CNIL | SAN-2024-019 | 14 NOVEMBRE 2024 | AFFAIRE ORANGE SA |
ORANGE SA SANCTIONNÉE POUR AVOIR INSÉRÉ DES ANNONCES PUBLICITAIRES SOUS FORMAT D’E-MAILS ENTRE LES VÉRITABLES E-MAILS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Le service Mail Orange et la pratique des publicités insérées entre les courriels
La société ORANGE SA met à disposition de ses clients abonnés un service de messagerie électronique dénommé « Mail Orange », accessible depuis le site web orange.fr ou via une application mobile dédiée. Dans le cadre de ce service, et ainsi que les délégations de contrôle de la CNIL ont pu le constater lors de leurs missions des 7 et 12 juin 2023, la société affichait, au sein même de la boîte de réception des utilisateurs, entre les courriels privés reçus, des annonces publicitaires dont la présentation se rapprochait très étroitement de celle de véritables courriers électroniques. Ces entrées publicitaires se distinguaient des courriels authentiques uniquement par une couleur de fond légèrement grisée — les courriels privés apparaissant sur fond blanc —, par la mention « annonce » apposée à droite à la place de l’heure ou du jour de réception, et par la présence d’une croix à gauche permettant de supprimer l’entrée, en lieu et place de la case à cocher habituellement utilisée pour sélectionner un courriel. Le nom de l’expéditeur et l’objet du message se présentaient dans les mêmes formes que ceux des vrais courriels, et un clic sur ces entrées entraînait l’ouverture, dans un nouvel onglet du navigateur, de la page web de l’annonceur concerné.
Ce dispositif publicitaire n’était pas marginal : la société ORANGE commercialisait ces emplacements dédiés auprès d’annonceurs tiers et en gérait souverainement l’affichage par l’intermédiaire de son propre Tag Management System (TMS). Le volume de personnes concernées par cette pratique s’est révélé considérable, plus de 7,8 millions d’utilisateurs du service Mail Orange ayant été exposés à ces publicités dans leur boîte de réception sans avoir, à aucun moment, consenti à cet affichage — ni au moment de la création de leur compte, ni lors de leur connexion, et sans que les paramètres du compte permettent de s’y opposer.
II.
Le cadre normatif applicable : articulation entre l’article L. 34-5 du CPCE et la directive ePrivacy
Le premier manquement retenu par la formation restreinte repose sur l’article L. 34-5 du code des postes et des communications électroniques (CPCE), qui interdit la prospection directe au moyen de courriers électroniques utilisant les coordonnées d’une personne physique n’ayant pas exprimé préalablement son consentement à recevoir de telles prospections. Cette disposition transpose en droit français l’article 13 de la directive 2002/58/CE du 12 juillet 2002 (directive ePrivacy), telle que modifiée par la directive 2009/136/CE du 25 novembre 2009, dont le paragraphe 1 conditionne l’utilisation du courrier électronique à des fins de prospection directe à l’obtention du consentement préalable de l’abonné ou de l’utilisateur.
ORANGE a fait valoir une prétendue contradiction entre ces deux textes. Selon la société, l’article L. 34-5 du CPCE, à la différence de l’article 13 de la directive ePrivacy, subordonnerait son application à la caractérisation d’un traitement de données à caractère personnel, au motif que son premier alinéa vise la prospection « utilisant les coordonnées d’une personne physique » et que son deuxième alinéa définit le consentement par référence à l’utilisation de données à caractère personnel à fin de prospection directe. La société en déduisait que, dès lors que les adresses de courrier électronique des utilisateurs n’étaient pas traitées en tant que telles dans le cadre du dispositif technique mis en œuvre — les publicités étant affichées selon les mêmes modalités que des bannières publicitaires —, le texte national ne lui était pas applicable.
La formation restreinte a écarté ce moyen de défense de façon méthodique et articulée. Elle a d’abord rappelé, conformément à l’article 288 du TFUE, que les directives lient les États membres quant au résultat à atteindre, les laissant libres des formes et des moyens, mais que les mesures nationales d’exécution doivent nécessairement atteindre l’objectif défini par la directive. Elle a ensuite souligné que la CJUE a constamment affirmé que les dispositions du droit de l’Union doivent recevoir une interprétation autonome et uniforme dans l’ensemble des États membres, tenant compte non seulement des termes du texte mais aussi des objectifs poursuivis et du contexte normatif d’ensemble. Il en résulte que l’article L. 34-5 du CPCE doit être lu à la lumière de l’article 13 de la directive ePrivacy et de la jurisprudence de la CJUE.
