CNIL | SAN-2024-019 | 14 novembre 2024 | Affaire ORANGE SA | CONSEILS

PARTIE I — CONSEILS AUX RESPONSABLES DE TRAITEMENT

---

I. LES ENSEIGNEMENTS OPÉRATIONNELS DU PREMIER MANQUEMENT : LA PROSPECTION COMMERCIALE ÉLECTRONIQUE ET LE RÉGIME DE L’OPT-IN

 

A. COMPRENDRE LA PORTÉE DE LA NOTION DE PROSPECTION DIRECTE PAR VOIE ÉLECTRONIQUE

La délibération SAN-2024-019 invite tout responsable de traitement exploitant un service de messagerie électronique ou un service numérique comportant un espace de réception de communications à reconsidérer la qualification juridique de chaque format publicitaire ou commercial qu’il déploie dans cet espace. La formation restreinte a en effet jugé, en s’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021, que des annonces publicitaires insérées entre les courriels d’une boîte de réception, prenant l’apparence de courriels et affichées dans un espace normalement réservé aux communications privées, constituent de la prospection directe par courrier électronique au sens de l’article L. 34-5 du CPCE.

Le responsable de traitement doit donc retenir que la qualification de prospection directe ne dépend pas du procédé technique par lequel la communication commerciale parvient à l’utilisateur — envoi d’un courriel depuis un serveur d’expédition tiers, ou affichage intégré dans l’interface par le fournisseur lui-même — mais de la fonction qu’elle remplit et de la perception qu’en a l’utilisateur. Toute communication à vocation commerciale qui s’insère dans un espace perçu par l’utilisateur comme réservé à ses échanges privés et qui prend l’apparence d’une communication authentique entre particuliers ou entre un professionnel et un particulier relève du régime de l’opt-in prévu par l’article L. 34-5 du CPCE.

Recommandation pratique n° 1 — Audit des formats publicitaires : Tout responsable de traitement opérant un service de messagerie électronique ou un service intégrant des espaces d’affichage au sein d’interfaces de communication doit procéder à un audit complet de ses formats publicitaires afin d’identifier ceux qui répondent à la qualification de prospection directe. Pour chaque format ainsi identifié, il convient de vérifier que le consentement préalable, libre, spécifique, éclairé et univoque de chaque utilisateur a bien été recueilli avant tout affichage, conformément aux exigences cumulatives posées par l’article L. 34-5 du CPCE et par l’article 7 du RGPD.

B. LA MAÎTRISE DU DISPOSITIF COMME CRITÈRE DÉTERMINANT DE RESPONSABILITÉ

La formation restreinte a retenu la responsabilité d’ORANGE en tant que fournisseur de messagerie ayant la maîtrise des publicités en cause, en ce qu’elle procédait à leur affichage et commercialisait auprès des annonceurs les espaces dédiés. Cette délimitation de la responsabilité par le critère de la maîtrise technique et commerciale du dispositif doit guider les responsables de traitement dans l’évaluation de leur propre exposition.

Un fournisseur de messagerie, une plateforme de messagerie instantanée, un service de gestion de boîtes aux lettres ou tout autre opérateur de communications électroniques qui conçoit, déploie et commercialise des espaces publicitaires intégrés dans l’interface de réception des communications de ses utilisateurs est pleinement responsable du respect du régime du consentement préalable pour ces espaces. Il ne peut pas se retrancher derrière la diversité des annonceurs ou la nature techniquement passive de son rôle d’intermédiaire.

Recommandation pratique n° 2 — Cartographie des responsabilités publicitaires : Les responsables de traitement qui commercialisent des espaces publicitaires au sein de leurs services numériques doivent formaliser une cartographie claire des responsabilités entre eux-mêmes (en qualité de diffuseurs), les régies publicitaires (en qualité de co-responsables éventuels) et les annonceurs (en qualité de commanditaires). Cette cartographie doit intégrer une analyse de la conformité de chaque format au regard de l’article L. 34-5 du CPCE et, si applicable, de l’article 82 de la loi Informatique et Libertés, et alimenter le registre des activités de traitement prévu par l’article 30 du RGPD.

