CNIL | SAN-2023-024 | 29 DÉCEMBRE 2023 | AFFAIRE YAHOO EMEA LIMITED |
POINTS ESSENTIELS
FAITS & PROCEDURE MANQUEMENTS SANCTIONS ANALYSE CRITIQUE CONSEILS AUX RT
C. CONCLUSION GÉNÉRALE
La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.
En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.
En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.
En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.
La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.
Dispositif de la délibération SAN-2023-024 :
La formation restreinte de la CNIL a décidé de :
—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
I. LES FAITS ET LA PROCÉDURE
A. PRÉSENTATION DE LA SOCIÉTÉ YAHOO EMEA LIMITED
La société YAHOO EMEA LIMITED est l’héritière d’une restructuration complexe du groupe VERIZON. À l’origine, le groupe VERIZON COMMUNICATIONS INC., dont le siège est établi aux États-Unis, s’était organisé autour d’une branche « média » dirigée en Europe par la filiale VERIZON MEDIA NETHERLANDS B.V., établie aux Pays-Bas. Cette dernière détenait notamment la société VERIZON MEDIA EMEA LIMITED et, par le biais d’une chaîne de participations, la société OATH HOLDING France SAS, elle-même actionnaire de la société OATH BRANDS FRANCE, appellation depuis 2018 de l’ancienne société YAHOO! FRANCE, créée en 2002.
À la suite du rachat de la branche VERIZON MEDIA par la société américaine APOLLO GLOBAL MANAGEMENT, la société VERIZON MEDIA EMEA LIMITED est devenue la société YAHOO EMEA LIMITED, ci-après désignée « la société ». Au titre de l’exercice 2022, le chiffre d’affaires de la société s’élevait à un montant dont la délibération indique la valeur exacte, partiellement couverte par l’anonymisation subséquente de la délibération.
La société YAHOO EMEA LIMITED, établie en Irlande, édite plusieurs services web, dont le moteur de recherche accessible via le domaine yahoo.com et le service de messagerie électronique Yahoo Mail. Ces services sont au cœur de son modèle économique fondé sur la commercialisation d’espaces publicitaires et de plateformes technologiques de publicité programmatique — Supply Side Platform (SSP) et Demand Side Platform (DSP) — dont le fonctionnement est intrinsèquement lié au dépôt et à la lecture de cookies permettant d’assurer la traçabilité de la navigation des utilisateurs.
B. LE TRAITEMENT EN CAUSE : L’ÉCOSYSTÈME PUBLICITAIRE YAHOO ET LA GESTION DES COOKIES
Le traitement objet de la présente procédure consiste en des opérations d’accès ou d’inscription d’informations — des cookies et traceurs — dans le terminal des utilisateurs résidant en France lors de leur navigation sur le domaine yahoo.com ou lors de l’utilisation du service Yahoo Mail. Ces opérations revêtent deux dimensions essentielles.
En premier lieu, les cookies déposés sur le terminal de l’utilisateur lors de la visite du site yahoo.com poursuivent, pour une partie significative d’entre eux, une finalité publicitaire : ils permettent de suivre la navigation de l’utilisateur au fil du temps, et leur lecture depuis la page d’un annonceur achetant un espace publicitaire permet de lui proposer un ensemble d’annonces personnalisées correspondant à son comportement de navigation. Ce mécanisme de publicité comportementale programmatique constitue le cœur du modèle économique de la société.
En second lieu, le service de messagerie Yahoo Mail se trouve au centre du second grief retenu. Sa particularité réside dans le fait qu’il constitue pour ses utilisateurs un élément de leur vie privée, familiale et professionnelle — adresse électronique, carnet d’adresses, conversations archivées — de telle sorte que l’utilisateur se trouve progressivement « captif » de ce service, dans l’impossibilité pratique de le remplacer aisément par un service équivalent une fois qu’il l’a adopté.
C. L’ORIGINE DE LA PROCÉDURE : LES PLAINTES DES UTILISATEURS ET LES CONTRÔLES EN LIGNE
Entre le 12 juin 2019 et le 2 octobre 2020, la CNIL a été saisie par vingt-sept plaignants dénonçant notamment le dépôt de cookies sur leur terminal avant toute action de leur part, la non-prise en compte de leur refus au dépôt de ces cookies, et les difficultés rencontrées dans les modalités de refus de ces derniers lors de l’utilisation du domaine yahoo.com et du service Yahoo Mail.
