CNIL | SAN-2023-024 | 29 décembre 2023 | Affaire YAHOO EMEA LIMITED | ANALYSE CRITIQUE

CNIL | SAN-2023-024 | 29 DÉCEMBRE 2023 | AFFAIRE YAHOO EMEA LIMITED |

COOKIES DÉPOSÉS SANS CONSENTEMENT PRÉALABLE ET OBSTACLE AU RETRAIT DU CONSENTEMENT ° LA CNIL SANCTIONNE YAHOO EMEA LIMITED D’UNE AMENDE DE 10 MILLIONS D’EUROS

POINTS ESSENTIELS

FAITS & PROCEDURE MANQUEMENTS SANCTIONS ANALYSE CRITIQUE CONSEILS AUX RT

C. CONCLUSION GÉNÉRALE

 

La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.

En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.

En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.

En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.

La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.

Dispositif de la délibération SAN-2023-024 :

La formation restreinte de la CNIL a décidé de :

—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

 

YAHOO EMEA LIMITED — DÉLIBÉRATION DE LA FORMATION RESTREINTE N° SAN-2023-024 DU 29 DÉCEMBRE 2023

 

ANALYSE APPROFONDIE

COOKIES DÉPOSÉS SANS CONSENTEMENT PRÉALABLE ET OBSTACLE AU RETRAIT DU CONSENTEMENT : LA CNIL SANCTIONNE YAHOO EMEA LIMITED D’UNE AMENDE DE 10 MILLIONS D’EUROS

 

Par délibération n° SAN-2023-024 du 29 décembre 2023, publiée sur Légifrance le 18 janvier 2024, la formation restreinte de la Commission nationale de l’informatique et des libertés a prononcé une amende administrative de dix millions d’euros à l’encontre de la société YAHOO EMEA LIMITED, pour manquements aux dispositions de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés »).

Cette décision, rendue à l’issue d’une procédure initiée par vingt-sept plaintes d’utilisateurs et de deux contrôles en ligne effectués en octobre 2020 et juin 2021, sanctionne deux manquements distincts mais connexes : le dépôt de cookies à finalité publicitaire sur les terminaux des utilisateurs en l’absence de tout consentement préalable, et la mise en place de mécanismes faisant obstacle au libre retrait du consentement au dépôt de cookies par les utilisateurs du service de messagerie Yahoo Mail.

La décision s’inscrit dans la continuité de la jurisprudence administrative et européenne relative à la compétence de la CNIL sur les opérations de lecture et d’écriture dans un terminal au titre de la directive 2002/58/CE (ci-après « directive ePrivacy »), et se distingue par la particularité de son second grief — le cookie wall contraint — qui soulève des questions inédites sur l’articulation entre la liberté de retrait du consentement, la notion de préjudice et l’exigence d’une alternative équivalente pour l’utilisateur.

I. LES FAITS ET LA PROCÉDURE

A. PRÉSENTATION DE LA SOCIÉTÉ YAHOO EMEA LIMITED

 

La société YAHOO EMEA LIMITED est l’héritière d’une restructuration complexe du groupe VERIZON. À l’origine, le groupe VERIZON COMMUNICATIONS INC., dont le siège est établi aux États-Unis, s’était organisé autour d’une branche « média » dirigée en Europe par la filiale VERIZON MEDIA NETHERLANDS B.V., établie aux Pays-Bas. Cette dernière détenait notamment la société VERIZON MEDIA EMEA LIMITED et, par le biais d’une chaîne de participations, la société OATH HOLDING France SAS, elle-même actionnaire de la société OATH BRANDS FRANCE, appellation depuis 2018 de l’ancienne société YAHOO! FRANCE, créée en 2002.

À la suite du rachat de la branche VERIZON MEDIA par la société américaine APOLLO GLOBAL MANAGEMENT, la société VERIZON MEDIA EMEA LIMITED est devenue la société YAHOO EMEA LIMITED, ci-après désignée « la société ». Au titre de l’exercice 2022, le chiffre d’affaires de la société s’élevait à un montant dont la délibération indique la valeur exacte, partiellement couverte par l’anonymisation subséquente de la délibération.

La société YAHOO EMEA LIMITED, établie en Irlande, édite plusieurs services web, dont le moteur de recherche accessible via le domaine yahoo.com et le service de messagerie électronique Yahoo Mail. Ces services sont au cœur de son modèle économique fondé sur la commercialisation d’espaces publicitaires et de plateformes technologiques de publicité programmatique — Supply Side Platform (SSP) et Demand Side Platform (DSP) — dont le fonctionnement est intrinsèquement lié au dépôt et à la lecture de cookies permettant d’assurer la traçabilité de la navigation des utilisateurs.

B. LE TRAITEMENT EN CAUSE : L’ÉCOSYSTÈME PUBLICITAIRE YAHOO ET LA GESTION DES COOKIES

 

Le traitement objet de la présente procédure consiste en des opérations d’accès ou d’inscription d’informations — des cookies et traceurs — dans le terminal des utilisateurs résidant en France lors de leur navigation sur le domaine yahoo.com ou lors de l’utilisation du service Yahoo Mail. Ces opérations revêtent deux dimensions essentielles.

En premier lieu, les cookies déposés sur le terminal de l’utilisateur lors de la visite du site yahoo.com poursuivent, pour une partie significative d’entre eux, une finalité publicitaire : ils permettent de suivre la navigation de l’utilisateur au fil du temps, et leur lecture depuis la page d’un annonceur achetant un espace publicitaire permet de lui proposer un ensemble d’annonces personnalisées correspondant à son comportement de navigation. Ce mécanisme de publicité comportementale programmatique constitue le cœur du modèle économique de la société.

En second lieu, le service de messagerie Yahoo Mail se trouve au centre du second grief retenu. Sa particularité réside dans le fait qu’il constitue pour ses utilisateurs un élément de leur vie privée, familiale et professionnelle — adresse électronique, carnet d’adresses, conversations archivées — de telle sorte que l’utilisateur se trouve progressivement « captif » de ce service, dans l’impossibilité pratique de le remplacer aisément par un service équivalent une fois qu’il l’a adopté.

C. L’ORIGINE DE LA PROCÉDURE : LES PLAINTES DES UTILISATEURS ET LES CONTRÔLES EN LIGNE

 

Entre le 12 juin 2019 et le 2 octobre 2020, la CNIL a été saisie par vingt-sept plaignants dénonçant notamment le dépôt de cookies sur leur terminal avant toute action de leur part, la non-prise en compte de leur refus au dépôt de ces cookies, et les difficultés rencontrées dans les modalités de refus de ces derniers lors de l’utilisation du domaine yahoo.com et du service Yahoo Mail.

À la suite de ces plaintes, une délégation de la Commission a procédé à deux contrôles en ligne :

— Le 7 octobre 2020, en application de la décision n° 2020-254C du 14 août 2020 de la présidente de la CNIL, la délégation a reproduit deux parcours utilisateurs : le parcours d’un utilisateur se rendant sur le domaine yahoo.com et le parcours d’un utilisateur s’inscrivant au service Yahoo Mail, sans exprimer à aucun moment son consentement au dépôt de cookies.

— Le 10 juin 2021, un second contrôle en ligne ayant le même objet a été réalisé par la délégation de la CNIL, dans des conditions voisines.

Ces contrôles ont été complétés par une audition de la société OATH BRANDS FRANCE le 23 juin 2021, conduite en application de l’article 19-III de la loi Informatique et Libertés.