Sur le fond de la prétendue contradiction, la formation restreinte a considéré que les termes « utilisant les coordonnées d’une personne physique » figurant à l’article L. 34-5 du CPCE ne sont pas synonymes de « traitant les données à caractère personnel d’une personne physique » et n’ajoutent aucune condition supplémentaire par rapport au texte européen. Ces coordonnées correspondent aux « abonnés » visés par la directive, et la notion d’« utilisation des coordonnées » doit s’entendre comme le moyen d’atteindre l’utilisateur — en l’espèce par le biais de sa messagerie électronique — indépendamment du traitement de l’adresse de courrier électronique en tant que telle. Ainsi, l’utilisation de la boîte électronique de l’abonné pour afficher un message de prospection suffit à faire entrer cette opération dans le champ d’application de l’article L. 34-5 du CPCE.
Quant à la référence au traitement de données à caractère personnel dans la définition du consentement posée par l’alinéa 2 de l’article L. 34-5 du CPCE, la formation restreinte a précisé que cette référence est également présente dans la directive ePrivacy — son article 2, f renvoyant à la définition du consentement de la directive 95/46/CE, puis désormais à celle de l’article 4(11) du RGPD. Cette référence commune ne doit pas être analysée comme une condition d’application supplémentaire posée par le texte national, mais uniquement comme une volonté du législateur d’uniformiser les concepts utilisés en renvoyant aux définitions figurant dans d’autres instruments normatifs. La formation restreinte a donc conclu à l’absence de toute contradiction entre les deux textes, tous deux devant être interprétés à la lumière des décisions rendues par la CJUE.
III.
L’interprétation fonctionnelle de la notion de « courrier électronique » : l’apport de l’arrêt CJUE du 25 novembre 2021
La formation restreinte a accordé une place centrale à l’arrêt rendu par la CJUE le 25 novembre 2021 dans l’affaire StWL Städtische Werke Lauf a.d. Pegnitz GmbH (C-102/20, dit arrêt « Inbox advertising »). Dans cette décision, la Cour avait précisé que l’article 13, paragraphe 1, de la directive 2002/58 doit être interprété en ce sens que constitue une « utilisation de courrier électronique à des fins de prospection directe » l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier, et que cette utilisation n’est autorisée qu’à condition que l’utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause.
La Cour avait insisté sur plusieurs éléments déterminants. Du point de vue du destinataire, le message publicitaire est affiché dans un espace normalement réservé aux courriels privés. L’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses seuls courriels privés qu’après avoir vérifié le contenu du message publicitaire et l’avoir activement supprimé. S’il clique sur un tel message, il est redirigé vers un site Internet contenant la publicité en question, au lieu de poursuivre la lecture de ses courriels privés. Contrairement aux bannières publicitaires ou aux fenêtres contextuelles qui apparaissent en marge de la liste des messages privés, ces messages publicitaires entravent l’accès aux courriels d’une manière analogue au spam, requérant la même prise de décision de la part de l’abonné. Par ailleurs, la ressemblance avec de véritables courriels crée un risque de confusion, pouvant conduire l’utilisateur à être redirigé contre sa volonté vers un site de publicité.
La formation restreinte a souligné l’importance particulière de cet arrêt : il est l’un des rares arrêts de la CJUE en matière de protection des données personnelles de l’année 2021 à avoir fait l’objet d’un communiqué de presse, dont l’intitulé était sans ambiguïté — « Inbox advertising : l’affichage dans la boîte de réception électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique constitue une utilisation de courrier électronique à des fins de prospection directe au sens de la directive 2002/58 ». Cet arrêt avait été publié près de deux ans avant les opérations de contrôle de la CNIL chez ORANGE, de sorte qu’il était raisonnablement prévisible pour la société, compte tenu de ses capacités matérielles, humaines et techniques, d’en tirer les conséquences nécessaires pour adapter ses pratiques.
