CNIL | SAN-2023-024 | 29 décembre 2023 | Affaire YAHOO EMEA LIMITED | MANQUEMENTS

CNIL | SAN-2023-024 | 29 DÉCEMBRE 2023 | AFFAIRE YAHOO EMEA LIMITED |

COOKIES DÉPOSÉS SANS CONSENTEMENT PRÉALABLE ET OBSTACLE AU RETRAIT DU CONSENTEMENT ° LA CNIL SANCTIONNE YAHOO EMEA LIMITED D’UNE AMENDE DE 10 MILLIONS D’EUROS

POINTS ESSENTIELS

FAITS & PROCEDURE MANQUEMENTS SANCTIONS ANALYSE CRITIQUE CONSEILS AUX RT

C. CONCLUSION GÉNÉRALE

 

La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.

En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.

En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.

En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.

La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.

Dispositif de la délibération SAN-2023-024 :

La formation restreinte de la CNIL a décidé de :

—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.

 

III. LES MANQUEMENTS À L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

A. LE CADRE JURIDIQUE DE RÉFÉRENCE : L’ARTICLE 82 DE LA LOI INFORMATIQUE ET LIBERTÉS

 

L’article 82 de la loi Informatique et Libertés dispose :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Depuis l’entrée en application du RGPD, le consentement prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair. Le considérant 42 du RGPD précise que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

B. SUR LE PREMIER VOLET DU MANQUEMENT : LE DÉPÔT DE COOKIES EN L’ABSENCE DE CONSENTEMENT PRÉALABLE

 

1. LES CONSTATATIONS LORS DU CONTRÔLE EN LIGNE DU 7 OCTOBRE 2020

Lors du contrôle en ligne du 7 octobre 2020, la délégation de la CNIL a reproduit deux parcours utilisateurs en n’exprimant à aucun moment son consentement au dépôt de cookies :

Premier scénario : La délégation s’est rendue sur la page yahoo.com, où elle a constaté l’affichage d’une fenêtre portant la mention « Vos données. Votre expérience » relative à l’utilisation de cookies par la société, laquelle comportait un bouton « J’accepte » et un bouton « Gérer les paramètres ». Après avoir cliqué sur « Gérer les paramètres », la délégation a constaté l’apparition d’une interface permettant de paramétrer le dépôt de cookies par finalités ou par partenaires, grâce à des boutons poussoirs désactivés par défaut. La délégation n’a activé aucun de ces boutons, puis a cliqué sur le bouton « Enregistrer et continuer » afin de poursuivre sa navigation. Elle a néanmoins relevé le dépôt de 26 cookies, dont 7 à finalité publicitaire.

Second scénario : La délégation a navigué sur le domaine yahoo.com pour créer un compte de messagerie Yahoo Mail, sans exprimer son consentement. À mi-parcours, elle a constaté le dépôt de 26 cookies dont 12 à finalité publicitaire. Une fois le parcours de création de compte terminé, la délégation a constaté la présence de 47 cookies sur son terminal, dont 8 à finalité publicitaire supplémentaires. Au total, 20 cookies à finalité publicitaire ont été déposés sans consentement préalable.

La formation restreinte considère donc que la méthodologie suivie par la délégation de contrôle établit clairement qu’au moins 20 cookies poursuivant une finalité publicitaire ont été inscrits sur son terminal sans consentement préalable.

2. LE CADRE JURIDIQUE APPLICABLE AU MOMENT DU CONTRÔLE

La société a soutenu qu’elle ne pouvait être sanctionnée pour les manquements constatés lors du contrôle en ligne du 7 octobre 2020, dans la mesure où ce contrôle avait été réalisé seulement quelques jours après la publication des lignes directrices du 1er octobre 2020, ce qui ne lui avait pas laissé un temps suffisant pour s’y conformer. Elle soulignait que ces manquements avaient été commis pendant la période transitoire de six mois (1er octobre 2020 au 1er avril 2021) durant laquelle la CNIL avait déclaré qu’aucune mission de contrôle ni action répressive ne serait engagée.