D. LA PROCÉDURE DE SANCTION

 

Aux fins d’instruction des éléments recueillis lors des contrôles, la présidente de la Commission a désigné M. François PELLEGRINI, commissaire, en qualité de rapporteur devant la formation restreinte, par décision du 10 juillet 2023, soit près de deux ans après le second contrôle en ligne.

Le 11 août 2023, le rapporteur a notifié à la société un rapport proposant à la formation restreinte de prononcer une amende administrative pour un manquement à l’article 82 de la loi Informatique et Libertés, ainsi que la publicité de la décision avec anonymisation à l’issue d’un délai de deux ans à compter de sa publication.

Le 5 septembre 2023, la société a sollicité un délai complémentaire pour présenter ses observations, accordé pour sept jours supplémentaires par le président de la formation restreinte. Les 29 septembre 2023, 25 octobre 2023 et 28 novembre 2023 ont successivement été produites les observations de la société en réponse au rapport, la réponse du rapporteur aux observations, et les nouvelles observations de la société.

Le 30 novembre 2023, le rapporteur a informé la société de la clôture de l’instruction, et une convocation à la séance du 21 décembre 2023 a été adressée à la société. La formation restreinte a délibéré le 29 décembre 2023.

II. LE CADRE JURIDIQUE ET LA COMPÉTENCE DE LA CNIL

A. SUR LA COMPÉTENCE MATÉRIELLE DE LA CNIL

 

1. LE FONDEMENT TEXTUEL : LA DIRECTIVE EPRIVACY ET L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

Le traitement objet de la présente procédure est relatif au dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de la navigation sur le site yahoo.com et l’utilisation du service Yahoo Mail. Ce traitement s’effectue dans le cadre de la fourniture de services de communications électroniques accessibles au public, par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, il entre dans le champ d’application matériel de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, telle que modifiée par la directive 2006/24/CE et la directive 2009/136/CE, ci-après la « directive ePrivacy ».

L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de ladite loi relatif aux droits et obligations propres aux traitements dans le secteur des communications électroniques.

2. L’INAPPLICABILITÉ DU MÉCANISME DU GUICHET UNIQUE

La formation restreinte rappelle que le Conseil d’État a, dans sa décision Société GOOGLE LLC et Société GOOGLE IRELAND LIMITED du 28 janvier 2022 (n° 449209, au Recueil), expressément confirmé :

« Il n’a pas été prévu l’application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978. »

Le Conseil d’État a réaffirmé cette position dans son arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, Société AMAZON EUROPE CORE, n° 451423, aux Tables).

Il en résulte que, contrairement à ce que soutenait en défense la société YAHOO EMEA LIMITED — qui avait indiqué que la CNIL aurait pu communiquer les plaintes qu’elle avait reçues à son homologue irlandaise — la CNIL n’aurait pas pu, en tout état de cause, procéder à un tel renvoi pour des opérations de lecture et d’écriture dans un terminal.

B. SUR LA COMPÉTENCE TERRITORIALE DE LA CNIL

 

1. LA NOTION D’ÉTABLISSEMENT SUR LE TERRITOIRE FRANÇAIS

La règle d’application territoriale des exigences figurant à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la même loi, qui dispose que

« sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement UE 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire français, que le traitement ait lieu ou non en France. »

La société YAHOO EMEA LIMITED a contesté la compétence territoriale de la CNIL sur deux fondements : d’une part, en soutenant que la société YAHOO FRANCE est une entité juridique distincte, dont elle n’est pas actionnaire directement, et qu’elle ne peut être regardée comme son « établissement » au sens de la décision Weltimmo de la Cour de justice de l’Union européenne (CJUE, 1er octobre 2015, Weltimmo, C-230/14) ; d’autre part, en soutenant que le traitement en cause n’intervenait pas dans le cadre des activités de YAHOO FRANCE.

S’agissant de la première branche, la formation restreinte rappelle que la notion d’établissement doit être appréciée de façon souple. La CJUE a en effet posé que :

« la notion d’établissement, au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable », le critère de stabilité de l’installation étant « examiné au regard de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question » (CJUE, 1er octobre 2015, Weltimmo, C-230/14, points 30 et 31).

En l’espèce, la formation restreinte relève les éléments factuels suivants, non contestés par la société :

—-Les statuts de la société OATH BRANDS FRANCE, devenue YAHOO FRANCE, indiquent que son siège social est implanté au 50-52 boulevard Haussmann, Paris 75009 et qu’elle a pour objet la promotion sur le marché français des produits et solutions publicitaires de YAHOO, comprenant notamment la prospection et le développement de nouveaux clients, le maintien des relations clients et la fourniture aux clients d’informations spécifiques à l’industrie.
—-Un contrat de prestation a été conclu entre OATH BRANDS FRANCE SAS et VERIZON MEDIA EMEA Ltd., prévoyant que la première agit en tant que prestataire de services pour le compte de la seconde afin de promouvoir les produits commercialisés par la société VERIZON MEDIA EMEA Ltd. auprès de ses clients français.
—-La société OATH BRANDS FRANCE est intégralement et directement détenue par une holding dont le capital social est lui-même intégralement et directement détenu par la société VERIZON MEDIA NETHERLANDS B.V., laquelle détient directement la totalité du capital social de la société VERIZON MEDIA EMEA LIMITED.
—-La présidence de la société OATH BRANDS FRANCE est directement exercée par la société VERIZON MEDIA NETHERLANDS B.V.
—-La société OATH BRANDS FRANCE refacture ses coûts de fonctionnement à la société VERIZON MEDIA EMEA LTD. avec une marge, et la personne en charge de la branche commerciale de OATH BRANDS FRANCE rend compte à cette dernière.

Ces éléments établissent l’existence d’une installation stable et d’une activité réelle et effective de YAHOO FRANCE sur le territoire français. La forme juridique retenue — filiale distincte dotée de la personnalité morale — est sans incidence, conformément à la jurisprudence de la CJUE (CJUE, 13 mai 2014, Google Spain, C-131/12, point 48).

2. L’EXISTENCE D’UN TRAITEMENT EFFECTUÉ « DANS LE CADRE DES ACTIVITÉS » DE L’ÉTABLISSEMENT

Le second point de contestation de la société portait sur le fait que le traitement en cause n’interviendrait pas dans le cadre des activités de YAHOO FRANCE, qui ne serait ni impliquée dans le traitement lui-même, ni dans la vente directe d’espaces publicitaires sur yahoo.com.

La formation restreinte écarte cet argument en s’appuyant sur la jurisprudence du Conseil d’État. Dans sa décision Société AMAZON EUROPE CORE (CE, 27 juin 2022, n° 451423), celui-ci avait rappelé la position de la CJUE :

« Au vu de l’objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué dans le cadre des activités d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site. »

En l’espèce, la formation restreinte relève que :

—-La société YAHOO EMEA LIMITED commercialise des espaces publicitaires et des plateformes technologiques de publicité programmatique (SSP et DSP) disponibles sur le domaine yahoo.com.
—-La société YAHOO FRANCE est chargée de promouvoir les produits vendus par cette société sur le marché français, l’essentiel de ses salariés travaillant à la promotion de ces produits.
—-Ces plateformes technologiques exploitent le dépôt de cookies dans leur fonctionnement : le dépôt de cookies est nécessaire pour assurer la traçabilité de la navigation de l’utilisateur, et leur lecture à partir d’une page où un annonceur achète un espace publicitaire est indispensable pour proposer des annonces personnalisées.