À la suite de ces plaintes, une délégation de la Commission a procédé à deux contrôles en ligne :
— Le 7 octobre 2020, en application de la décision n° 2020-254C du 14 août 2020 de la présidente de la CNIL, la délégation a reproduit deux parcours utilisateurs : le parcours d’un utilisateur se rendant sur le domaine yahoo.com et le parcours d’un utilisateur s’inscrivant au service Yahoo Mail, sans exprimer à aucun moment son consentement au dépôt de cookies.
— Le 10 juin 2021, un second contrôle en ligne ayant le même objet a été réalisé par la délégation de la CNIL, dans des conditions voisines.
Ces contrôles ont été complétés par une audition de la société OATH BRANDS FRANCE le 23 juin 2021, conduite en application de l’article 19-III de la loi Informatique et Libertés.
D. LA PROCÉDURE DE SANCTION
Aux fins d’instruction des éléments recueillis lors des contrôles, la présidente de la Commission a désigné M. François PELLEGRINI, commissaire, en qualité de rapporteur devant la formation restreinte, par décision du 10 juillet 2023, soit près de deux ans après le second contrôle en ligne.
Le 11 août 2023, le rapporteur a notifié à la société un rapport proposant à la formation restreinte de prononcer une amende administrative pour un manquement à l’article 82 de la loi Informatique et Libertés, ainsi que la publicité de la décision avec anonymisation à l’issue d’un délai de deux ans à compter de sa publication.
Le 5 septembre 2023, la société a sollicité un délai complémentaire pour présenter ses observations, accordé pour sept jours supplémentaires par le président de la formation restreinte. Les 29 septembre 2023, 25 octobre 2023 et 28 novembre 2023 ont successivement été produites les observations de la société en réponse au rapport, la réponse du rapporteur aux observations, et les nouvelles observations de la société.
Le 30 novembre 2023, le rapporteur a informé la société de la clôture de l’instruction, et une convocation à la séance du 21 décembre 2023 a été adressée à la société. La formation restreinte a délibéré le 29 décembre 2023.
II. LE CADRE JURIDIQUE ET LA COMPÉTENCE DE LA CNIL
A. SUR LA COMPÉTENCE MATÉRIELLE DE LA CNIL
1. LE FONDEMENT TEXTUEL : LA DIRECTIVE EPRIVACY ET L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS
Le traitement objet de la présente procédure est relatif au dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de la navigation sur le site yahoo.com et l’utilisation du service Yahoo Mail. Ce traitement s’effectue dans le cadre de la fourniture de services de communications électroniques accessibles au public, par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, il entre dans le champ d’application matériel de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002, telle que modifiée par la directive 2006/24/CE et la directive 2009/136/CE, ci-après la « directive ePrivacy ».
L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de ladite loi relatif aux droits et obligations propres aux traitements dans le secteur des communications électroniques.
2. L’INAPPLICABILITÉ DU MÉCANISME DU GUICHET UNIQUE
La formation restreinte rappelle que le Conseil d’État a, dans sa décision Société GOOGLE LLC et Société GOOGLE IRELAND LIMITED du 28 janvier 2022 (n° 449209, au Recueil), expressément confirmé :
« Il n’a pas été prévu l’application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978. »
Le Conseil d’État a réaffirmé cette position dans son arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, Société AMAZON EUROPE CORE, n° 451423, aux Tables).
Il en résulte que, contrairement à ce que soutenait en défense la société YAHOO EMEA LIMITED — qui avait indiqué que la CNIL aurait pu communiquer les plaintes qu’elle avait reçues à son homologue irlandaise — la CNIL n’aurait pas pu, en tout état de cause, procéder à un tel renvoi pour des opérations de lecture et d’écriture dans un terminal.
B. SUR LA COMPÉTENCE TERRITORIALE DE LA CNIL
1. LA NOTION D’ÉTABLISSEMENT SUR LE TERRITOIRE FRANÇAIS
La règle d’application territoriale des exigences figurant à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la même loi, qui dispose que
« sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement UE 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement sur le territoire français, que le traitement ait lieu ou non en France. »
La société YAHOO EMEA LIMITED a contesté la compétence territoriale de la CNIL sur deux fondements : d’une part, en soutenant que la société YAHOO FRANCE est une entité juridique distincte, dont elle n’est pas actionnaire directement, et qu’elle ne peut être regardée comme son « établissement » au sens de la décision Weltimmo de la Cour de justice de l’Union européenne (CJUE, 1er octobre 2015, Weltimmo, C-230/14) ; d’autre part, en soutenant que le traitement en cause n’intervenait pas dans le cadre des activités de YAHOO FRANCE.
S’agissant de la première branche, la formation restreinte rappelle que la notion d’établissement doit être appréciée de façon souple. La CJUE a en effet posé que :
« la notion d’établissement, au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable », le critère de stabilité de l’installation étant « examiné au regard de la présence de moyens humains et techniques nécessaires à la fourniture de services concrets en question » (CJUE, 1er octobre 2015, Weltimmo, C-230/14, points 30 et 31).