LA CONCEPTION ET LA MISE EN ŒUVRE D’UN MÉCANISME DE RECUEIL DU CONSENTEMENT CONFORME

Dès lors qu’un format publicitaire est qualifié de prospection directe au sens de l’article L. 34-5 du CPCE, le responsable de traitement doit mettre en place un mécanisme de recueil du consentement préalable satisfaisant aux exigences cumulatives suivantes, telles que précisées par la jurisprudence de la CJUE (notamment l’arrêt Planet49 du 1er octobre 2019, C-673/17) et par les lignes directrices du Comité européen de la protection des données :

—-Préalable : le consentement doit être obtenu avant tout affichage ou envoi de la communication commerciale ;
—-Libre : l’utilisateur doit disposer d’une réelle liberté de choix, sans que le refus du consentement entraîne une dégradation significative de l’accès au service ;
—-Spécifique : le consentement doit porter sur une finalité précisément décrite, et non sur un ensemble indéterminé de finalités ;
—-Éclairé : l’utilisateur doit disposer d’une information claire et complète sur la nature des communications auxquelles il consent et sur l’identité du responsable ;
—-Univoque : le consentement doit résulter d’une action positive et délibérée de l’utilisateur ; une case pré-cochée, le silence ou l’inaction ne valent pas consentement.

Recommandation pratique n° 3 — Interface de recueil du consentement : La mise en place d’une interface de recueil du consentement conforme suppose, en pratique, de prévoir un mécanisme de choix binaire et équilibré (accepter / refuser) présenté de manière lisible et accessible, sans que le refus soit rendu techniquement plus difficile ou esthétiquement moins attractif que l’acceptation. Le consentement ainsi recueilli doit faire l’objet d’une traçabilité documentée (horodatage, version de l’interface proposée, contenu de l’information présentée) permettant de satisfaire à l’obligation de démonstration prévue par l’article 7, §1, du RGPD.

---

---

II. LES ENSEIGNEMENTS OPÉRATIONNELS DU DEUXIÈME MANQUEMENT : LA GESTION DU RETRAIT DU CONSENTEMENT EN MATIÈRE DE COOKIES

 

A. L’OBLIGATION D’EFFECTIVITÉ DU RETRAIT DE CONSENTEMENT : UNE OBLIGATION DE RÉSULTAT TECHNIQUE

La délibération SAN-2024-019 consacre avec force le principe selon lequel le retrait du consentement à l’utilisation des cookies et autres traceurs doit produire des effets immédiats et complets, et notamment mettre fin à toute opération de lecture des informations stockées dans le terminal de l’utilisateur, que ces lectures soient le fait du responsable de traitement lui-même ou de ses partenaires.

La formation restreinte a rappelé que :

« une telle opération de lecture, qui consiste à accéder aux informations stockées dans le terminal de l’utilisateur, était explicitement interdite par l’article 82 de la loi Informatique et Libertés, même si ces informations ne sont pas exploitées par la suite »

Cette formulation révèle le caractère formel et non matériel du manquement : il suffit que la lecture s’opère pour que le manquement soit constitué, indépendamment de tout usage effectif des données lues. Le responsable de traitement ne peut donc pas se défendre en faisant valoir que les cookies lus après retrait du consentement n’ont pas été exploités ou n’ont causé aucun préjudice concret à l’utilisateur.

Recommandation pratique n° 4 — Implémentation technique du retrait de consentement : Le responsable de traitement doit s’assurer que son dispositif de gestion du consentement (CMP — Consent Management Platform) est configuré pour déclencher immédiatement, à la suite de tout retrait de consentement, l’ensemble des mécanismes techniques nécessaires pour empêcher toute opération de lecture ou d’écriture des cookies soumis à consentement. Ce dispositif doit notamment :
—-bloquer l’exécution des scripts déclenchant les appels aux serveurs partenaires susceptibles d’accéder aux cookies ;
—-supprimer du navigateur, dans la mesure du possible, les cookies dont le responsable a la maîtrise technique ;
—-vérifier périodiquement, au moyen de tests techniques documentés, que le mécanisme de retrait fonctionne correctement sur l’ensemble des navigateurs et terminaux supportés.

