CNIL | SAN-2023-024 | 29 DÉCEMBRE 2023 | AFFAIRE YAHOO EMEA LIMITED |
POINTS ESSENTIELS
FAITS & PROCEDURE MANQUEMENTS SANCTIONS ANALYSE CRITIQUE CONSEILS AUX RT
C. CONCLUSION GÉNÉRALE
La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.
En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.
En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.
En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.
La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.
Dispositif de la délibération SAN-2023-024 :
La formation restreinte de la CNIL a décidé de :
—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
VII. ENSEIGNEMENTS PRATIQUES ET CONCLUSION GÉNÉRALE
A. LES ENSEIGNEMENTS POUR LES OPÉRATEURS DE SERVICES EN LIGNE
1. SUR LA GESTION DES PLATEFORMES DE CONSENTEMENT AUX COOKIES (CMP)
La décision Yahoo EMEA délivre plusieurs enseignements opérationnels majeurs pour les opérateurs de services en ligne.
Premièrement, la responsabilité du responsable de traitement s’étend aux cookies déposés par ses partenaires tiers depuis son propre domaine. La mise en place d’une CMP imposant aux partenaires de n’utiliser que les signaux de consentement collectés via cette plateforme est une condition nécessaire mais non suffisante : encore faut-il que cette CMP soit opérationnelle et que les partenaires la respectent effectivement avant le premier constat de manquement. Des mécanismes de contrôle continus, documentés et tracés doivent être déployés, et non seulement mis en place après une mise en cause par l’autorité de contrôle.
Deuxièmement, la notion de cookie « strictement nécessaire » au sens des exceptions de l’article 82 LIL doit être appliquée restrictivement. Les opérateurs dont le modèle économique repose sur la publicité programmatique ne peuvent pas qualifier de « strictement nécessaires » à la fourniture du service des cookies dont la finalité est la traçabilité comportementale de l’utilisateur à des fins publicitaires. Il appartient à ces opérateurs de maintenir une cartographie précise et à jour de leurs cookies, distinguant rigoureusement les catégories exemptées des catégories soumises à consentement.
2. SUR LA CONCEPTION DES MÉCANISMES DE RETRAIT DU CONSENTEMENT
Troisièmement, et c’est l’enseignement le plus novateur de cette délibération, les opérateurs de services pour lesquels l’utilisateur pourrait être qualifié de « captif » — messagerie, réseaux sociaux, services cloud, gestionnaires de mots de passe, etc. — doivent accorder une attention particulière à la conception des mécanismes de retrait du consentement aux cookies.
La condition posée par la formation restreinte — l’existence d’une alternative équivalente pour que le retrait soit « libre » — implique, en pratique, que les opérateurs concernés envisagent sérieusement la création d’une offre sans publicité comportementale (modèle « consentir ou payer »), ou a minima qu’ils documentent les raisons pour lesquelles une telle alternative serait économiquement ou techniquement infaisable. En l’absence d’une telle démonstration, le risque de sanctionnabilité du mécanisme de retrait est avéré.
Quatrièmement, la portabilité des données au titre de l’article 20 du RGPD ne constitue pas une alternative au sens du retrait du consentement aux cookies. Les opérateurs qui auraient construit leur défense sur cet argument doivent en prendre acte et repenser leurs mécanismes de retrait indépendamment de toute considération relative à la portabilité.
B. LES ENSEIGNEMENTS POUR LES DPO ET LES PRATICIENS DU DROIT
1. SUR LA COMPÉTENCE DE LA CNIL À L’ÉGARD DES ENTITÉS ÉTRANGÈRES
La décision consolide un acquis jurisprudentiel majeur : la CNIL est compétente, sur le fondement de l’article 82 LIL transposant la directive ePrivacy, pour sanctionner tout opérateur disposant d’un établissement en France au sens souple de la CJUE, indépendamment de l’État membre dans lequel cet opérateur a son siège. Le mécanisme du guichet unique est inapplicable dans ce contexte. Les DPO d’entités étrangères ayant des filiales ou des représentants commerciaux en France doivent avoir bien intégré ce point : la compétence de la CNIL sur les cookies est insensible à la localisation du siège de la société mère.
2. SUR LA DOCUMENTATION DES PRATIQUES DE GESTION DES COOKIES
La procédure de contrôle en ligne de la CNIL constitue une modalité d’investigation particulièrement redoutable pour les responsables de traitement : elle permet à la délégation de reproduire exactement le parcours d’un utilisateur moyen et de constater objectivement les cookies déposés à chaque étape. La défense de Yahoo EMEA, qui a tenté de contester la méthodologie du contrôle, illustre les limites de cette stratégie : si le procès-verbal est correctement dressé, sa valeur probante est très difficile à renverser. Les DPO doivent donc conduire des audits réguliers de leurs interfaces de consentement depuis un navigateur standard, en conditions réelles, et conserver les traces de ces audits comme preuve de diligence.
3. SUR LA STRATÉGIE DE DÉFENSE EN MATIÈRE DE COOKIES
La décision illustre l’importance d’une stratégie de défense centrée sur la coopération effective — et non seulement formelle — avec la CNIL. La société YAHOO EMEA LIMITED a apporté des mesures correctives substantielles après le premier contrôle, ce qui a conduit à l’absence de nouveau constat lors du second contrôle de juin 2021. Néanmoins, cette réactivité n’a pas suffi à caractériser une circonstance atténuante au sens de l’article 83 RGPD, faute de démonstration que cette coopération avait atténué les effets négatifs de la violation pour les utilisateurs.
La leçon pratique pour les praticiens est que la coopération susceptible de constituer une circonstance atténuante doit être proactive et traçable : notification spontanée avant toute mise en cause, déploiement de mesures correctrices avant la clôture de l’instruction, et documentation formelle de l’impact de ces mesures sur la réduction du risque pour les personnes concernées.