En l’espèce, la formation restreinte relève les éléments factuels suivants, non contestés par la société :
—-Les statuts de la société OATH BRANDS FRANCE, devenue YAHOO FRANCE, indiquent que son siège social est implanté au 50-52 boulevard Haussmann, Paris 75009 et qu’elle a pour objet la promotion sur le marché français des produits et solutions publicitaires de YAHOO, comprenant notamment la prospection et le développement de nouveaux clients, le maintien des relations clients et la fourniture aux clients d’informations spécifiques à l’industrie.
—-Un contrat de prestation a été conclu entre OATH BRANDS FRANCE SAS et VERIZON MEDIA EMEA Ltd., prévoyant que la première agit en tant que prestataire de services pour le compte de la seconde afin de promouvoir les produits commercialisés par la société VERIZON MEDIA EMEA Ltd. auprès de ses clients français.
—-La société OATH BRANDS FRANCE est intégralement et directement détenue par une holding dont le capital social est lui-même intégralement et directement détenu par la société VERIZON MEDIA NETHERLANDS B.V., laquelle détient directement la totalité du capital social de la société VERIZON MEDIA EMEA LIMITED.
—-La présidence de la société OATH BRANDS FRANCE est directement exercée par la société VERIZON MEDIA NETHERLANDS B.V.
—-La société OATH BRANDS FRANCE refacture ses coûts de fonctionnement à la société VERIZON MEDIA EMEA LTD. avec une marge, et la personne en charge de la branche commerciale de OATH BRANDS FRANCE rend compte à cette dernière.
Ces éléments établissent l’existence d’une installation stable et d’une activité réelle et effective de YAHOO FRANCE sur le territoire français. La forme juridique retenue — filiale distincte dotée de la personnalité morale — est sans incidence, conformément à la jurisprudence de la CJUE (CJUE, 13 mai 2014, Google Spain, C-131/12, point 48).
2. L’EXISTENCE D’UN TRAITEMENT EFFECTUÉ « DANS LE CADRE DES ACTIVITÉS » DE L’ÉTABLISSEMENT
Le second point de contestation de la société portait sur le fait que le traitement en cause n’interviendrait pas dans le cadre des activités de YAHOO FRANCE, qui ne serait ni impliquée dans le traitement lui-même, ni dans la vente directe d’espaces publicitaires sur yahoo.com.
La formation restreinte écarte cet argument en s’appuyant sur la jurisprudence du Conseil d’État. Dans sa décision Société AMAZON EUROPE CORE (CE, 27 juin 2022, n° 451423), celui-ci avait rappelé la position de la CJUE :
« Au vu de l’objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué dans le cadre des activités d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site. »
En l’espèce, la formation restreinte relève que :
—-La société YAHOO EMEA LIMITED commercialise des espaces publicitaires et des plateformes technologiques de publicité programmatique (SSP et DSP) disponibles sur le domaine yahoo.com.
—-La société YAHOO FRANCE est chargée de promouvoir les produits vendus par cette société sur le marché français, l’essentiel de ses salariés travaillant à la promotion de ces produits.
—-Ces plateformes technologiques exploitent le dépôt de cookies dans leur fonctionnement : le dépôt de cookies est nécessaire pour assurer la traçabilité de la navigation de l’utilisateur, et leur lecture à partir d’une page où un annonceur achète un espace publicitaire est indispensable pour proposer des annonces personnalisées.
La formation restreinte conclut que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont réunis, et que la CNIL est territorialement compétente.
| CNIL / Rapporteur | YAHOO EMEA LIMITED / Défense |
|---|---|
| Yahoo France constitue un établissement au sens souple de la CJUE : siège à Paris, objet social = promotion des produits Yahoo en France, contrat de prestation, lien capitalistique et de gouvernance étroit | Yahoo France est une entité juridique distincte dont Yahoo EMEA n’est pas actionnaire ; elle ne représente pas Yahoo EMEA dans les procédures administratives et judiciaires relatives aux cookies |
| Le dépôt de cookies est effectué « dans le cadre des activités » de Yahoo France car les plateformes publicitaires qu’elle promeut fonctionnent grâce aux cookies | Yahoo France n’est impliquée ni dans le traitement, ni dans la conception/gestion du traitement de données ; elle ne gère pas les relations avec les utilisateurs français |
| La jurisprudence CE Amazon Europe Core confirme que la seule promotion d’espaces publicitaires suffit à caractériser le « cadre des activités » | Le risque d’atteinte à la protection des utilisateurs ne se présente pas ici puisque Yahoo EMEA a son siège dans un État membre (Irlande) |
| En tout état de cause, la CNIL n’aurait pas pu renvoyer les plaintes à l’autorité irlandaise : le guichet unique est inapplicable (CE, Google LLC, 28 janv. 2022) | La CNIL aurait pu communiquer les plaintes à l’autorité irlandaise, compétente en tant qu’autorité de l’État membre du siège |
C. SUR LA DÉTERMINATION DU RESPONSABLE DE TRAITEMENT
La formation restreinte rappelle que l’article 4, paragraphe 7, du RGPD — applicable par renvoi de la directive ePrivacy — définit le responsable de traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».