B. L’OBLIGATION DE SURVEILLANCE ET DE COORDINATION VIS-À-VIS DES PARTENAIRES PUBLICITAIRES

La délibération SAN-2024-019 impose aux responsables de traitement une obligation positive de s’assurer que leurs partenaires — régies publicitaires, fournisseurs de technologies de mesure d’audience, plateformes de ciblage — mettent en œuvre des solutions techniques permettant d’honorer le retrait de consentement exprimé par les utilisateurs. Cette obligation de coordination a été nuancée, mais non supprimée, par la décision de clôture d’injonction SAN-2025-007 du 11 septembre 2025.

Cette obligation de surveillance active des partenaires s’inscrit dans la logique de l’accountability consacrée par l’article 5, §2, du RGPD : le responsable de traitement doit être en mesure de démontrer que les traitements réalisés sous sa responsabilité — y compris ceux impliquant des traceurs déposés par des tiers sur ses services — sont conformes à la réglementation.

Recommandation pratique n° 5 — Clauses contractuelles et due diligence partenaires : Le responsable de traitement doit intégrer dans ses contrats avec ses partenaires publicitaires et technologiques des clauses spécifiques relatives au respect du retrait de consentement, prévoyant notamment :
—-l’obligation pour le partenaire de mettre en place des mécanismes techniques permettant de cesser toute opération de lecture ou d’écriture des traceurs sur notification de retrait de consentement ;
—-une obligation de reporting régulier sur la conformité technique des mécanismes de gestion du consentement ;
—-une clause de responsabilité prévoyant les conséquences d’un manquement du partenaire aux obligations de conformité.

---

---

III. LA GOUVERNANCE DES DONNÉES PERSONNELLES : LES ENSEIGNEMENTS TRANSVERSAUX DE LA DÉLIBÉRATION

 

A. METTRE EN PLACE UNE REVUE PÉRIODIQUE DES PRATIQUES PUBLICITAIRES ET DE LA CONFORMITÉ COOKIES

La délibération SAN-2024-019 illustre les risques auxquels s’expose un responsable de traitement qui n’intègre pas la conformité réglementaire en matière de cookies et de prospection électronique comme une préoccupation permanente de sa gouvernance des données. Les manquements d’ORANGE n’étaient pas des violations ponctuelles et accidentelles : ils reflétaient des pratiques commerciales et techniques durablement établies, qui n’avaient pas été remises en question au regard des évolutions réglementaires et jurisprudentielles intervenues depuis l’entrée en application du RGPD en mai 2018.

Recommandation pratique n° 6 — Programme de conformité cookies : Tout responsable de traitement opérant un service numérique avec traçabilité publicitaire doit mettre en place un programme de conformité dédié aux cookies et traceurs, comprenant :
—-une cartographie exhaustive des traceurs déposés sur ses services (cookies first-party, pixels tiers, fingerprinting, etc.) ;
—-une revue annuelle au minimum de l’interface de recueil du consentement, de son contenu informationnel et de son fonctionnement technique ;
—-des tests techniques périodiques du mécanisme de retrait de consentement, couvrant les principales configurations de navigateurs et terminaux ;
—-une veille réglementaire et jurisprudentielle permettant d’identifier les évolutions de la doctrine de la CNIL et du CEPD en matière de traceurs.

B. LE RÔLE CENTRAL DU DPO DANS LA SUPERVISION DE LA CONFORMITÉ PUBLICITAIRE

Le délégué à la protection des données (DPO) doit être associé à l’ensemble des décisions relatives aux pratiques publicitaires numériques susceptibles d’impliquer un traitement de données personnelles. Cette association préventive est d’autant plus importante dans les cas où le responsable de traitement commercialise des espaces publicitaires au sein de services numériques à grande audience, car les risques systémiques pour les droits des utilisateurs sont alors particulièrement élevés.

Recommandation pratique n° 7 — Mission de conseil du DPO sur les pratiques publicitaires : Le DPO doit être consulté en amont de tout déploiement d’un nouveau format publicitaire ou d’une nouvelle technologie de ciblage, afin de qualifier le régime juridique applicable (opt-in ou opt-out) et de vérifier la conformité du dispositif envisagé. Cette consultation doit être formalisée et documentée, de manière à établir la preuve de la diligence du responsable de traitement.