La formation restreinte a également adopté une approche fonctionnelle et évolutive des notions en jeu, conforme à celle retenue par la CJUE. Elle a relevé que, lors de la rédaction initiale des textes sur la prospection commerciale électronique, la notion de prospection s’envisageait classiquement comme l’envoi d’un message d’un destinataire à un autre en utilisant son numéro de téléphone, son numéro de télécopie ou son adresse de courrier électronique en tant que tels. L’évolution des technologies et le déploiement de nouvelles méthodes de prospection imposent d’adopter une approche fonctionnelle, axée sur l’objectif de protection poursuivi par la directive — assurer un niveau égal de protection aux utilisateurs indépendamment des technologies utilisées — plutôt que sur les modalités techniques précises d’envoi d’un message.
IV.
La responsabilité du fournisseur de messagerie électronique en matière de prospection
L’un des apports les plus significatifs de la délibération SAN-2024-019 réside dans la position tranchée adoptée par la formation restreinte quant à la responsabilité du fournisseur de messagerie électronique. ORANGE soutenait que la charge du recueil du consentement devait incomber aux annonceurs, qui sont les seuls acteurs en mesure d’identifier la nécessité de ce recueil en fonction notamment de la préexistence d’une relation commerciale avec le destinataire. La société se prévalait également du fait que l’arrêt de la CJUE du 25 novembre 2021 avait été rendu dans une affaire opposant deux annonceurs concurrents, et que la décision ne visait pas spécifiquement les fournisseurs de messagerie.
La formation restreinte a rejeté ces arguments avec une précision remarquable. Elle a d’abord relevé que l’arrêt de la CJUE s’était prononcé de manière générale sur les critères régissant la notion de « courrier électronique » et sur la notion d’« utilisation de celui-ci à des fins de prospection directe », sans opérer de distinction en fonction des organismes impliqués dans la prospection. Bien plus, la Cour avait expressément visé le fournisseur de messagerie électronique dans sa décision, précisant que « la défenderesse et l’intervenante au principal ainsi que le fournisseur de messagerie électronique impliqués utilisent l’existence de la liste des courriers électroniques privés, en tenant compte de l’intérêt et de la confiance particuliers de l’abonné au regard de cette liste, pour placer leur publicité directe en donnant à celle-ci l’aspect d’un véritable courrier électronique » (point 44).
La formation restreinte a ensuite établi une distinction essentielle entre deux types de situations. Dans les affaires de prospection commerciale précédemment examinées par la formation restreinte, les messages étaient de véritables courriels transmis par un utilisateur (l’annonceur) à un autre destinataire, le fournisseur de messagerie n’intervenant que pour assurer l’acheminement du message — sa fonction première. Dans l’affaire ORANGE, la situation est radicalement différente : le fournisseur de messagerie ne se contente pas d’acheminer un message dont il n’a pas décidé de l’envoi. Il commercialise auprès des annonceurs des espaces dédiés qu’il détermine souverainement, et dont il maîtrise entièrement l’affichage au sein de la boîte de courrier électronique des utilisateurs — en l’espèce par l’intermédiaire de son propre Tag Management System (TMS). Dans cette configuration, le fournisseur de messagerie est le seul acteur en contact direct avec les destinataires des messages et, partant, le seul en mesure de pouvoir recueillir leur consentement préalable.
La formation restreinte a conclu que, dans ces conditions, le fournisseur de messagerie électronique doit être regardé comme responsable du respect des dispositions de l’article L. 34-5 du CPCE dans le cadre des opérations de prospection réalisées, nonobstant l’éventuelle responsabilité propre des annonceurs. Cette responsabilité du fournisseur de messagerie n’exclut pas celle des annonceurs, mais s’y ajoute de façon indépendante, en raison de la maîtrise technique et commerciale que le fournisseur exerce sur le dispositif d’affichage.
V.
La prévisiblité du cadre juridique et le principe de légalité des délits et des peines
ORANGE a soutenu que le prononcé d’une sanction serait contraire au principe de légalité des délits et des peines, au motif que l’arrêt de la CJUE du 25 novembre 2021 ne permettait pas d’établir un cadre juridique clair et prévisible pour un fournisseur de messagerie, et que la CNIL n’avait pas accompagné les acteurs du marché dans la mise en œuvre de cette nouvelle jurisprudence — notamment dans son référentiel sur la gestion commerciale, où l’arrêt n’était pas mentionné.