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
Le communiqué CNIL du 29 sept. 2020 indiquait expressément que la CNIL continuerait de poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en application du RGPD, clairées par sa recommandation du 5 déc. 2013 Le contrôle a été réalisé quelques jours après les lignes directrices du 1er oct. 2020 : la société n’avait pas eu le temps de s’y conformer
Les pratiques reprochées ont continuellement été considérées comme non conformes par la CNIL, la position demeurant inchangée quelle que soit l’évolution des recommandations Ces manquements ont été commis pendant la période transitoire de 6 mois (1er oct. 2020 – 1er avril 2021) déclarée par la CNIL, durant laquelle aucune répression n’était annoncée
La CNIL n’a jamais considéré que la période transitoire couvrait les manquements antérieurs au RGPD La société a immédiatement pris des mesures supplémentaires après notification du PV d’octobre 2020

La formation restreinte rejette l’argument de la société en relevant que si les recommandations en matière de cookies ont évolué, les pratiques reprochées à la société ont continuellement été considérées comme non conformes par la CNIL et que cette position demeure inchangée.

3. SUR LA RESPONSABILITÉ DE LA SOCIÉTÉ POUR LES COOKIES DÉPOSÉS PAR SES PARTENAIRES TIERS

La société a soutenu qu’un grand nombre de cookies avaient été déposés par des tiers, et qu’elle avait mis en œuvre tous les moyens permettant de s’assurer que ses partenaires ne déposent pas de cookies sur son site sans se conformer à la législation applicable. Elle se prévalait à cet égard d’un document intitulé « Pratiques, améliorations et gouvernance mises en œuvre en matière de cookies », faisant état d’un programme de gestion de ses partenaires leur permettant uniquement de s’appuyer sur le consentement collecté via la plateforme de gestion du consentement de Yahoo EMEA (CMP).

La formation restreinte rappelle qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires à l’encontre d’éditeurs de site pour des faits relatifs aux opérations de lecture et/ou d’écriture d’informations, y compris par des tiers, dans le terminal des utilisateurs visitant leur site, notamment dans la délibération n° SAN-2020-009 du 18 novembre 2020 et dans la délibération n° SAN-2020-013 du 7 décembre 2020.

Elle considère que si l’ensemble des mesures déployées par la société ont abouti à ce que ses partenaires ne déposent plus de cookies sans le consentement de l’utilisateur — comme cela ressort du contrôle en ligne du 10 juin 2021 —, elles n’ont été déployées qu’après le premier contrôle en ligne du 7 octobre 2020. Ces mesures sont donc sans incidence sur le manquement constaté.

La formation restreinte conclut que la société YAHOO EMEA LIMITED a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés pour ce premier volet.

C. SUR LE SECOND VOLET DU MANQUEMENT : L’OBSTACLE AU RETRAIT DU CONSENTEMENT

 

1. LE FONDEMENT JURIDIQUE DU DROIT AU RETRAIT DU CONSENTEMENT

La formation restreinte pose le principe que si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal.

Ce droit au retrait est formalisé à l’article 7, paragraphe 3, du RGPD, qui dispose que « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »

Ce principe de la symétrie du retrait a été consacré de longue date par la recommandation de la CNIL issue de la délibération n° 2013-378 du 5 décembre 2013, puis réaffirmé dans la délibération n° 2019-093 du 4 juillet 2019, et repris dans les lignes directrices du 17 septembre 2020 (délibération n° 2020-091, point 31) : « il doit être aussi simple de retirer son consentement que de le donner. » Le Conseil d’État a validé ce principe dans son arrêt du 19 juin 2020 (n° 434684, aux Tables) en jugeant que la CNIL, en énonçant ce principe, s’était bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus.

2. LES CONSTATATIONS : UN RETRAIT CONDITIONNÉ À L’ABANDON DE LA MESSAGERIE

Lors des contrôles en ligne des 7 octobre 2020 et 10 juin 2021, la délégation de la CNIL a constaté que lorsqu’un utilisateur de Yahoo Mail souhaitait retirer son consentement au dépôt des cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie.