La formation restreinte conclut que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont réunis, et que la CNIL est territorialement compétente.

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
Yahoo France constitue un établissement au sens souple de la CJUE : siège à Paris, objet social = promotion des produits Yahoo en France, contrat de prestation, lien capitalistique et de gouvernance étroit Yahoo France est une entité juridique distincte dont Yahoo EMEA n’est pas actionnaire ; elle ne représente pas Yahoo EMEA dans les procédures administratives et judiciaires relatives aux cookies
Le dépôt de cookies est effectué « dans le cadre des activités » de Yahoo France car les plateformes publicitaires qu’elle promeut fonctionnent grâce aux cookies Yahoo France n’est impliquée ni dans le traitement, ni dans la conception/gestion du traitement de données ; elle ne gère pas les relations avec les utilisateurs français
La jurisprudence CE Amazon Europe Core confirme que la seule promotion d’espaces publicitaires suffit à caractériser le « cadre des activités » Le risque d’atteinte à la protection des utilisateurs ne se présente pas ici puisque Yahoo EMEA a son siège dans un État membre (Irlande)
En tout état de cause, la CNIL n’aurait pas pu renvoyer les plaintes à l’autorité irlandaise : le guichet unique est inapplicable (CE, Google LLC, 28 janv. 2022) La CNIL aurait pu communiquer les plaintes à l’autorité irlandaise, compétente en tant qu’autorité de l’État membre du siège

C. SUR LA DÉTERMINATION DU RESPONSABLE DE TRAITEMENT

 

La formation restreinte rappelle que l’article 4, paragraphe 7, du RGPD — applicable par renvoi de la directive ePrivacy — définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

En l’espèce, la qualité de responsable de traitement de la société YAHOO EMEA LIMITED n’est pas contestée. La délibération relève que :

—-La politique de confidentialité de la société, dans ses versions disponibles au jour des contrôles, indique que « Nous avons recours à des cookies et d’autres technologies lorsque vous consultez nos Produits et que vous vous servez d’applications et de sites Web tiers utilisant nos Services », le terme « Nous » faisant référence à la société VERIZON MEDIA EMEA LIMITED.
—-Par courrier du 2 juillet 2021, la société a indiqué qu’elle détermine les finalités et les moyens des traitements de données personnelles relatifs à la publicité ciblée sur tous les domaines visités lors des vérifications.
—-Tant la société YAHOO FRANCE que la société VERIZON FRANCE ont confirmé que la responsabilité du traitement concernant le site yahoo.com et la messagerie Yahoo Mail incombait à la société VERIZON MEDIA EMEA LIMITED, devenue YAHOO EMEA LIMITED.

D. SUR LE GRIEF TIRÉ DE L’IRRÉGULARITÉ DE LA PROCÉDURE

 

La société YAHOO EMEA LIMITED a soulevé deux griefs procéduraux qui doivent être examinés avant d’aborder le fond.

1. SUR LE DÉLAI DE LA PROCÉDURE

La société a soutenu que la longueur de la procédure — le dernier contrôle de la CNIL datant d’octobre 2021 et la désignation du rapporteur de juillet 2023 — avait porté atteinte à ses droits de la défense et constituait une violation du droit à une bonne administration, de manière impartiale et équitable, et dans un délai raisonnable, tel que consacré par l’article 41 de la Charte des droits fondamentaux de l’Union européenne.

La formation restreinte considère qu’il ne lui revient pas d’apprécier le délai écoulé entre la décision de la présidente ordonnant un contrôle et la décision de désignation d’un rapporteur. En revanche, elle relève que la procédure de sanction menée depuis la désignation du rapporteur et la saisine de la formation restreinte, datées respectivement des 10 et 11 juillet 2023, s’est déroulée en moins de six mois et donc dans des conditions respectueuses des droits de la défense, en termes de délai raisonnable.

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
La procédure de sanction devant la formation restreinte (juil.-déc. 2023) s’est déroulée en moins de 6 mois : respect du délai raisonnable Le délai écoulé entre le dernier contrôle (oct. 2021) et la désignation du rapporteur (juil. 2023) — près de 2 ans — a porté atteinte aux droits de la défense et viole l’art. 41 de la Charte des droits fondamentaux de l’UE
La formation restreinte ne peut apprécier le délai préalable à sa saisine Ce délai a eu un impact négatif sur le montant de l’amende, calculé sur le CA 2022, nettement supérieur à ce qu’aurait été le CA 2020 si l’affaire avait été examinée en 2021

2. SUR LA CONTESTATION DE LA MÉTHODOLOGIE DE CONTRÔLE

La société a contesté la méthodologie suivie par la délégation de la CNIL lors du contrôle en ligne n° 2020-1271, en soutenant que l’une des captures d’écran reproduites en page 14 du procès-verbal ne correspondait pas à celle à laquelle le procès-verbal faisait référence et qui est annexée en pièce n° 25.

La formation restreinte relève que le procès-verbal de contrôle ne contient aucune erreur : en page 14 de celui-ci figurent deux captures d’écran reproduites l’une en-dessous de l’autre, séparées par la mention « Constatons l’affichage suivant », et que le renvoi fait par le procès-verbal à la pièce n° 25 ne correspond qu’à la seconde capture d’écran. Elle note en outre que la présentation du procès-verbal et de ses annexes n’avait jamais été contestée par la société après notification des documents par la délégation de la CNIL.

Le grief tiré de l’irrégularité de la procédure est en conséquence écarté.

III. LES MANQUEMENTS À L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

A. LE CADRE JURIDIQUE DE RÉFÉRENCE : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

 

L’article 82 de la loi Informatique et Libertés dispose :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Depuis l’entrée en application du RGPD, le consentement prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair. Le considérant 42 du RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

B. SUR LE PREMIER VOLET DU MANQUEMENT : LE DÉPÔT DE COOKIES EN L’ABSENCE DE CONSENTEMENT PRÉALABLE

 

1. LES CONSTATATIONS LORS DU CONTRÔLE EN LIGNE DU 7 OCTOBRE 2020

Lors du contrôle en ligne du 7 octobre 2020, la délégation de la CNIL a reproduit deux parcours utilisateurs en n’exprimant à aucun moment son consentement au dépôt de cookies :

Premier scénario : La délégation s’est rendue sur la page yahoo.com, où elle a constaté l’affichage d’une fenêtre portant la mention « Vos données. Votre expérience » relative à l’utilisation de cookies par la société, laquelle comportait un bouton « J’accepte » et un bouton « Gérer les paramètres ». Après avoir cliqué sur « Gérer les paramètres », la délégation a constaté l’apparition d’une interface permettant de paramétrer le dépôt de cookies par finalités ou par partenaires, grâce à des boutons poussoirs désactivés par défaut. La délégation n’a activé aucun de ces boutons, puis a cliqué sur le bouton « Enregistrer et continuer » afin de poursuivre sa navigation. Elle a néanmoins relevé le dépôt de 26 cookies, dont 7 à finalité publicitaire.

Second scénario : La délégation a navigué sur le domaine yahoo.com pour créer un compte de messagerie Yahoo Mail, sans exprimer son consentement. À mi-parcours, elle a constaté le dépôt de 26 cookies dont 12 à finalité publicitaire. Une fois le parcours de création de compte terminé, la délégation a constaté la présence de 47 cookies sur son terminal, dont 8 à finalité publicitaire supplémentaires. Au total, 20 cookies à finalité publicitaire ont été déposés sans consentement préalable.