La formation restreinte a écarté ce moyen en rappelant les exigences constitutionnelles et jurisprudentielles applicables en matière de sanction administrative. Elle a rappelé que le Conseil constitutionnel a exigé le respect du principe de légalité des délits et des peines (n° 88-248 DC, 17 janvier 1989), et que le Conseil d’État a précisé que l’exigence d’une définition précise et complète des éléments constitutifs des infractions se trouve satisfaite dès lors que les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de leur activité, et qu’une sanction peut être prononcée s’il est raisonnablement prévisible, eu égard aux responsabilités de la personne concernée, que le comportement litigieux constitue un manquement à ces obligations (CE, 3 octobre 2018, SFCM, n° 411050).
La formation restreinte a fait observer que l’obligation de recueillir le consentement préalable des personnes concernées pour réaliser des opérations de prospection commerciale par voie électronique est clairement exigée par la législation nationale et européenne depuis de nombreuses années — la directive ePrivacy de 2002 ayant été transposée en droit français dès la loi n° 2004-669 du 9 juillet 2004, et la CNIL ayant à de nombreuses reprises rappelé cette exigence sur son site web et dans ses décisions de sanction. L’arrêt CJUE du 25 novembre 2021, quant à lui, est d’une clarté remarquable sur les pratiques visées et avait été publié près de deux ans avant les opérations de contrôle. Son communiqué de presse était particulièrement explicite sur sa portée. Il appartenait donc à la société ORANGE, qui dispose des moyens matériels, humains et techniques nécessaires, d’adapter le cas échéant ses pratiques. Les éléments constitutifs du manquement reprochés à la société étaient définis de façon précise et complète, et le principe de légalité des délits et des peines ne s’oppose pas au prononcé d’une sanction.
VI.
La caractérisation du manquement à l’article L. 34-5 du CPCE : le test en trois étapes
Pour caractériser le manquement à l’article L. 34-5 du CPCE, la formation restreinte a appliqué la grille d’analyse en trois étapes définie par la CJUE dans son arrêt du 25 novembre 2021 : vérifier si le moyen de communication utilisé entre dans le champ de la disposition visée, si la communication a pour finalité la prospection directe, et si l’exigence d’un consentement préalable a été respectée.
Sur le moyen de communication. Les constatations de la délégation les 7 et 12 juin 2023 ont mis en évidence l’affichage, dans la boîte de réception des utilisateurs du service Mail Orange, de messages publicitaires présentant de très fortes similitudes avec ceux examinés par la CJUE dans son arrêt : publicités insérées entre les courriels privés reçus par l’utilisateur, date remplacée par la mention « annonce », texte de l’annonce apparaissant sur fond gris, présence d’un texte destiné à la promotion d’un produit dans la rubrique « objet », redirection de l’utilisateur qui clique sur le message vers le site de l’annonceur, risque de confusion compte tenu de l’emplacement des messages et de leur ressemblance avec de véritables courriels. La formation restreinte a relevé que les légères différences existant avec les messages examinés par la Cour — notamment la mention de l’expéditeur et la possibilité de supprimer le message sans l’ouvrir — ne sont pas de nature remettre en cause l’analyse, dès lors que l’utilisateur doit toujours réaliser une démarche active pour libérer son espace de messagerie. La boîte de réception constitue bien le moyen par lequel les messages publicitaires sont communiqués aux utilisateurs, ce qui implique l’utilisation de leur courrier électronique au sens du CPCE et de la directive ePrivacy. L’argument de la société sur l’absence de traitement de l’adresse de courrier électronique en tant que telle a été écarté, l’article L. 34-5 du CPCE, comme l’article 13 de la directive ePrivacy, n’exigeant pas la caractérisation d’un tel traitement pour s’appliquer.
Sur la finalité de prospection directe. Les messages affichés dans la boîte de réception des utilisateurs du service Mail Orange visent la promotion de produits ou services proposés par des annonceurs tiers et poursuivent un but commercial. Ils s’adressent directement et individuellement aux utilisateurs, qui n’obtiennent l’accès à leur messagerie qu’après s’être authentifiés à l’aide de leurs identifiants personnels. La formation restreinte a donc conclu que les annonces insérées entre les courriels reçus caractérisent bien une utilisation de courrier électronique à des fins de prospection directe.
Sur l’absence de consentement. Il ressort des constatations de la délégation que le consentement de l’utilisateur à voir s’afficher des publicités au sein de la boîte de réception de sa messagerie n’était à aucun moment recueilli : ni au moment de la création du compte, ni au moment de la connexion (par exemple via une case à cocher ou un bouton poussoir), et les réglages du compte de messagerie ne permettaient pas de s’opposer à cet affichage. Ce point n’est d’ailleurs pas contesté par la société.