La formation restreinte observe que la délégation, lors des deux contrôles en ligne, a suivi les parcours que les utilisateurs sont les plus susceptibles d’emprunter lorsqu’ils souhaitent retirer leur consentement, en cliquant sur les boutons et les onglets comportant des intitulés intuitifs tels que « Votre compte », puis « Consentement général » ou « En savoir plus ».

La formation restreinte considère que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni — pratique assimilable à un cookie wall — n’est pas en soi illégale, c’est à la condition que le consentement soit libre, ce qui implique que tant le refus que le retrait du consentement n’entraînent pas de préjudice pour l’utilisateur.

3. L’ANALYSE DU CARACTÈRE « CAPTIF » DE L’UTILISATEUR DE YAHOO MAIL

La formation restreinte développe une analyse particulièrement fine de la situation des utilisateurs de Yahoo Mail. Elle relève que :

« l’utilisateur du service Yahoo Mail peut, grâce à ce service, échanger avec d’autres personnes au moyen de son adresse électronique, développer son réseau et son carnet d’adresse virtuel et archiver des conversations personnelles ou professionnelles importantes. Dès lors, mesure qu’il utilise son adresse de messagerie, l’utilisateur se trouve captif du service de messagerie en cause, qui constitue un élément de sa vie privée, familiale, éventuellement professionnelle et qu’il ne peut, dès lors qu’il a commencé à l’utiliser, plus remplacer par n’importe quel service similaire aussi facilement qu’il l’aurait fait initialement. »

En l’espèce, la société ne proposait pas d’alternative aux utilisateurs souhaitant retirer leur consentement — par exemple, un service de messagerie payant. La seule possibilité offerte à l’utilisateur était de renoncer à l’usage de sa messagerie électronique, perdant ainsi l’accès à son adresse, à son carnet d’adresses et à ses archives.

La formation restreinte souligne que l’absence d’alternative affecte nécessairement le caractère libre du retrait du consentement. Elle appuie cette analyse sur la décision CJUE, Meta, C-252/21, 4 juillet 2023, dans laquelle la Cour a précisé, au point 150 de sa décision, que :

« les utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données. »

CNIL / Rapporteur YAHOO EMEA LIMITED / Défense
L’art. 82 LIL implique corrélativement un droit au retrait du consentement ; le retrait doit être aussi simple à exercer que le consentement à donner Ni la directive ePrivacy, ni le RGPD, ni l’art. 82 LIL n’encadrent de manière précise la révocation du consentement au dépôt de cookies
L’absence d’alternative (pas de messagerie payante) prive le retrait de son caractère libre (considérant 42 RGPD : « sans subir de préjudice ») Les utilisateurs avaient la possibilité de refuser le dépôt de cookies sans renoncer aux produits Yahoo, via le « Tableau de bord Yahoo »
L’utilisateur de Yahoo Mail est progressivement « captif » de son adresse email : il ne peut y renoncer aussi facilement qu’un utilisateur novice Par parallélisme avec la pratique des cookie walls, aucun consensus n’existe pour considérer cette pratique illégale
La CJUE (Meta, C-252/21, 4 juill. 2023) impose une alternative équivalente pour que le consentement soit libre Il existait des alternatives au service Yahoo Mail ; les personnes pouvaient demander la portabilité de leurs données au titre de l’art. 20 RGPD
La portabilité des données n’est pas une alternative au sens du retrait du consentement au dépôt de cookies ; elle ne prévient pas le dépôt La société ne proposait pas cette solution directement aux utilisateurs souhaitant retirer leur consentement

La formation restreinte rejette l’argument relatif à la portabilité des données, en relevant que « la circonstance, avancée par la société, selon laquelle les utilisateurs ne souhaitant plus recourir au service de messagerie Yahoo pouvaient exercer leur droit à la portabilité tel que prévu par l’article 20 du RGPD ne permet en aucun cas d’empêcher le dépôt de cookies sur le terminal, ce qui est pourtant l’objet du droit au retrait du consentement », et en notant qu’il ne résulte pas de l’instruction que la société proposait cette solution aux utilisateurs concernés.