La formation restreinte considère donc que la méthodologie suivie par la délégation de contrôle établit clairement qu’au moins 20 cookies poursuivant une finalité publicitaire ont été inscrits sur son terminal sans consentement préalable.

2. LE CADRE JURIDIQUE APPLICABLE AU MOMENT DU CONTRÔLE

La société a soutenu qu’elle ne pouvait être sanctionnée pour les manquements constatés lors du contrôle en ligne du 7 octobre 2020, dans la mesure où ce contrôle avait été réalisé seulement quelques jours après la publication des lignes directrices du 1er octobre 2020, ce qui ne lui avait pas laissé un temps suffisant pour s’y conformer. Elle soulignait que ces manquements avaient été commis pendant la période transitoire de six mois (1er octobre 2020 au 1er avril 2021) durant laquelle la CNIL avait déclaré qu’aucune mission de contrôle ni action répressive ne serait engagée.

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
Le communiqué CNIL du 29 sept. 2020 indiquait expressément que la CNIL continuerait de poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en application du RGPD, clairées par sa recommandation du 5 déc. 2013 Le contrôle a été réalisé quelques jours après les lignes directrices du 1er oct. 2020 : la société n’avait pas eu le temps de s’y conformer
Les pratiques reprochées ont continuellement été considérées comme non conformes par la CNIL, la position demeurant inchangée quelle que soit l’évolution des recommandations Ces manquements ont été commis pendant la période transitoire de 6 mois (1er oct. 2020 – 1er avril 2021) déclarée par la CNIL, durant laquelle aucune répression n’était annoncée
La CNIL n’a jamais considéré que la période transitoire couvrait les manquements antérieurs au RGPD La société a immédiatement pris des mesures supplémentaires après notification du PV d’octobre 2020

La formation restreinte rejette l’argument de la société en relevant que si les recommandations en matière de cookies ont évolué, les pratiques reprochées à la société ont continuellement été considérées comme non conformes par la CNIL et que cette position demeure inchangée.

3. SUR LA RESPONSABILITÉ DE LA SOCIÉTÉ POUR LES COOKIES DÉPOSÉS PAR SES PARTENAIRES TIERS

La société a soutenu qu’un grand nombre de cookies avaient été déposés par des tiers, et qu’elle avait mis en œuvre tous les moyens permettant de s’assurer que ses partenaires ne déposent pas de cookies sur son site sans se conformer à la législation applicable. Elle se prévalait à cet égard d’un document intitulé « Pratiques, améliorations et gouvernance mises en œuvre en matière de cookies », faisant état d’un programme de gestion de ses partenaires leur permettant uniquement de s’appuyer sur le consentement collecté via la plateforme de gestion du consentement de Yahoo EMEA (CMP).

La formation restreinte rappelle qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires à l’encontre d’éditeurs de site pour des faits relatifs aux opérations de lecture et/ou d’écriture d’informations, y compris par des tiers, dans le terminal des utilisateurs visitant leur site, notamment dans la délibération n° SAN-2020-009 du 18 novembre 2020 et dans la délibération n° SAN-2020-013 du 7 décembre 2020.

Elle considère que si l’ensemble des mesures déployées par la société ont abouti à ce que ses partenaires ne déposent plus de cookies sans le consentement de l’utilisateur — comme cela ressort du contrôle en ligne du 10 juin 2021 —, elles n’ont été déployées qu’après le premier contrôle en ligne du 7 octobre 2020. Ces mesures sont donc sans incidence sur le manquement constaté.

La formation restreinte conclut que la société YAHOO EMEA LIMITED a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés pour ce premier volet.

C. SUR LE SECOND VOLET DU MANQUEMENT : L’OBSTACLE AU RETRAIT DU CONSENTEMENT

 

1. LE FONDEMENT JURIDIQUE DU DROIT AU RETRAIT DU CONSENTEMENT

La formation restreinte pose le principe que si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal.

Ce droit au retrait est formalisé à l’article 7, paragraphe 3, du RGPD, qui dispose que « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »

Ce principe de la symétrie du retrait a été consacré de longue date par la recommandation de la CNIL issue de la délibération n° 2013-378 du 5 décembre 2013, puis réaffirmé dans la délibération n° 2019-093 du 4 juillet 2019, et repris dans les lignes directrices du 17 septembre 2020 (délibération n° 2020-091, point 31) : « il doit être aussi simple de retirer son consentement que de le donner. » Le Conseil d’État a validé ce principe dans son arrêt du 19 juin 2020 (n° 434684, aux Tables) en jugeant que la CNIL, en énonçant ce principe, s’était bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus.

2. LES CONSTATATIONS : UN RETRAIT CONDITIONNÉ À L’ABANDON DE LA MESSAGERIE

Lors des contrôles en ligne des 7 octobre 2020 et 10 juin 2021, la délégation de la CNIL a constaté que lorsqu’un utilisateur de Yahoo Mail souhaitait retirer son consentement au dépôt des cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie.

La formation restreinte observe que la délégation, lors des deux contrôles en ligne, a suivi les parcours que les utilisateurs sont les plus susceptibles d’emprunter lorsqu’ils souhaitent retirer leur consentement, en cliquant sur les boutons et les onglets comportant des intitulés intuitifs tels que « Votre compte », puis « Consentement général » ou « En savoir plus ».

La formation restreinte considère que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni — pratique assimilable à un cookie wall — n’est pas en soi illégale, c’est à la condition que le consentement soit libre, ce qui implique que tant le refus que le retrait du consentement n’entraînent pas de préjudice pour l’utilisateur.

3. L’ANALYSE DU CARACTÈRE « CAPTIF » DE L’UTILISATEUR DE YAHOO MAIL

La formation restreinte développe une analyse particulièrement fine de la situation des utilisateurs de Yahoo Mail. Elle relève que :

« l’utilisateur du service Yahoo Mail peut, grâce à ce service, échanger avec d’autres personnes au moyen de son adresse électronique, développer son réseau et son carnet d’adresse virtuel et archiver des conversations personnelles ou professionnelles importantes. Dès lors, mesure qu’il utilise son adresse de messagerie, l’utilisateur se trouve captif du service de messagerie en cause, qui constitue un élément de sa vie privée, familiale, éventuellement professionnelle et qu’il ne peut, dès lors qu’il a commencé à l’utiliser, plus remplacer par n’importe quel service similaire aussi facilement qu’il l’aurait fait initialement. »

En l’espèce, la société ne proposait pas d’alternative aux utilisateurs souhaitant retirer leur consentement — par exemple, un service de messagerie payant. La seule possibilité offerte à l’utilisateur était de renoncer à l’usage de sa messagerie électronique, perdant ainsi l’accès à son adresse, à son carnet d’adresses et à ses archives.