La formation restreinte a ainsi retenu que la société ORANGE a commis un manquement avéré à l’article L. 34-5 du CPCE.
VII.
La mise en conformité et le nouveau format « sticky »
Dans ses premières observations en réponse au rapport de sanction, ORANGE a indiqué avoir décidé d’abandonner le format d’affichage de publicités entre les courriels dès le mois de novembre 2023, produisant un courrier adressé à la CNIL le 22 septembre 2023 faisant part de sa volonté de faire évoluer ses formats publicitaires. La société a précisé avoir cessé de recourir à l’affichage d’annonces entre les courriels à compter du 2 novembre 2023 pour la messagerie accessible depuis un navigateur web, et au 30 novembre 2023 pour les utilisateurs de l’application Mail Orange, après une mise à jour imposée.
Le nouveau format d’affichage dit « sticky » développé par la société consiste à afficher les messages publicitaires non plus entre les courriels reçus, mais au sein d’une bannière distincte et fixe figurant au pied de la boîte de réception, en marge de la liste des courriels et séparément de ceux-ci. La formation restreinte a considéré que ce nouveau format permet de distinguer clairement les annonces des autres courriels reçus et que la pratique antérieure ne peut plus, dans ces conditions, être qualifiée d’utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE. Elle a donc pris acte de la mise en conformité de la société sur ce point, tout en rappelant que le manquement demeurait caractérisé pour le passé.
VIII.
Le manquement à l’article 82 de la loi Informatique et Libertés : la persistance de lecture de cookies après retrait du consentement
Le second manquement retenu concerne le respect de l’article 82 de la loi Informatique et Libertés, qui constitue la transposition en droit français de l’article 5, paragraphe 3, de la directive ePrivacy. Ce texte impose que tout abonné ou utilisateur soit informé de manière claire et complète de toute action tendant à accéder à des informations stockées dans son équipement terminal ou à y inscrire des informations, et que ces opérations ne puissent avoir lieu qu’après que l’abonné ou l’utilisateur a exprimé son consentement — sauf dans les deux cas d’exemption prévus (communication par voie électronique ou service expressément demandé par l’utilisateur).
Les contrôles réalisés par la délégation sur le site web orange.fr ont établi que, lorsque des utilisateurs acceptaient le dépôt et la lecture de cookies sur leur terminal puis retiraient leur consentement, les cookies précédemment déposés — notamment des cookies publicitaires et des cookies statistiques soumis au consentement — continuaient à être lus. Ces opérations de lecture ont pour effet de transporter les valeurs des cookies jusqu’aux serveurs du système d’information d’ORANGE et de ses partenaires exploitant des domaines tiers. La maîtrise en échappe alors à la fois à l’internaute, qui a pourtant retiré son consentement, et à la société ORANGE elle-même, qui ne peut garantir les opérations réalisées par ses partenaires à partir des informations lues sur le terminal du visiteur.
ORANGE n’a pas contesté la persistance de ces lectures après retrait du consentement. Elle a cependant invoqué en défense l’absence de texte ou de jurisprudence précisant clairement les modalités de prise en compte du retrait du consentement et l’absence d’obligation explicite de cesser toute opération de lecture, soutenant que les cookies ne faisant l’objet d’aucune exploitation après ledit retrait, aucun préjudice n’était caractérisé pour les utilisateurs. Elle a également mis en avant les contraintes techniques liées à la gestion du retrait du consentement, notamment pour les cookies de domaines tiers, et regretté le manque d’accompagnement de la CNIL sur ce point.
IX.
La rigueur de l’analyse juridique du manquement à l’article 82
La formation restreinte a procédé à une analyse juridique particulièrement rigoureuse du manquement à l’article 82 de la loi Informatique et Libertés. Elle a d’abord rappelé que cet article, interprété de manière constante par la CNIL depuis sa recommandation relative aux cookies du 5 décembre 2013 (délibération n° 2013-378) et sa recommandation du 17 septembre 2020 (délibération n° 2020-092), implique non seulement que les personnes concernées donnent leur consentement à l’accès ou à l’inscription d’informations dans leur terminal, mais également que celles ayant donné leur consentement soient en mesure de le retirer de manière simple et à tout moment.