En l’espèce, la qualité de responsable de traitement de la société YAHOO EMEA LIMITED n’est pas contestée. La délibération relève que :
—-La politique de confidentialité de la société, dans ses versions disponibles au jour des contrôles, indique que « Nous avons recours à des cookies et d’autres technologies lorsque vous consultez nos Produits et que vous vous servez d’applications et de sites Web tiers utilisant nos Services », le terme « Nous » faisant référence à la société VERIZON MEDIA EMEA LIMITED.
—-Par courrier du 2 juillet 2021, la société a indiqué qu’elle détermine les finalités et les moyens des traitements de données personnelles relatifs à la publicité ciblée sur tous les domaines visités lors des vérifications.
—-Tant la société YAHOO FRANCE que la société VERIZON FRANCE ont confirmé que la responsabilité du traitement concernant le site yahoo.com et la messagerie Yahoo Mail incombait à la société VERIZON MEDIA EMEA LIMITED, devenue YAHOO EMEA LIMITED.
D. SUR LE GRIEF TIRÉ DE L’IRRÉGULARITÉ DE LA PROCÉDURE
La société YAHOO EMEA LIMITED a soulevé deux griefs procéduraux qui doivent être examinés avant d’aborder le fond.
1. SUR LE DÉLAI DE LA PROCÉDURE
La société a soutenu que la longueur de la procédure — le dernier contrôle de la CNIL datant d’octobre 2021 et la désignation du rapporteur de juillet 2023 — avait porté atteinte à ses droits de la défense et constituait une violation du droit à une bonne administration, de manière impartiale et équitable, et dans un délai raisonnable, tel que consacré par l’article 41 de la Charte des droits fondamentaux de l’Union européenne.
La formation restreinte considère qu’il ne lui revient pas d’apprécier le délai écoulé entre la décision de la présidente ordonnant un contrôle et la décision de désignation d’un rapporteur. En revanche, elle relève que la procédure de sanction menée depuis la désignation du rapporteur et la saisine de la formation restreinte, datées respectivement des 10 et 11 juillet 2023, s’est déroulée en moins de six mois et donc dans des conditions respectueuses des droits de la défense, en termes de délai raisonnable.
| CNIL / Rapporteur | YAHOO EMEA LIMITED / Défense |
|---|---|
| La procédure de sanction devant la formation restreinte (juil.-déc. 2023) s’est déroulée en moins de 6 mois : respect du délai raisonnable | Le délai écoulé entre le dernier contrôle (oct. 2021) et la désignation du rapporteur (juil. 2023) — près de 2 ans — a porté atteinte aux droits de la défense et viole l’art. 41 de la Charte des droits fondamentaux de l’UE |
| La formation restreinte ne peut apprécier le délai préalable à sa saisine | Ce délai a eu un impact négatif sur le montant de l’amende, calculé sur le CA 2022, nettement supérieur à ce qu’aurait été le CA 2020 si l’affaire avait été examinée en 2021 |
2. SUR LA CONTESTATION DE LA MÉTHODOLOGIE DE CONTRÔLE
La société a contesté la méthodologie suivie par la délégation de la CNIL lors du contrôle en ligne n° 2020-1271, en soutenant que l’une des captures d’écran reproduites en page 14 du procès-verbal ne correspondait pas à celle à laquelle le procès-verbal faisait référence et qui est annexée en pièce n° 25.
La formation restreinte relève que le procès-verbal de contrôle ne contient aucune erreur : en page 14 de celui-ci figurent deux captures d’écran reproduites l’une en-dessous de l’autre, séparées par la mention « Constatons l’affichage suivant », et que le renvoi fait par le procès-verbal à la pièce n° 25 ne correspond qu’à la seconde capture d’écran. Elle note en outre que la présentation du procès-verbal et de ses annexes n’avait jamais été contestée par la société après notification des documents par la délégation de la CNIL.
Le grief tiré de l’irrégularité de la procédure est en conséquence écarté.