La formation restreinte souligne que l’absence d’alternative affecte nécessairement le caractère libre du retrait du consentement. Elle appuie cette analyse sur la décision CJUE, Meta, C-252/21, 4 juillet 2023, dans laquelle la Cour a précisé, au point 150 de sa décision, que :

« les utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données. »

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
L’art. 82 LIL implique corrélativement un droit au retrait du consentement ; le retrait doit être aussi simple à exercer que le consentement à donner Ni la directive ePrivacy, ni le RGPD, ni l’art. 82 LIL n’encadrent de manière précise la révocation du consentement au dépôt de cookies
L’absence d’alternative (pas de messagerie payante) prive le retrait de son caractère libre (considérant 42 RGPD : « sans subir de préjudice ») Les utilisateurs avaient la possibilité de refuser le dépôt de cookies sans renoncer aux produits Yahoo, via le « Tableau de bord Yahoo »
L’utilisateur de Yahoo Mail est progressivement « captif » de son adresse email : il ne peut y renoncer aussi facilement qu’un utilisateur novice Par parallélisme avec la pratique des cookie walls, aucun consensus n’existe pour considérer cette pratique illégale
La CJUE (Meta, C-252/21, 4 juill. 2023) impose une alternative équivalente pour que le consentement soit libre Il existait des alternatives au service Yahoo Mail ; les personnes pouvaient demander la portabilité de leurs données au titre de l’art. 20 RGPD
La portabilité des données n’est pas une alternative au sens du retrait du consentement au dépôt de cookies ; elle ne prévient pas le dépôt La société ne proposait pas cette solution directement aux utilisateurs souhaitant retirer leur consentement

La formation restreinte rejette l’argument relatif à la portabilité des données, en relevant que « la circonstance, avancée par la société, selon laquelle les utilisateurs ne souhaitant plus recourir au service de messagerie Yahoo pouvaient exercer leur droit à la portabilité tel que prévu par l’article 20 du RGPD ne permet en aucun cas d’empêcher le dépôt de cookies sur le terminal, ce qui est pourtant l’objet du droit au retrait du consentement », et en notant qu’il ne résulte pas de l’instruction que la société proposait cette solution aux utilisateurs concernés.

La formation restreinte conclut que la société a méconnu ses obligations au regard de l’article 82 de la loi Informatique et Libertés pour ce second volet également.

IV. LES MOYENS DE DÉFENSE DE YAHOO EMEA LIMITED ET LEUR SORT PROCÉDURAL

A. SUR LA CONTESTATION DU CADRE JURIDIQUE APPLICABLE

 

La société a développé une argumentation globale contestant le cadre juridique applicable au premier volet du manquement, en faisant valoir que les lignes directrices du 1er octobre 2020 constituaient un changement normatif dont elle n’avait pas pu prendre connaissance en temps utile.

Ce moyen est écarté par la formation restreinte, qui rappelle que les pratiques reprochées — dépôt de cookies à finalité publicitaire sans consentement préalable — étaient continuellement considérées comme non conformes par la CNIL depuis au moins sa recommandation du 5 décembre 2013, et que l’évolution des recommandations n’a pas modifié cette qualification fondamentale.

B. SUR LA CONTESTATION DU CHAMP DES COOKIES INCRIMINÉS

 

La société a contesté le périmètre du manquement, soutenant :

  1. Que le rapporteur lui reprochait, à tort, l’inscription de 103 cookies lors du contrôle du 7 octobre 2020, alors que la délégation naviguait sur le domaine d’un site tiers et non sur le domaine yahoo.com.
  2. Qu’un grand nombre de cookies déposés étaient strictement nécessaires à la fourniture de ses services et donc exempts de consentement.
  3. Que d’autres cookies avaient été déposés par des tiers, pour lesquels elle avait mis en œuvre tous les moyens permettant de s’assurer du respect de la législation applicable.

La formation restreinte accueille partiellement le premier argument : dans sa réponse aux observations de la société, le rapporteur a écarté du périmètre du manquement les 103 cookies dont le dépôt avait été constaté à partir d’une page n’appartenant pas aux domaines sous la responsabilité de la société. Elle maintient néanmoins que 20 cookies à finalité publicitaire ont bien été inscrits sur le terminal de la délégation sans consentement préalable, conformément aux informations transmises par la société elle-même au cours de l’instruction.

C. SUR LES MESURES CORRECTIVES MISES EN ŒUVRE

 

La société a fait valoir l’étendue des mesures correctives déployées après le premier contrôle, notamment :

—-Un programme de gestion et d’intégrations de ses partenaires avec des enquêtes destinées à comprendre comment ils géraient les signaux de consentement.
—-L’exclusion des partenaires des sites détenus et opérés par Yahoo EMEA dès lors qu’il existait un motif raisonnable laissant penser que leurs pratiques n’étaient pas conformes.
—-La réévaluation des systèmes de publicité, un renforcement de la gouvernance et la mise en place d’un contrôle plus formel et fréquent des sites détenus et opérés par Yahoo.

Ces mesures ont abouti à ce qu’aucun nouveau cookie déposé sans consentement préalable n’ait été observé lors du second contrôle du 10 juin 2021. La formation restreinte en prend acte, mais rappelle que ces mesures n’ont été déployées qu’après le premier contrôle, et sont donc sans incidence sur le constat du manquement.

D. SUR LA DURÉE DES MANQUEMENTS

 

La formation restreinte précise les durées respectives des deux volets du manquement :

—-Premier volet (dépôt de cookies sans consentement préalable) : durée d’au moins quatre mois, entre le premier contrôle en ligne du 7 octobre 2020 et la finalisation, le 12 février 2021, de la première mesure de réévaluation de la pratique de la société pour s’assurer que les tiers respectent la législation en matière de cookies.
—-Second volet (obstacle au retrait du consentement) : ce volet a été constaté lors des deux contrôles en ligne — octobre 2020 et juin 2021 — et la durée du manquement a couru au moins jusqu’au 7 juillet 2021, date à laquelle la société a supprimé l’onglet « Consentement général » et le texte qui l’accompagnait. La durée du manquement est donc d’au moins 21 mois.

V. LES MESURES CORRECTRICES ET LA SANCTION

A. LE CADRE LÉGAL DES SANCTIONS

 

Aux termes du III de l’article 20 de la loi Informatique et Libertés :

« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement UE 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […] 7° […] une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »

L’article 83 du RGPD, tel que visé par l’article 20 de la loi Informatique et Libertés, impose que les amendes administratives soient « dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende et pour en déterminer le montant.

B. SUR LE PRONONCÉ DE L’AMENDE DE 10 MILLIONS D’EUROS

 

1. CRITÈRES DE GRAVITÉ RETENUS PAR LA FORMATION RESTREINTE

La formation restreinte s’est appuyée sur les critères suivants pour fixer le montant de l’amende à 10 millions d’euros :

S’agissant du premier volet du manquement, la formation restreinte relève que :

—-Le responsable de traitement a porté une atteinte grave au droit des usagers de conserver la maîtrise de leurs données, en les traitant à leur insu, en contrariété avec le principe même fixé par l’article 82 LIL qui conditionne une telle action au consentement exprès de l’utilisateur.
—-Le manquement se traduit par le dépôt de cookies par une quinzaine de sociétés spécialisées dans la publicité personnalisée dont le but est de suivre la navigation sur le web pour proposer ultérieurement de la publicité correspondant au comportement de l’utilisateur.

S’agissant du second volet du manquement, la formation restreinte souligne sa particulière gravité :

« les conditions de retrait du consentement étant intrinsèquement liées à la liberté de consentir. Or, en l’espèce, ses modalités conduisent à faire pression sur les utilisateurs pour les dissuader de retirer leur consentement au dépôt de cookies, en leur laissant croire qu’ils pourraient ne plus pouvoir se servir des services de Yahoo. »

La violation est d’autant plus sérieuse, estime la formation restreinte, qu’il s’agit pour les usagers d’une renonciation à l’utilisation de leur messagerie et de leur adresse électronique qui constituent des éléments importants de leur vie privée, familiale et professionnelle.