Elle a expressément renvoyé à sa décision du 29 décembre 2023 (SAN-2023-024), dans laquelle elle avait affirmé que, si l’article 82 conditionne le dépôt de cookies au consentement, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir sur son choix d’accepter que des cookies soient déposés sur son terminal.
Sur la portée exacte du terme « accès » figurant à l’article 82, la formation restreinte a précisé que ce terme renvoie à une opération de lecture des informations déjà stockées — c’est-à-dire des cookies déjà déposés et leurs valeurs —, laquelle est distincte de l’opération d’écriture consistant à déposer de nouveaux cookies. Elle a souligné que l’intitulé même des lignes directrices adoptées par la CNIL le 17 septembre 2020 (délibération n° 2020-091) fait expressément référence aux opérations de « lecture et écriture » dans le terminal d’un utilisateur.
Il s’ensuit que le seul fait de lire des cookies soumis au consentement de la personne concernée, sans disposer d’un tel consentement valide — que ce consentement n’ait jamais été donné ou qu’il ait été retiré —, suffit à entrer dans le périmètre de l’interdiction posée par l’article 82 de la loi Informatique et Libertés, indépendamment de l’éventuelle exploitation ultérieure de ces cookies. La formation restreinte a également rappelé l’enseignement de l’arrêt CJUE Planet49 GmbH du 1er octobre 2019 (C-673/17) : les règles régissant l’utilisation des cookies permettent de protéger la vie privée des utilisateurs en garantissant l’intégrité de leur terminal, les informations stockées ou consultées dans ce cadre ne constituant pas nécessairement des données à caractère personnel. Il convient donc de distinguer les opérations consistant à déposer et lire un cookie sur le terminal (soumises à l’article 82) de l’utilisation ultérieure qui est faite des données générées par ces cookies (soumise au RGPD).
L’argument de la société selon lequel aucune exploitation des cookies n’avait eu lieu après retrait du consentement a été traité par la formation restreinte avec une prudence analytique exemplaire : elle a relevé que cette affirmation n’était pas démontrée matériellement et ne pouvait être tenue pour acquise, les cookies lus étant toujours théoriquement exploitables dans la mesure où des requêtes à destination des domaines d’ORANGE et de ses partenaires étaient bien envoyées et contenaient des cookies. Elle a décidé de ne tenir compte du sort réservé aux informations collectées ni dans la caractérisation du manquement ni dans l’appréciation de la sanction.
X.
Le régime de responsabilité pour les cookies de domaines tiers
La formation restreinte a développé une analyse spécifique et nuancée concernant la responsabilité d’ORANGE pour les cookies relevant de domaines tiers — c’est-à-dire les cookies déposés par les partenaires de la société. Elle a d’abord rappelé la jurisprudence du Conseil d’État selon laquelle les éditeurs de sites qui autorisent le dépôt et l’utilisation de cookies par des tiers lors de la visite de leur site doivent être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a mis le cookie (CE, 6 juin 2018, n° 412589). À ce titre, ORANGE avait l’obligation de s’assurer auprès de ses partenaires qu’ils n’émettaient pas, par l’intermédiaire de son site, des cookies ne respectant pas la réglementation applicable en France, et d’effectuer toute démarche utile auprès d’eux pour mettre fin aux manquements constatés.
La formation restreinte a relevé que, concernant les cookies liés au domaine .orange.fr, la société ORANGE maîtrisait l’ensemble des opérations réalisées et avait d’ailleurs précisé envisager de faire évoluer son script « cookie monster » afin qu’aucun cookie soumis au consentement ne soit plus lu après retrait. Elle ne pouvait donc pas se retrancher derrière la complexité technique résultant de l’absence de solutions proposées par ses partenaires pour les cookies dont elle avait la maîtrise directe.
La formation restreinte a également précisé les solutions techniques permettant d’assurer l’effectivité du retrait du consentement, telles qu’indiquées dans la recommandation CNIL du 17 septembre 2020 : modifier la durée de vie des cookies pour indiquer qu’ils sont expirés en renvoyant dans une réponse HTTP un en-tête Set-Cookie approprié spécifiant une date d’expiration dans le passé, ou assurer leur suppression à l’aide d’un script exécuté localement sur le terminal, via l’utilisation des API cookies des navigateurs web.
XI.
