CNIL | SAN-2023-024 | 29 DÉCEMBRE 2023 | AFFAIRE YAHOO EMEA LIMITED |
POINTS ESSENTIELS
FAITS & PROCEDURE MANQUEMENTS SANCTIONS ANALYSE CRITIQUE CONSEILS AUX RT
C. CONCLUSION GÉNÉRALE
La délibération SAN-2023-024 concernant la société YAHOO EMEA LIMITED constitue une décision de référence à plusieurs titres.
En premier lieu, elle consolide définitivement la compétence de la CNIL pour sanctionner des manquements à l’article 82 LIL commis par des entités étrangères dont l’établissement français se borne à une activité de promotion commerciale, en appliquant rigoureusement les jurisprudences Weltimmo, Google Spain et Amazon Europe Core. Elle démontre que la structuration en filiales et en contrats de prestation intercompagnies ne permet pas d’échapper à la compétence territoriale de la CNIL, dès lors que le lien entre l’activité de promotion et les traitements de données est avéré.
En deuxième lieu, elle apporte une contribution doctrinale significative à la théorie du retrait libre du consentement dans le contexte des cookie walls imposés aux utilisateurs captifs de services numériques. En mobilisant la notion de « captivité progressive » et en transposant le raisonnement de la CJUE dans l’arrêt Meta au contexte de la messagerie électronique, elle enrichit le corpus jurisprudentiel sur l’articulation entre liberté de consentement, liberté de retrait et existence d’une alternative équivalente.
En troisième lieu, elle illustre les limites de la défense procédurale fondée sur le délai d’instruction ou la contestation de la méthodologie de contrôle : ces moyens, bien que légitimes à soulever, se heurtent à la robustesse de la valeur probante des procès-verbaux de contrôle en ligne et à la nature administrative — et non juridictionnelle — de la procédure devant la formation restreinte.
La décision appelle enfin une observation prospective. La question du modèle « consentir ou payer » pour les services de messagerie et les grands services numériques demeure entière à la date de la délibération. Si la formation restreinte a condamné l’absence totale d’alternative, elle n’a pas validé ni invalidé le principe d’une offre payante comme alternative acceptable. Cette question, qui a été posée dans un contexte parallèle par la décision de la Bundesgerichtshof dans l’affaire Meta en Allemagne, et qui est au cœur des travaux du CEPD, devrait faire l’objet dans les prochaines années d’un cadrage plus précis au niveau européen. Les opérateurs concernés gagneraient, dans ce contexte d’incertitude normative persistante, à anticiper une évolution potentiellement restrictive en documentant dès aujourd’hui l’économie et la faisabilité de leurs alternatives au consentement au dépôt de cookies.
Dispositif de la délibération SAN-2023-024 :
La formation restreinte de la CNIL a décidé de :
—-Prononcer une amende administrative de dix millions d’euros (10 000 000 €) à l’encontre de la société YAHOO EMEA LIMITED pour manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
—-Rendre publique la délibération sur le site web de la CNIL et sur le site web de Légifrance, celle-ci ne permettant plus d’identifier nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
V. LES MESURES CORRECTRICES ET LA SANCTION
A. LE CADRE LÉGAL DES SANCTIONS
Aux termes du III de l’article 20 de la loi Informatique et Libertés :
« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement UE 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […] 7° […] une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. »
L’article 83 du RGPD, tel que visé par l’article 20 de la loi Informatique et Libertés, impose que les amendes administratives soient « dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende et pour en déterminer le montant.
B. SUR LE PRONONCÉ DE L’AMENDE DE 10 MILLIONS D’EUROS
1. CRITÈRES DE GRAVITÉ RETENUS PAR LA FORMATION RESTREINTE
La formation restreinte s’est appuyée sur les critères suivants pour fixer le montant de l’amende à 10 millions d’euros :
S’agissant du premier volet du manquement, la formation restreinte relève que :
—-Le responsable de traitement a porté une atteinte grave au droit des usagers de conserver la maîtrise de leurs données, en les traitant à leur insu, en contrariété avec le principe même fixé par l’article 82 LIL qui conditionne une telle action au consentement exprès de l’utilisateur.
—-Le manquement se traduit par le dépôt de cookies par une quinzaine de sociétés spécialisées dans la publicité personnalisée dont le but est de suivre la navigation sur le web pour proposer ultérieurement de la publicité correspondant au comportement de l’utilisateur.