S’agissant du nombre de personnes concernées, la formation restreinte souligne le nombre important de personnes concernées, évalué à environ 5 millions de visiteurs uniques du domaine yahoo.com entre 2019 et 2020.

S’agissant de la durée, les manquements ont perduré continuellement depuis au moins la recommandation du 5 décembre 2013, étant précisé que les pratiques reprochées n’ont jamais été conformes aux exigences de la CNIL depuis lors.

2. TRAITEMENT DE L’ARGUMENT RELATIF À LA COOPÉRATION DE LA SOCIÉTÉ

La formation restreinte note que la société a collaboré avec les services de la CNIL et a répondu à toutes les demandes d’information dans les délais impartis. Elle précise cependant que ce faisant, les sociétés ont respecté les obligations issues de l’article 18 de la loi Informatique et Libertés, sans que cela soit, pour autant, constitutif d’une circonstance atténuante au sens du f) de l’article 83 du RGPD, dès lors que la société ne démontre pas que sa collaboration avec la CNIL a permis de remédier à la violation identifiée et d’en atténuer les effets négatifs.

3. TRAITEMENT DE L’ARGUMENT RELATIF À L’IMPACT DU DÉLAI D’INSTRUCTION SUR LE MONTANT DE L’AMENDE

La société avait soutenu que le délai d’instruction avait eu un impact négatif important sur le montant de l’amende, qui a été déterminé au regard de son chiffre d’affaires de 2022, nettement supérieur à celui de l’année 2020 qui aurait été pris en compte si la formation restreinte avait examiné l’affaire en 2021.

Cet argument n’a pas été expressément retenu comme circonstance atténuante par la formation restreinte. La formation restreinte a maintenu l’amende à 10 millions d’euros, qui correspond au plafond de 10 millions d’euros ou 2% du CA mondial, en appliquant la règle du montant le plus élevé.

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
Amende de 10 M€ justifiée par la gravité intrinsèque des deux volets (atteinte au droit de maîtrise des données ; pression sur le retrait du consentement), la durée de 21 mois du second volet, et 5 M de personnes concernées L’amende proposée doit être minorée compte tenu des efforts continus et proactifs en matière de protection des données
La coopération de la société avec la CNIL = respect d’une obligation légale, pas une circonstance atténuante (art. 83 f) RGPD) Plusieurs facteurs de l’art. 83 RGPD justifient une atténuation : absence de sensibilité particulière des données ; traitement non transfrontalier ; préjudice non substantiel ; pas d’intention de tromper les prospects
Les pratiques sanctionnées sont continuellement non conformes depuis la recommandation du 5 déc. 2013 : la gravité est aggravée par la persistance Le délai d’instruction a eu un impact négatif sur le montant : le CA 2022 est nettement supérieur au CA 2020 qui aurait été pris en compte si l’affaire avait été examinée en 2021
L’amende doit être effective, proportionnée et dissuasive au sens de l’art. 83 RGPD L’amende infligée doit correspondre à celle prononcée dans des affaires similaires, conformément aux principes de non-discrimination et d’égalité de traitement

C. SUR LA PUBLICITÉ DE LA SANCTION

 

La formation restreinte a décidé de rendre publique la délibération, avec anonymisation au terme d’un délai de deux ans à compter de sa publication. Cette mesure se justifie au regard de la gravité des manquements, du nombre de personnes concernées (environ 5 millions de visiteurs uniques), et du fait qu’elle permettra d’informer ces personnes et de leur permettre de faire valoir leurs droits.

VI. CRITIQUE APPROFONDIE DE LA MOTIVATION

A. SUR LA COMPÉTENCE TERRITORIALE : UNE SOLUTION JURIDIQUEMENT SOLIDEMENT ÉTAYÉE

 

1. LA SOLIDITÉ DU RAISONNEMENT SUR L’ÉTABLISSEMENT

Le raisonnement de la formation restreinte sur la notion d’établissement est juridiquement solide et s’appuie sur un faisceau d’indices convergents. L’application de la jurisprudence Weltimmo (CJUE, C-230/14) et Google Spain (CJUE, C-131/12) est rigoureuse : la forme juridique (filiale distincte) est sans incidence sur la qualification d’établissement dès lors qu’il existe une installation stable avec des moyens humains et techniques réels. La situation de

La situation de YAHOO FRANCE s’inscrit précisément dans ce schéma : elle dispose d’un siège social à Paris, d’un objet social tourné vers la promotion commerciale des produits Yahoo sur le marché français, et d’un contrat de prestation la liant directement à YAHOO EMEA LIMITED, qui lui refacture ses coûts. Ces éléments réunis constituent bien une installation stable au sens de la jurisprudence de la CJUE, et c’est à bon droit que la formation restreinte écarte l’argument de la personnalité morale distincte de YAHOO FRANCE.

L’application du critère des activités exercées « dans le cadre » de l’établissement est également bien fondée. La formation restreinte suit ici la position dégagée par la CJUE dans l’affaire Google Spain (CJUE, C-131/12, points 55-56), puis confirmée dans le contentieux Amazon Europe Core devant le Conseil d’État, selon laquelle il suffit que l’activité de l’établissement national soit inséparable de celle du responsable de traitement établi à l’étranger, sans que cet établissement soit lui-même impliqué dans les opérations de traitement. La promotion commerciale d’espaces publicitaires dont le fonctionnement économique repose sur les cookies constitue précisément ce lien d’inséparabilité.

2. UNE SOLUTION COHÉRENTE AVEC LA SPÉCIFICITÉ DE LA DIRECTIVE EPRIVACY

Il convient de souligner que le raisonnement sur la compétence de la CNIL repose sur une double logique, qui mérite d’être distinguée analytiquement. D’une part, la compétence matérielle est fondée sur la directive ePrivacy et son mécanisme spécifique de compétence des autorités nationales, confirmé par le Conseil d’État dans Google LLC (CE, 28 janvier 2022) et Amazon Europe Core (CE, 27 juin 2022). D’autre part, la compétence territoriale est fondée sur l’article 3, paragraphe I, de la loi Informatique et Libertés, qui reprend la notion d’établissement issue du droit de l’Union. Ces deux fondements sont cumulatifs et se renforcent mutuellement : non seulement la CNIL est compétente en tant qu’autorité nationale du lieu du terminal de l’utilisateur, mais elle l’est aussi en tant qu’autorité de contrôle du responsable de traitement disposant d’un établissement sur le territoire français.

Ce double ancrage est particulièrement robuste sur le plan juridique, et l’argument de la société tendant à suggérer que l’autorité irlandaise — autorité de contrôle chef de file au titre du guichet unique — serait compétente manque sa cible : le guichet unique, par construction, ne s’applique qu’aux traitements transfrontaliers soumis au RGPD, et non aux opérations régies par la directive ePrivacy. La formation restreinte l’indique clairement en visant la jurisprudence du Conseil d’État, et cette solution est parfaitement consolidée à la date de la délibération.

B. SUR L’ANALYSE DU PREMIER VOLET : LA SOLIDITÉ DU GRIEF RELATIF AU DÉPÔT SANS CONSENTEMENT

 

1. LA RIGUEUR DE LA MÉTHODOLOGIE DE CONTRÔLE

La méthodologie des contrôles en ligne est un point qui mérite une attention particulière, car la société l’a contestée. La formation restreinte apporte une réponse précise et technique en réfutant point par point l’argument relatif à la pièce n° 25 du procès-verbal, et en distinguant rigoureusement les deux captures d’écran figurant en page 14 du procès-verbal. Ce faisant, elle confirme la valeur probante des procès-verbaux de contrôle en ligne, qui bénéficient de la foi légale attachée aux actes officiels dressés par les délégations de contrôle.