Le régime des cookies « mixtes » et les cookies publicitaires
En marge de la caractérisation du manquement principal à l’article 82, la formation restreinte a saisi l’occasion pour clarifier le régime applicable aux cookies poursuivant plusieurs finalités distinctes. ORANGE avait évoqué dans ses observations l’existence de « domaines mixtes », portant sur des cookies « consentis et non consentis », et indiqué que ses partenaires réalisaient des opérations de publicité ne nécessitant pas le consentement.
La formation restreinte a rappelé avec fermeté que tous les cookies poursuivant une finalité publicitaire sont soumis au consentement de la personne concernée. Seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ou étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, sont exemptés d’un tel consentement. Un même cookie qui poursuivrait deux finalités distinctes, dont l’une seulement entrerait dans le périmètre des exemptions — l’autre étant, par exemple, une finalité publicitaire — ne pourrait bénéficier des dispositions d’exemption. Dans un tel cas, il appartient à la société soit de recueillir le consentement préalable des utilisateurs au dépôt et à la lecture d’un tel cookie, soit de mettre en œuvre deux cookies différents, dont l’un serait exempt du recueil du consentement et l’autre non. Cette précision s’inscrit dans la continuité de la délibération SAN-2022-023 du 19 décembre 2022.
XII.
La mise en conformité partielle d’ORANGE et les engagements pris
La société ORANGE a pris, dans le cadre de la procédure, des engagements de mise en conformité concernant les cookies. Elle a indiqué avoir pour projet de faire évoluer son script « cookie monster » afin de faire en sorte qu’aucun cookie soumis au consentement ne soit plus lu après retrait dudit consentement. La formation restreinte a pris acte de ces engagements, mais a constaté que le manquement à l’article 82 demeurait caractérisé au moment des contrôles.
La mise en conformité définitive a fait l’objet d’une vérification ultérieure, sanctionnée par la délibération SAN-2025-007 du 11 septembre 2025 par laquelle la CNIL a clôturé l’injonction prononcée à l’encontre d’ORANGE. Dans le cadre de cette procédure de suivi, la société a démontré avoir pris des mesures permettant de supprimer, à l’aide d’un script, les traceurs liés au domaine .orange.fr (cookies first party) en cas de retrait du consentement, et avoir mis en place des mesures empêchant toute opération de lecture ou d’écriture sur son site pour les cookies tiers une fois le consentement retiré, en faisant cesser la réalisation de nouvelles requêtes vers les domaines tiers. La formation restreinte a cependant noté que ces traceurs tiers n’étaient pas supprimés du navigateur, ORANGE n’ayant pas la maîtrise technique de ceux-ci, et que leur suivi pouvait se poursuivre sur des sites tiers utilisant le même traceur. La formation restreinte a considéré qu’en l’état de la doctrine et de la jurisprudence du Conseil d’État, ces opérations de lecture réalisées en dehors du site web orange.fr excèdent la responsabilité d’ORANGE et relèvent de celle de ses partenaires. La formation restreinte a décidé de ne pas liquider l’astreinte et de clôturer l’injonction.
XIII.
Les défenses d’ORANGE sur le quantum et leur réfutation
Dans ses observations finales, ORANGE a contesté le quantum de la sanction proposée par la rapporteure, soutenant qu’il était disproportionné, excessif et injustifié, et témoignait d’une erreur manifeste d’appréciation. La société a mis en avant plusieurs arguments atténuants : la cessation quasi-immédiate de la pratique d’affichage des annonces entre les courriels dès novembre 2023, l’absence d’exploitation des cookies lus après retrait du consentement, l’absence de préjudice des personnes concernées, et sa parfaite coopération avec les services de la CNIL. Elle a soutenu que la proposition de la rapporteure reviendrait à sanctionner ORANGE pour le compte de l’ensemble des acteurs du marché, ce qui serait contraire au principe d’individualisation des peines. Elle a également estimé qu’un rappel à l’ordre, une mise en demeure ou un avertissement public aurait pu constituer une mesure correctrice efficace et adéquate.
Sur le droit à la défense, ORANGE a également soutenu n’avoir pas été mise en mesure de se défendre raisonnablement et convenablement en raison de l’absence de distinction, dans la proposition de sanction, des peines relatives à chacun des manquements. La formation restreinte n’a pas retenu ces arguments, et les développements sur les critères de détermination de la sanction — qui dépassent le cadre des présentes synthèses — démontrent que la délibération a tenu compte, dans une mesure significative, des éléments contextuels invoqués par la société.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats