÈS RETRAIT DU CONSENTEMENT (ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS)

---

A. LES CONSTATATIONS OPÉRÉES LORS DES CONTRÔLES

 

Les contrôles réalisés par les services de la CNIL ont permis d’établir avec précision que :

« Lorsqu’un utilisateur du site web orange.fr acceptait le dépôt et la lecture de cookies sur son terminal, puis retirait son consentement, les cookies précédemment déposés continuaient à être lus par la société ORANGE et par ses partenaires. »

Ce constat révèle un dysfonctionnement structurel du mécanisme de gestion du consentement d’ORANGE sur son site orange.fr : le retrait du consentement exprimé par l’utilisateur restait sans effet technique, en ce que les cookies précédemment déposés continuaient à faire l’objet d’opérations de lecture, tant par ORANGE elle-même que par les partenaires tiers auxquels elle avait ouvert l’accès à ses espaces publicitaires.

---

B. LA MOTIVATION DE LA FORMATION RESTREINTE : LE MANQUEMENT FORMEL ET SON CARACTÈRE INDÉPENDANT DE TOUTE EXPLOITATION EFFECTIVE DES DONNÉES

 

La motivation de la formation restreinte sur ce second manquement est d’une rigueur particulièrement remarquable. Elle a rappelé le principe fondamental suivant, dont la portée dépasse le seul cas d’espèce :

« Une telle opération de lecture, qui consiste à accéder aux informations stockées dans le terminal de l’utilisateur, était explicitement interdite par l’article 82 de la loi Informatique et Libertés, même si ces informations ne sont pas exploitées par la suite. »

Cette formulation consacre le caractère formel du manquement à l’article 82 de la loi Informatique et Libertés en matière de retrait de consentement : il n’est pas nécessaire que les données lues aient effectivement été utilisées par ORANGE ou par ses partenaires pour que le manquement soit constitué. La simple opération d’accès aux informations stockées dans le terminal de l’utilisateur, postérieurement au retrait de son consentement, suffit à caractériser la violation. Il s’agit là d’une obligation de résultat — et non de moyens — imposée au responsable de traitement.

Cette approche s’inscrit dans la jurisprudence constante de la formation restreinte en matière de traceurs, qui a systématiquement rejeté l’argument selon lequel l’absence d’exploitation effective des données collectées serait de nature à atténuer la gravité ou à supprimer la réalité du manquement.

---

C. LA DIMENSION AGGRAVÉE DU MANQUEMENT : LES COOKIES DES PARTENAIRES TIERS

 

La formation restreinte a relevé que la lecture de cookies après retrait de consentement concernait non seulement les cookies déposés par ORANGE elle-même, mais également les cookies déposés par les partenaires d’ORANGE sur le site orange.fr. Cette circonstance aggravante illustre l’obligation positive qu’a tout responsable de traitement d’assurer, non seulement sa propre conformité, mais également celle des tiers auxquels il donne accès à l’environnement numérique de ses utilisateurs.

La délibération SAN-2025-007 du 11 septembre 2025, par laquelle la formation restreinte a prononcé la clôture de l’injonction prononcée dans le cadre de SAN-2024-019, a confirmé qu’ORANGE avait, dans le délai imparti de trois mois, effectivement mis en œuvre les mesures techniques nécessaires pour cesser toute opération de lecture des cookies après retrait du consentement. Cette clôture d’injonction, sans prononcé d’astreinte, témoigne d’une mise en conformité effective mais tardive — ORANGE ayant poursuivi les opérations litigieuses jusqu’à la procédure de contrôle de la CNIL.

La délibération SAN-2025-007 (Légifrance, CNILTEXT000052254851) mentionne expresément :

« d’autre part, que lorsque les utilisateurs du site orange.fr retiraient leur consentement, les cookies précédemment déposés continuaient à être lus, en violation des règles applicables. »

---

LA MOTIVATION DE LA SANCTION PÉCUNIAIRE : LES CRITÈRES DE L’ARTICLE 83 DU RGPD

---

A. LES ÉLÉMENTS RETENUS POUR LA DÉTERMINATION DU MONTANT DE L’AMENDE

 

La formation restreinte a fondé la détermination du montant de l’amende sur plusieurs critères tirés de l’article 83 du RGPD, dont les principaux sont les suivants :

1. Le nombre très élevé de personnes concernées : La CNIL a expressément relevé que plus de 7,8 millions de personnes avaient vu s’afficher les publicités en cause dans leur boîte de réception. Cette donnée quantitative constitue l’un des éléments centraux de la motivation, qui souligne l’ampleur systémique du manquement et la nécessité d’une amende dissuasive à la mesure des atteintes portées à la vie privée des utilisateurs.

2. La position dominante d’ORANGE sur le marché : La formation restreinte a tenu compte du fait qu’ORANGE est le premier opérateur de télécommunications en France, ce qui accentue les risques systémiques liés à ses pratiques et justifie une exigence renforcée de conformité. Cet élément fait écho à la jurisprudence du Conseil d’État qui reconnaît la pertinence de la position de marché comme critère aggravant dans la détermination des sanctions administratives.

3. L’avantage financier tiré du manquement : La formation restreinte a également tenu compte de l’avantage financier retiré du manquement relatif aux publicités insérées entre les courriels. ORANGE commercialisait en effet ces espaces publicitaires auprès d’annonceurs, ce qui lui procurait un revenu directement lié à la pratique illicite. La prise en compte de cet avantage économique reflète le souci de la formation restreinte que la sanction ne puisse être perçue comme un simple « coût du risque » de non-conformité, absorbable par les bénéfices tirés de la pratique illicite.

4. La cessation du manquement avant la décision : La formation restreinte a néanmoins pris en compte, comme élément atténuant, le fait qu’ORANGE avait cessé de procéder à ce type d’affichage depuis le mois de novembre 2023, soit avant le prononcé de la délibération (14 novembre 2024). Cette cessation volontaire — au demeurant tardive, puisqu’elle fait suite aux contrôles de la CNIL — a été prise en compte dans la détermination du montant final de l’amende.

---

B. LA PROPORTIONNALITÉ DE L’AMENDE AU REGARD DU CHIFFRE D’AFFAIRES D’ORANGE

 

L’amende de 50 millions d’euros prononcée à l’encontre d’ORANGE doit être appréciée à la lumière des plafonds fixés par l’article 83, §5, du RGPD — soit 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent — ainsi que de l’article L. 34-5 du CPCE, qui prévoit ses propres plafonds pour les violations de prospection commerciale.

Compte tenu du chiffre d’affaires annuel d’ORANGE (environ 43 milliards d’euros), l’amende de 50 millions d’euros représente moins de 0,12 % du chiffre d’affaires annuel mondial, ce qui illustre la retenue relative de la formation restreinte dans la fixation du montant de la sanction — tout en restant dans le registre des amendes significatives à l’échelle nationale. À titre de comparaison, la sanction ultérieure infligée à GOOGLE pour des faits similaires (SAN-2025-004) s’est élevée à 325 millions d’euros, reflétant la taille incomparablement plus importante du groupe GOOGLE et l’ampleur plus grande du manquement constaté (plus d’une décennie de pratiques illicites contre plusieurs années pour ORANGE).

---

L’INJONCTION ET L’ASTREINTE : LE VOLET CORRECTEUR DE LA DÉLIBÉRATION

---

A. LE DISPOSITIF DE L’INJONCTION

 

La délibération SAN-2024-019 a complété l’amende par le prononcé d’une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard. Ce mécanisme coercitif, prévu par l’article 20 de la loi Informatique et Libertés, vise à contraindre le responsable de traitement à se mettre effectivement en conformité dans un délai déterminé, sous peine de sanctions financières supplémentaires.

L’injonction ne portait que sur le second manquement (lecture de cookies après retrait du consentement), le premier manquement (prospection sans consentement) ayant d’ores et déjà cessé depuis novembre 2023.

---

B. LE VERBATIM INTÉGRAL DU DISPOSITIF DE LA DÉLIBÉRATION SAN-2024-019

 

Le communiqué officiel de la CNIL énonce en ces termes le dispositif de la délibération :

« Pour ces deux manquements, la formation restreinte a prononcé à l’encontre de la société ORANGE :

– une amende de 50 millions d’euros, rendue publique.
– une injonction de cesser les opérations de lecture des cookies après retrait du consentement de la personne concernée dans un délai de trois mois, assortie d’une astreinte de 100 000 euros par jour de retard. »

Ce dispositif bipartite — amende sanctionnant les manquements passés et injonction imposant la conformité future — illustre la politique de sanction graduée et fonctionnelle de la CNIL, qui distingue le volet répressif du volet correcteur.

---

C. LA CLÔTURE DE L’INJONCTION : SAN-2025-007 DU 11 SEPTEMBRE 2025

 

Par délibération SAN-2025-007 du 11 septembre 2025 (Légifrance, CNILTEXT000052254851), la formation restreinte a prononcé la clôture de l’injonction prononcée à l’encontre d’ORANGE, constatant que la société avait satisfait, dans le délai imparti, à son obligation de cesser les opérations de lecture des cookies après retrait du consentement. Aucune astreinte n’a donc été liquidée.

Cette clôture est intervenue moins d’un an après la délibération principale, ce qui témoigne d’une réactivité d’ORANGE une fois la contrainte juridique rendue contraignante par l’astreinte. Le contraste entre la durée pendant laquelle le manquement a perduré avant la procédure et la rapidité de la mise en conformité une fois la sanction prononcée illustre les limites de la conformité spontanée et l’importance des mécanismes coercitifs dans l’effectivité du droit à la protection des données.

---

CONTEXTUALISATION JURISPRUDENTIELLE : ÉVOLUTION DE LA JURISPRUDENCE CNIL SUR LES MANQUEMENTS SIMILAIRES

---

A. LA JURISPRUDENCE ANTÉRIEURE DE LA CNIL EN MATIÈRE DE PROSPECTION SANS CONSENTEMENT (ARTICLE L. 34-5 CPCE)

 

La délibération SAN-2024-019 s’inscrit dans une jurisprudence constante et progressive de la CNIL en matière de violation de l’obligation de consentement préalable à la prospection commerciale électronique. Sans prétendre à l’exhaustivité, les précédents suivants méritent d’être signalés :

—-COSMOSPACE (SAN-2024-014, 26 septembre 2024, 250 000 euros) et TELEMAQUE (SAN-2024-015, 26 septembre 2024, 150 000 euros) : manquements à l’article L. 34-5 CPCE pour prospection électronique et téléphonique sans consentement valable ;
—-HUBSIDE.STORE (SAN-2024-004, 4 avril 2024, 525 000 euros) : manquement à l’article L. 34-5 CPCE et à l’article 14 du RGPD ; caractère emblématique de la jurisprudence sur les courtiers en données et la propagation de consentements invalides ;
—-FORIOU (SAN-2024-003, 31 janvier 2024, 310 000 euros) : manquement à l’article 6 du RGPD pour absence de base légale en matière de prospection commerciale.

Ces précédents illustrent la montée en puissance de la doctrine de la CNIL sur le consentement en matière de prospection électronique. La délibération SAN-2024-019 franchit un seuil qualitatif supplémentaire en étendant pour la première fois, dans le droit national, la qualification de prospection directe aux annonces publicitaires intégrées dans une boîte de réception de messagerie par le fournisseur du service lui-même — une extension qui s’était jusqu’alors heurtée à des résistances des opérateurs.

---

B. LA JURISPRUDENCE POSTÉRIEURE : LA CONFIRMATION ET L’AMPLIFICATION PAR LA DÉLIBÉRATION GOOGLE (SAN-2025-004)

 

La délibération SAN-2024-019 a clairement ouvert la voie à la sanction infligée à GOOGLE le 1er septembre 2025 (SAN-2025-004, 325 millions d’euros). Le communiqué relatif à la délibération GOOGLE reprend en substance la même qualification juridique pour les annonces publicitaires insérées dans les onglets « Promotions » et « Réseaux sociaux » de Gmail :

« Ces messages faisant la promotion de services ou de biens et qui ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique. »

L’affaire ORANGE constitue ainsi un précédent fondateur dans l’ordre de la jurisprudence de la CNIL, qui a été explicitement repris et amplifié dans la sanction GOOGLE. La ligne jurisprudentielle ainsi tracée — qui résulte d’une lecture convergente de l’article L. 34-5 du CPCE et de l’arrêt StWL de la CJUE — s’impose désormais à tous les fournisseurs de messagerie électronique opérant sur le marché français, indépendamment de leur taille ou de leur nationalité.