Il faut néanmoins relever que la société avait produit un argument non dénué de pertinence sur la réduction du périmètre du manquement : le rapporteur lui-même a finalement écarté les 103 cookies constatés à partir d’une page tierce. Cet ajustement montre que la procédure contradictoire a bien joué son rôle de filtre, aboutissant à ne retenir que le grief le plus solidement établi — les 20 cookies à finalité publicitaire déposés sans consentement préalable. La proportionnalité dans la délimitation du manquement plaide pour la qualité du travail d’instruction.

2. LA CORRECTE APPRÉCIATION DE LA PÉRIODE TRANSITOIRE

L’argument de la société relatif à la période transitoire — selon lequel le contrôle avait été réalisé quelques jours après les nouvelles lignes directrices — est habilement écarté par la formation restreinte. Le raisonnement repose sur une distinction essentielle : les règles substantielles applicables au dépôt de cookies (exigence d’un consentement préalable) n’ont pas évolué avec les lignes directrices du 1er octobre 2020 — elles découlaient déjà de la recommandation du 5 décembre 2013, qui elle-même transposait l’exigence de l’article 5§3 de la directive ePrivacy. Ce qui a évolué est uniquement la modalité technique de recueil du consentement (gestion des interfaces CMP), mais non le principe d’interdiction du dépôt sans consentement. La formation restreinte maintient donc avec justesse que les pratiques reprochées n’ont jamais été conformes.

C. SUR L’ANALYSE DU SECOND VOLET : UNE CONTRIBUTION DOCTRINALE IMPORTANTE MAIS DES ZONES D’INCERTITUDE PERSISTANTES

 

1. LA RECONNAISSANCE IMPLICITE DE LA LÉGALITÉ CONDITIONNELLE DU COOKIE WALL

La formation restreinte adopte une position nuancée sur les cookie walls en général : elle n’affirme pas leur illégalité de principe, mais pose la condition que le consentement — et par symétrie son retrait — doivent être libres, ce qui implique l’absence de préjudice pour l’utilisateur. Cette approche s’inscrit dans la ligne des recommandations du Comité européen à la protection des données (CEPD), qui dans ses lignes directrices 05/2020 sur le consentement avait indiqué que les cookie walls ne permettent pas en règle générale de recueillir un consentement libre, tout en laissant ouverte la question de l’existence d’une alternative équivalente.

La formation restreinte enrichit ce corpus en transposant le raisonnement de la CJUE dans Meta (C-252/21, 4 juillet 2023) à un contexte spécifique : celui de l’utilisateur « captif » de son service de messagerie. La notion de « captivité progressive » développée dans la délibération est originale et doctrinalement intéressante : elle postule que le niveau de liberté de l’utilisateur à l’égard du retrait de son consentement évolue dans le temps, en fonction du degré d’intégration du service dans sa vie numérique. Cette approche est cohérente avec la réalité des usages numériques.

2. L’INCERTITUDE RÉSIDUELLE SUR LE CRITÈRE DE L’ALTERNATIVE ÉQUIVALENTE

La formation restreinte ne tranche pas complètement la question de savoir ce que serait une alternative équivalente permettant de rendre un cookie wall conforme. Elle se contente de relever l’absence totale d’alternative en l’espèce, sans définir précisément les caractéristiques d’une offre acceptable. L’arrêt Meta précité évoque une « alternative équivalente non accompagnée de telles opérations de traitement de données », éventuellement « contre une rémunération appropriée », mais sans fixer de critères précis.

Il faut donc lire la décision de la formation restreinte comme établissant la non-conformité dans le cas précis — absence totale d’alternative — sans qu’elle résolve définitivement la question de la conformité d’un modèle « consentir ou payer » pour un service de messagerie. Cette question demeure ouverte à la date de la délibération, et sa résolution devra vraisemblablement passer soit par une prise de position expresse du CEPD sur ce type de service, soit par une décision juridictionnelle de la CJUE ou du Conseil d’État.

3. SUR LA PORTÉE DE LA JURISPRUDENCE META DANS LE CONTEXTE DE L’ARTICLE 82 LIL

La mobilisation de la décision Meta (CJUE, C-252/21) dans le contexte de l’article 82 de la loi Informatique et Libertés mérite une observation méthodologique. Cette décision, rendue au titre du RGPD et de la notion de consentement libre au sens de l’article 7 RGPD, est mobilisée par la formation restreinte dans un contexte régi par la directive ePrivacy. Bien que l’exigence de consentement au sens du RGPD soit expressément applicable à la lecture/inscription de cookies depuis l’entrée en application du RGPD — l’article 82 LIL renvoyant au consentement RGPD — il existait un argument de la société selon lequel la notion de consentement au retrait ne serait pas identiquement encadrée dans les deux corpus.

La formation restreinte traite cet argument par prétérition, en s’appuyant directement sur le droit au retrait prévu à l’article 7§3 du RGPD et sur les lignes directrices de la CNIL, qui en avaient tiré le principe de symétrie. Ce faisant, elle consolide le lien entre les deux régimes, et c’est une solution qui paraît juridiquement robuste dans la mesure où le consentement visé à l’article 82 LIL est explicitement le consentement RGPD, dont toutes les propriétés — dont la révocabilité sans préjudice — sont attachées. La transposition de l’arrêt Meta est donc défendable, bien qu’elle procède d’une analogie que la CJUE n’a pas elle-même expressément validée dans ce contexte précis.

D. SUR LA FIXATION DU QUANTUM DE L’AMENDE : UNE COHÉRENCE AFFIRMÉE, UN RAISONNEMENT PERFECTIBLE

 

1. LA QUESTION DE LA PROPORTIONNALITÉ ET LA FAIBLESSE DE LA MOTIVATION QUANTITATIVE

L’amende de 10 millions d’euros représente le plafond légal absolu prévu pour les manquements relevant de l’article 83§4 du RGPD (violations d’articles 5, 6, 7, 9), ou 2% du CA mondial, le montant le plus élevé étant retenu. Le choix de ce plafond, pour des manquements certes graves mais n’ayant pas entraîné de violation de données massive ou de préjudice financier démontrable pour les utilisateurs, peut susciter une réflexion.

On peut relever que la formation restreinte ne fournit pas de grille de calcul explicite fondée sur les lignes directrices 04/2022 du CEPD du 12 mai 2022 relatives au calcul des amendes, dont elle mentionne pourtant l’existence à travers l’argumentation de la société. Ces lignes directrices préconisent une méthode en cinq étapes : qualification de la violation, point de départ, ajustements en fonction des facteurs aggravants/atténuants, plafonnement légal, et efficacité/dissuasion. L’absence de déroulé explicite de cette méthode dans la délibération rend le contrôle externe du quantum plus difficile, même si la transparence du résultat — l’amende se justifie par la gravité intrinsèque et la durée — n’est pas en cause.