---

PARTIE II — CONSEILS AUX PERSONNES CONCERNÉES

---

I. COMPRENDRE VOS DROITS FACE AUX PRATIQUES DE PROSPECTION ÉLECTRONIQUE NON CONSENTIE

 

A. VOTRE DROIT À NE PAS RECEVOIR DE PROSPECTION COMMERCIALE NON CONSENTIE

En application de l’article L. 34-5 du CPCE, vous disposez d’un droit fondamental à ne pas faire l’objet de prospection commerciale directe par voie électronique sans avoir préalablement donné votre consentement. Ce droit s’applique quelle que soit la forme que prend la communication commerciale : courriel, SMS, message dans une messagerie instantanée, ou — comme l’a précisé la délibération SAN-2024-019 — annonce publicitaire insérée dans votre boîte de réception de messagerie en prenant l’apparence d’un courriel.

Si vous utilisez un service de messagerie électronique et que vous constatez que des messages publicitaires s’affichent dans votre boîte de réception entre vos courriels privés, en prenant l’apparence de vrais courriels sans être clairement identifiés comme des publicités, vous pouvez :

1. Vérifier si vous avez consenti à la réception de telles communications lors de votre inscription au service ou dans vos paramètres de compte ;
2. Retirer votre consentement si vous l’avez accordé, en accédant aux paramètres de votre compte ou en utilisant le mécanisme de désinscription prévu ;
3. Déposer une plainte auprès de la CNIL (via le formulaire en ligne sur le site cnil.fr) si vous n’avez pas consenti à ces communications et que le fournisseur de messagerie ne donne pas suite à votre demande de cessation.

B. VOTRE DROIT AU RETRAIT EFFECTIF DU CONSENTEMENT AUX COOKIES

La délibération SAN-2024-019 a également confirmé que votre droit de retirer votre consentement aux cookies est un droit effectif et immédiatement opposable, qui doit produire des effets techniques concrets : dès que vous retirez votre consentement via la bannière de cookies ou le centre de préférences d’un site web, aucun cookie soumis à consentement ne devrait être lu sur votre terminal, ni par le site lui-même ni par ses partenaires publicitaires.

Si vous constatez — par exemple en examinant les cookies stockés dans votre navigateur à l’aide des outils de développement — que des cookies continuent d’être lus après que vous avez retiré votre consentement, vous êtes en présence d’une violation de l’article 82 de la loi Informatique et Libertés. Vous pouvez dans ce cas exercer les recours suivants :

1. Signaler le problème au DPO du site concerné, en lui demandant une explication et une correction du mécanisme défaillant ;
2. Effacer manuellement les cookies stockés dans votre navigateur, via les paramètres de confidentialité de ce dernier ;
3. Déposer une plainte auprès de la CNIL en fournissant des éléments concrets (captures d’écran, liste des cookies identifiés après retrait du consentement).

---

II. LES PRÉCAUTIONS PRATIQUES POUR PROTÉGER VOTRE VIE PRIVÉE EN LIGNE

 

Recommandation aux personnes concernées n° 1 — Paramétrer votre interface de consentement aux cookies : Lorsque vous visitez un site web pour la première fois, la bannière de cookies qui s’affiche vous propose de consentir ou de refuser le dépôt de traceurs. Prenez le temps de lire les options proposées et de n’accepter que les catégories de cookies strictement nécessaires à votre navigation. Évitez de cliquer sur « Tout accepter » par réflexe ; préférez un choix éclairé via le bouton « Paramétrer » ou « Personnaliser ».

Recommandation aux personnes concernées n° 2 — Méfiance face aux annonces dans votre boîte de réception : Suite à la délibération SAN-2024-019, les fournisseurs de messagerie ont été contraints d’améliorer l’identification visuelle de leurs annonces publicitaires. Cependant, si vous constatez des messages qui ressemblent à des courriels ordinaires mais qui font en réalité la promotion d’un produit ou service commercial, vérifiez s’ils proviennent d’un vrai expéditeur ou s’ils sont affichés par le service de messagerie lui-même. En cas de doute, vous pouvez accéder aux paramètres de votre compte de messagerie pour vérifier vos préférences publicitaires.

Recommandation aux personnes concernées n° 3 — Exercer votre droit d’opposition : En vertu de l’article 21 du RGPD, vous disposez d’un droit d’opposition au traitement de vos données à des fins de prospection commerciale, qui peut être exercé à tout moment et sans justification. Ce droit est absolu en matière de prospection directe : dès que vous l’exercez, le responsable de traitement est tenu de cesser immédiatement tout traitement de vos données à cette fin. L’exercice de ce droit peut se faire directement auprès du responsable de traitement (DPO ou service dédié) ou via le mécanisme de désinscription figurant en bas de chaque message commercial reçu.

Recommandation aux personnes concernées n° 4 — Saisir la CNIL en cas de persistance : Si, après avoir exercé vos droits auprès d’un responsable de traitement, vous constatez que vos demandes restent sans effet ou que les manquements persistent, vous avez la possibilité de déposer une plainte auprès de la CNIL via le service en ligne disponible sur le site cnil.fr, rubrique « Exercer mes droits ». La CNIL peut, dans ce cadre, procéder à des contrôles, mettre en demeure le responsable de traitement et, le cas échéant, engager une procédure de sanction.

---

 
 
 

---

POINTS ESSENTIELS

---

La délibération SAN-2024-019 du 14 novembre 2024, par laquelle la formation restreinte de la CNIL a prononcé à l’encontre de la société ORANGE SA une amende de 50 millions d’euros assortie d’une injonction sous astreinte de 100 000 euros par jour de retard, constitue une décision fondatrice dans le droit de la prospection commerciale électronique et de la gestion des traceurs.

S’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021 (C-102/20), la formation restreinte a qualifié de prospection directe soumise à l’obligation de consentement préalable de l’article L. 34-5 du CPCE les annonces publicitaires qu’ORANGE insérait au sein même de la boîte de réception de son service « Mail Orange », entre les courriels de ses utilisateurs, en retenant le critère de la maîtrise technique et commerciale du dispositif par le fournisseur de messagerie — critère qui distingue radicalement ce format de la prospection classique envoyée par un annonceur via l’adresse courriel d’un prospect —, et ce alors même qu’ORANGE avait introduit des modifications visuelles sur ses annonces depuis avril 2023, jugées insuffisantes à exclure la confusion avec un véritable courriel ; au titre d’un second manquement autonome à l’article 82 de la loi Informatique et Libertés, la formation restreinte a établi, comme règle formelle ne souffrant aucune exception, que la lecture de cookies s’opérant postérieurement au retrait du consentement par l’utilisateur — fût-ce sans exploitation effective des données ainsi lues — constitue en soi une violation, y compris lorsqu’elle porte sur des cookies déposés par des partenaires tiers auxquels le responsable de traitement a ouvert son espace numérique ; la détermination du montant de l’amende tient compte de l’atteinte portée à plus de 7,8 millions de personnes, de la position d’ORANGE comme premier opérateur de télécommunications en France, de l’avantage financier retiré de la commercialisation des espaces publicitaires litigieux, et de la cessation volontaire du premier manquement en novembre 2023 à titre atténuant ;

L’injonction, exécutée dans le délai de trois mois imparti ainsi que l’a constaté la délibération SAN-2025-007 du 11 septembre 2025 clôturant la procédure sans astreinte liquidée, a permis à ORANGE de se mettre effectivement en conformité, mais l’affaire a ouvert la voie à la sanction infligée à GOOGLE le 1er septembre 2025 (SAN-2025-004, 325 millions d’euros) pour des pratiques similaires, confirmant qu’ORANGE constitue le précédent jurisprudentiel fondateur d’une ligne doctrinale désormais pleinement assumée par la formation restreinte, qui soumet à l’obligation d’opt-in l’ensemble des formats publicitaires insérés dans les espaces de messagerie privée par leurs fournisseurs, quelle que soit la sophistication technique du dispositif ou la discrétion des mentions d’identification.