---

C. LA JURISPRUDENCE DE LA CNIL SUR LE RETRAIT DE CONSENTEMENT AUX COOKIES (ARTICLE 82 LIL)

 

Sur le second manquement (lecture de cookies après retrait de consentement), la délibération SAN-2024-019 s’inscrit dans la continuité des décisions rendues par la formation restreinte sur le fondement de l’article 82 de la loi Informatique et Libertés. Les décisions YAHOO EMEA LIMITED (SAN-2023-024, 29 décembre 2023, 10 millions d’euros) et CONDE NAST (SAN-2025-010, 20 novembre 2025, 750 000 euros) illustrent la rigueur constante de la CNIL dans l’application des obligations de consentement en matière de traceurs. La décision SHEIN (SAN-2025-005, 1er septembre 2025, 150 millions d’euros) et la décision INTERSPORTS (SAN-2025-017, 30 décembre 2025, 3,5 millions d’euros) confirment que l’effectivité du retrait de consentement — y compris vis-à-vis des partenaires tiers — est devenue un standard d’exigence centrale de la doctrine de la CNIL en matière de traceurs.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2024-019 du 14 novembre 2024, par laquelle la formation restreinte de la CNIL a prononcé à l’encontre de la société ORANGE SA une amende de 50 millions d’euros assortie d’une injonction sous astreinte de 100 000 euros par jour de retard, constitue une décision fondatrice dans le droit de la prospection commerciale électronique et de la gestion des traceurs.

S’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021 (C-102/20), la formation restreinte a qualifié de prospection directe soumise à l’obligation de consentement préalable de l’article L. 34-5 du CPCE les annonces publicitaires qu’ORANGE insérait au sein même de la boîte de réception de son service « Mail Orange », entre les courriels de ses utilisateurs, en retenant le critère de la maîtrise technique et commerciale du dispositif par le fournisseur de messagerie — critère qui distingue radicalement ce format de la prospection classique envoyée par un annonceur via l’adresse courriel d’un prospect —, et ce alors même qu’ORANGE avait introduit des modifications visuelles sur ses annonces depuis avril 2023, jugées insuffisantes à exclure la confusion avec un véritable courriel ; au titre d’un second manquement autonome à l’article 82 de la loi Informatique et Libertés, la formation restreinte a établi, comme règle formelle ne souffrant aucune exception, que la lecture de cookies s’opérant postérieurement au retrait du consentement par l’utilisateur — fût-ce sans exploitation effective des données ainsi lues — constitue en soi une violation, y compris lorsqu’elle porte sur des cookies déposés par des partenaires tiers auxquels le responsable de traitement a ouvert son espace numérique ; la détermination du montant de l’amende tient compte de l’atteinte portée à plus de 7,8 millions de personnes, de la position d’ORANGE comme premier opérateur de télécommunications en France, de l’avantage financier retiré de la commercialisation des espaces publicitaires litigieux, et de la cessation volontaire du premier manquement en novembre 2023 à titre atténuant ;

L’injonction, exécutée dans le délai de trois mois imparti ainsi que l’a constaté la délibération SAN-2025-007 du 11 septembre 2025 clôturant la procédure sans astreinte liquidée, a permis à ORANGE de se mettre effectivement en conformité, mais l’affaire a ouvert la voie à la sanction infligée à GOOGLE le 1er septembre 2025 (SAN-2025-004, 325 millions d’euros) pour des pratiques similaires, confirmant qu’ORANGE constitue le précédent jurisprudentiel fondateur d’une ligne doctrinale désormais pleinement assumée par la formation restreinte, qui soumet à l’obligation d’opt-in l’ensemble des formats publicitaires insérés dans les espaces de messagerie privée par leurs fournisseurs, quelle que soit la sophistication technique du dispositif ou la discrétion des mentions d’identification.