S’agissant du second volet du manquement, la formation restreinte souligne sa particulière gravité :
« les conditions de retrait du consentement étant intrinsèquement liées à la liberté de consentir. Or, en l’espèce, ses modalités conduisent à faire pression sur les utilisateurs pour les dissuader de retirer leur consentement au dépôt de cookies, en leur laissant croire qu’ils pourraient ne plus pouvoir se servir des services de Yahoo. »
La violation est d’autant plus sérieuse, estime la formation restreinte, qu’il s’agit pour les usagers d’une renonciation à l’utilisation de leur messagerie et de leur adresse électronique qui constituent des éléments importants de leur vie privée, familiale et professionnelle.
S’agissant du nombre de personnes concernées, la formation restreinte souligne le nombre important de personnes concernées, évalué à environ 5 millions de visiteurs uniques du domaine yahoo.com entre 2019 et 2020.
S’agissant de la durée, les manquements ont perduré continuellement depuis au moins la recommandation du 5 décembre 2013, étant précisé que les pratiques reprochées n’ont jamais été conformes aux exigences de la CNIL depuis lors.
2. TRAITEMENT DE L’ARGUMENT RELATIF À LA COOPÉRATION DE LA SOCIÉTÉ
La formation restreinte note que la société a collaboré avec les services de la CNIL et a répondu à toutes les demandes d’information dans les délais impartis. Elle précise cependant que ce faisant, les sociétés ont respecté les obligations issues de l’article 18 de la loi Informatique et Libertés, sans que cela soit, pour autant, constitutif d’une circonstance atténuante au sens du f) de l’article 83 du RGPD, dès lors que la société ne démontre pas que sa collaboration avec la CNIL a permis de remédier à la violation identifiée et d’en atténuer les effets négatifs.
3. TRAITEMENT DE L’ARGUMENT RELATIF À L’IMPACT DU DÉLAI D’INSTRUCTION SUR LE MONTANT DE L’AMENDE
La société avait soutenu que le délai d’instruction avait eu un impact négatif important sur le montant de l’amende, qui a été déterminé au regard de son chiffre d’affaires de 2022, nettement supérieur à celui de l’année 2020 qui aurait été pris en compte si la formation restreinte avait examiné l’affaire en 2021.
Cet argument n’a pas été expressément retenu comme circonstance atténuante par la formation restreinte. La formation restreinte a maintenu l’amende à 10 millions d’euros, qui correspond au plafond de 10 millions d’euros ou 2% du CA mondial, en appliquant la règle du montant le plus élevé.
| CNIL / Rapporteur | YAHOO EMEA LIMITED / Défense |
|---|---|
| Amende de 10 M€ justifiée par la gravité intrinsèque des deux volets (atteinte au droit de maîtrise des données ; pression sur le retrait du consentement), la durée de 21 mois du second volet, et 5 M de personnes concernées | L’amende proposée doit être minorée compte tenu des efforts continus et proactifs en matière de protection des données |
| La coopération de la société avec la CNIL = respect d’une obligation légale, pas une circonstance atténuante (art. 83 f) RGPD) | Plusieurs facteurs de l’art. 83 RGPD justifient une atténuation : absence de sensibilité particulière des données ; traitement non transfrontalier ; préjudice non substantiel ; pas d’intention de tromper les prospects |
| Les pratiques sanctionnées sont continuellement non conformes depuis la recommandation du 5 déc. 2013 : la gravité est aggravée par la persistance | Le délai d’instruction a eu un impact négatif sur le montant : le CA 2022 est nettement supérieur au CA 2020 qui aurait été pris en compte si l’affaire avait été examinée en 2021 |
| L’amende doit être effective, proportionnée et dissuasive au sens de l’art. 83 RGPD | L’amende infligée doit correspondre à celle prononcée dans des affaires similaires, conformément aux principes de non-discrimination et d’égalité de traitement |
C. SUR LA PUBLICITÉ DE LA SANCTION
La formation restreinte a décidé de rendre publique la délibération, avec anonymisation au terme d’un délai de deux ans à compter de sa publication. Cette mesure se justifie au regard de la gravité des manquements, du nombre de personnes concernées (environ 5 millions de visiteurs uniques), et du fait qu’elle permettra d’informer ces personnes et de leur permettre de faire valoir leurs droits.