2. SUR LE REJET DE LA COOPÉRATION COMME CIRCONSTANCE ATTÉNUANTE

La formation restreinte adopte une position ferme — et pour l’essentiel juste — en refusant de retenir la coopération de la société avec la CNIL comme circonstance atténuante, au motif que répondre aux demandes d’information dans les délais impartis constitue le simple respect d’une obligation légale prévue à l’article 18 de la loi Informatique et Libertés. Cette position est cohérente avec une lecture stricte du f) de l’article 83§2 du RGPD, qui vise la « manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ».

La coopération au sens de l’article 83§2 f) ne saurait être confondue avec le simple respect des obligations de documentation et d’information qui pèsent structurellement sur tout responsable de traitement. Cette distinction est pédagogiquement utile pour les praticiens : la coopération susceptible de constituer une circonstance atténuante est celle qui va au-delà des obligations légales, par exemple en notifiant spontanément une violation de données, en prenant des mesures correctrices immédiates avant même la mise en demeure, ou en partageant proactivement des informations permettant de circonscrire un dommage.

3. SUR L’ARGUMENT DU DÉLAI D’INSTRUCTION

L’argument de la société relatif à l’impact du délai d’instruction sur le quantum de l’amende est le plus délicat à traiter. La société soutient, avec une certaine logique factuelle, que si la procédure avait été conduite dans des délais normaux, le CA de référence aurait été celui de 2020, inférieur à celui de 2022. La formation restreinte écarte implicitement cet argument.

Ce rejet est juridiquement défendable dans la mesure où la loi prévoit que le CA de référence est celui de l’exercice précédant la décision de sanction, sans que la durée de l’instruction puisse constituer une cause d’ajustement. La société aurait pu tenter de soulever un moyen de détournement de procédure, mais ce moyen aurait été vraisemblablement difficile à caractériser formellement, la longueur d’une instruction administrative ne relevant pas des mêmes règles que le délai raisonnable au sens de l’article 6 CEDH applicable aux juridictions. Il reste que l’absence de toute prise en compte de la durée de l’instruction dans la motivation du quantum constitue une lacune de la décision qui aurait mérité un développement explicite.

VII. ENSEIGNEMENTS PRATIQUES ET CONCLUSION GÉNÉRALE

A. LES ENSEIGNEMENTS POUR LES OPÉRATEURS DE SERVICES EN LIGNE

 

1. SUR LA GESTION DES PLATEFORMES DE CONSENTEMENT AUX COOKIES (CMP)

La décision Yahoo EMEA délivre plusieurs enseignements opérationnels majeurs pour les opérateurs de services en ligne.

Premièrement, la responsabilité du responsable de traitement s’étend aux cookies déposés par ses partenaires tiers depuis son propre domaine. La mise en place d’une CMP imposant aux partenaires de n’utiliser que les signaux de consentement collectés via cette plateforme est une condition nécessaire mais non suffisante : encore faut-il que cette CMP soit opérationnelle et que les partenaires la respectent effectivement avant le premier constat de manquement. Des mécanismes de contrôle continus, documentés et tracés doivent être déployés, et non seulement mis en place après une mise en cause par l’autorité de contrôle.

Deuxièmement, la notion de cookie « strictement nécessaire » au sens des exceptions de l’article 82 LIL doit être appliquée restrictivement. Les opérateurs dont le modèle économique repose sur la publicité programmatique ne peuvent pas qualifier de « strictement nécessaires » à la fourniture du service des cookies dont la finalité est la traçabilité comportementale de l’utilisateur à des fins publicitaires. Il appartient à ces opérateurs de maintenir une cartographie précise et à jour de leurs cookies, distinguant rigoureusement les catégories exemptées des catégories soumises à consentement.

2. SUR LA CONCEPTION DES MÉCANISMES DE RETRAIT DU CONSENTEMENT

Troisièmement, et c’est l’enseignement le plus novateur de cette délibération, les opérateurs de services pour lesquels l’utilisateur pourrait être qualifié de « captif » — messagerie, réseaux sociaux, services cloud, gestionnaires de mots de passe, etc. — doivent accorder une attention particulière à la conception des mécanismes de retrait du consentement aux cookies.

La condition posée par la formation restreinte — l’existence d’une alternative équivalente pour que le retrait soit « libre » — implique, en pratique, que les opérateurs concernés envisagent sérieusement la création d’une offre sans publicité comportementale (modèle « consentir ou payer »), ou a minima qu’ils documentent les raisons pour lesquelles une telle alternative serait économiquement ou techniquement infaisable. En l’absence d’une telle démonstration, le risque de sanctionnabilité du mécanisme de retrait est avéré.

Quatrièmement, la portabilité des données au titre de l’article 20 du RGPD ne constitue pas une alternative au sens du retrait du consentement aux cookies. Les opérateurs qui auraient construit leur défense sur cet argument doivent en prendre acte et repenser leurs mécanismes de retrait indépendamment de toute considération relative à la portabilité.

B. LES ENSEIGNEMENTS POUR LES DPO ET LES PRATICIENS DU DROIT

 

1. SUR LA COMPÉTENCE DE LA CNIL À L’ÉGARD DES ENTITÉS ÉTRANGÈRES

La décision consolide un acquis jurisprudentiel majeur : la CNIL est compétente, sur le fondement de l’article 82 LIL transposant la directive ePrivacy, pour sanctionner tout opérateur disposant d’un établissement en France au sens souple de la CJUE, indépendamment de l’État membre dans lequel cet opérateur a son siège. Le mécanisme du guichet unique est inapplicable dans ce contexte. Les DPO d’entités étrangères ayant des filiales ou des représentants commerciaux en France doivent avoir bien intégré ce point : la compétence de la CNIL sur les cookies est insensible à la localisation du siège de la société mère.

2. SUR LA DOCUMENTATION DES PRATIQUES DE GESTION DES COOKIES

La procédure de contrôle en ligne de la CNIL constitue une modalité d’investigation particulièrement redoutable pour les responsables de traitement : elle permet à la délégation de reproduire exactement le parcours d’un utilisateur moyen et de constater objectivement les cookies déposés à chaque étape. La défense de Yahoo EMEA, qui a tenté de contester la méthodologie du contrôle, illustre les limites de cette stratégie : si le procès-verbal est correctement dressé, sa valeur probante est très difficile à renverser. Les DPO doivent donc conduire des audits réguliers de leurs interfaces de consentement depuis un navigateur standard, en conditions réelles, et conserver les traces de ces audits comme preuve de diligence.

3. SUR LA STRATÉGIE DE DÉFENSE EN MATIÈRE DE COOKIES

La décision illustre l’importance d’une stratégie de défense centrée sur la coopération effective — et non seulement formelle — avec la CNIL. La société YAHOO EMEA LIMITED a apporté des mesures correctives substantielles après le premier contrôle, ce qui a conduit à l’absence de nouveau constat lors du second contrôle de juin 2021. Néanmoins, cette réactivité n’a pas suffi à caractériser une circonstance atténuante au sens de l’article 83 RGPD, faute de démonstration que cette coopération avait atténué les effets négatifs de la violation pour les utilisateurs.

La leçon pratique pour les praticiens est que la coopération susceptible de constituer une circonstance atténuante doit être proactive et traçable : notification spontanée avant toute mise en cause, déploiement de mesures correctrices avant la clôture de l’instruction, et documentation formelle de l’impact de ces mesures sur la réduction du risque pour les personnes concernées.

C. CONCLUSION GÉNÉRALE

 

La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.

En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.

En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.

En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.

La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.

Dispositif de la délibération SAN-2023-024 :

La formation restreinte de la CNIL a décidé de :

—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.