La formation restreinte conclut que la société a méconnu ses obligations au regard de l’article 82 de la loi Informatique et Libertés pour ce second volet également.

IV. LES MOYENS DE DÉFENSE DE YAHOO EMEA LIMITED ET LEUR SORT PROCÉDURAL

A. SUR LA CONTESTATION DU CADRE JURIDIQUE APPLICABLE

 

La société a développé une argumentation globale contestant le cadre juridique applicable au premier volet du manquement, en faisant valoir que les lignes directrices du 1er octobre 2020 constituaient un changement normatif dont elle n’avait pas pu prendre connaissance en temps utile.

Ce moyen est écarté par la formation restreinte, qui rappelle que les pratiques reprochées — dépôt de cookies à finalité publicitaire sans consentement préalable — étaient continuellement considérées comme non conformes par la CNIL depuis au moins sa recommandation du 5 décembre 2013, et que l’évolution des recommandations n’a pas modifié cette qualification fondamentale.

B. SUR LA CONTESTATION DU CHAMP DES COOKIES INCRIMINÉS

 

La société a contesté le périmètre du manquement, soutenant :

  1. Que le rapporteur lui reprochait, à tort, l’inscription de 103 cookies lors du contrôle du 7 octobre 2020, alors que la délégation naviguait sur le domaine d’un site tiers et non sur le domaine yahoo.com.
  2. Qu’un grand nombre de cookies déposés étaient strictement nécessaires à la fourniture de ses services et donc exempts de consentement.
  3. Que d’autres cookies avaient été déposés par des tiers, pour lesquels elle avait mis en œuvre tous les moyens permettant de s’assurer du respect de la législation applicable.

La formation restreinte accueille partiellement le premier argument : dans sa réponse aux observations de la société, le rapporteur a écarté du périmètre du manquement les 103 cookies dont le dépôt avait été constaté à partir d’une page n’appartenant pas aux domaines sous la responsabilité de la société. Elle maintient néanmoins que 20 cookies à finalité publicitaire ont bien été inscrits sur le terminal de la délégation sans consentement préalable, conformément aux informations transmises par la société elle-même au cours de l’instruction.

C. SUR LES MESURES CORRECTIVES MISES EN ŒUVRE

 

La société a fait valoir l’étendue des mesures correctives déployées après le premier contrôle, notamment :

—-Un programme de gestion et d’intégrations de ses partenaires avec des enquêtes destinées à comprendre comment ils géraient les signaux de consentement.
—-L’exclusion des partenaires des sites détenus et opérés par Yahoo EMEA dès lors qu’il existait un motif raisonnable laissant penser que leurs pratiques n’étaient pas conformes.
—-La réévaluation des systèmes de publicité, un renforcement de la gouvernance et la mise en place d’un contrôle plus formel et fréquent des sites détenus et opérés par Yahoo.

Ces mesures ont abouti à ce qu’aucun nouveau cookie déposé sans consentement préalable n’ait été observé lors du second contrôle du 10 juin 2021. La formation restreinte en prend acte, mais rappelle que ces mesures n’ont été déployées qu’après le premier contrôle, et sont donc sans incidence sur le constat du manquement.

D. SUR LA DURÉE DES MANQUEMENTS

 

La formation restreinte précise les durées respectives des deux volets du manquement :

—-Premier volet (dépôt de cookies sans consentement préalable) : durée d’au moins quatre mois, entre le premier contrôle en ligne du 7 octobre 2020 et la finalisation, le 12 février 2021, de la première mesure de réévaluation de la pratique de la société pour s’assurer que les tiers respectent la législation en matière de cookies.
—-Second volet (obstacle au retrait du consentement) : ce volet a été constaté lors des deux contrôles en ligne — octobre 2020 et juin 2021 — et la durée du manquement a couru au moins jusqu’au 7 juillet 2021, date à laquelle la société a supprimé l’onglet « Consentement général » et le texte qui l’accompagnait. La durée du manquement est donc d’au moins 21 mois.