CNIL | SAN-2024-019 | 14 NOVEMBRE 2024 | AFFAIRE ORANGE SA |
ORANGE SA | VIE PRIVÉE NUMÉRIQUE
ORANGE SANCTIONNÉE POUR AVOIR INSÉRÉ DES ANNONCES PUBLICITAIRES SOUS FORMAT D’E-MAILS ENTRE LES VÉRITABLES E-MAILS PRÉSENTS DANS LES BOÎTES DE RÉCEPTION DE 7,8 MILLIONS D’UTILISATEURS… A NOTER QUE MICROSOFT CONTINUE DE FAIRE DE MÊME AVEC SON WEBMAIL OUTLOOK CONSULTÉ EN LIGNE
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
DIRECTIVE EPRIVACY ET LOI INFORMATIQUE ET LIBERTÉS
La délibération SAN-2024-019 mobilise simultanément deux corps de règles distincts qui, bien qu’issus du même vecteur européen — la directive 2002/58/CE du 12 juillet 2002, dite directive ePrivacy, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009 —, n’appréhendent pas les mêmes réalités techniques et ne protègent pas exactement les mêmes intérêts. D’une part, l’article L. 34-5 du code des postes et des communications électroniques (CPCE), transposition de l’article 13 de la directive ePrivacy, régit le consentement préalable à toute opération de prospection directe par voie électronique. D’autre part, l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Libertés), transposition de l’article 5, §3, de la même directive, conditionne à l’information et au consentement de l’utilisateur tout accès à des informations stockées dans son terminal ou toute inscription d’informations dans ce terminal. Ces deux dispositions protègent, en réalité, deux dimensions distinctes de la vie privée numérique : la première, la tranquillité des communications de l’utilisateur vis-à-vis des sollicitations commerciales non désirées ; la seconde, l’intégrité du terminal de communication électronique contre tout accès ou inscription non autorisé.
La formation restreinte consacre une partie significative de sa motivation à établir que les deux corps de règles, loin de se contredire ou de se chevaucher, s’articulent de manière cohérente avec la directive ePrivacy et avec la jurisprudence de la Cour de justice de l’Union européenne (CJUE). Cette articulation est d’autant plus nécessaire que la société ORANGE SA a développé, dans ses observations en défense, des arguments tendant à dénier l’applicabilité de l’article L. 34-5 du CPCE aux pratiques qui lui étaient reprochées, en faisant valoir que ce texte national subordonnerait son application à des conditions supplémentaires absentes de son pendant européen. La réfutation de ces arguments constitue ainsi une part essentielle de la motivation de la délibération.
La coexistence de ces deux manquements dans une même délibération — fait notable dans la pratique de la formation restreinte — révèle la systémicité des défaillances imputées à la société : celle-ci s’est affranchie de ses obligations à la fois dans sa relation commerciale (publicité intrusive dans la boîte de réception) et dans sa gestion des préférences de vie privée de ses utilisateurs (persistance de la lecture de cookies après retrait du consentement). Cette double infraction dessine ainsi le profil d’un opérateur de premier rang qui, disposant de moyens considérables, n’a pas mis en œuvre les diligences que sa position lui imposait.
L’OBLIGATION DE CONFORMITÉ DE LA TRANSPOSITION NATIONALE À L’OBJECTIF DE LA DIRECTIVE
La formation restreinte rappelle, en application de l’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE), que les directives européennes lient tout État membre destinataire quant au résultat à atteindre tout en laissant aux instances nationales la compétence quant à la forme et aux moyens. Il en résulte que les mesures nationales de transposition doivent atteindre l’objectif défini par la directive, et que ces dernières définissent des normes minimales, les États membres disposant de la faculté de fixer des règles plus protectrices. Ce principe de conformité de la transposition à son objectif est corroboré par la jurisprudence de la CJUE selon laquelle les termes d’une disposition du droit de l’Union ne comportant aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme, en tenant compte non seulement des termes de la disposition et des objectifs qu’elle poursuit, mais également de son contexte ainsi que de l’ensemble des dispositions du droit de l’Union (CJUE, grande chambre, 26 mars 2019, SM, C-129/18 ; CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17).
Ces principes commandent que l’article L. 34-5 du CPCE soit lu et interprété non seulement en vertu de sa lettre, mais à la lumière de l’article 13 de la directive ePrivacy et de la jurisprudence de la CJUE qui en assure l’interprétation uniforme dans l’ensemble des États membres. Cette exigence d’interprétation conforme constitue le pivot du raisonnement de la formation restreinte pour rejeter l’ensemble des arguments défensifs présentés par ORANGE.
PREMIER MANQUEMENT — LA PROSPECTION COMMERCIALE SANS CONSENTEMENT PAR VOIE ÉLECTRONIQUE (ARTICLE L. 34-5 CPCE)
L’AFFICHAGE DE PUBLICITÉS « INBOX » DANS LA MESSAGERIE MAIL ORANGE
Le service « Mail Orange » propose à ses clients un compte de messagerie électronique accessible depuis un navigateur web ou depuis une application mobile dédiée. Lors des contrôles en ligne réalisés par la délégation les 7 et 12 juin 2023, il a été constaté que, lors de la connexion à leur boîte de messagerie, les utilisateurs de ce service voyaient s’afficher, entre les courriels reçus, des annonces publicitaires dont l’apparence se rapprochait très étroitement de celle de véritables courriels. Ces annonces ne se distinguaient des courriels authentiques que par une couleur de fond légèrement grisée (les courriels reçus apparaissant sur fond blanc), une mention « annonce » apposée à droite à la place de l’heure et du jour de réception, et la présence d’une croix en haut à gauche permettant de supprimer le message à la place de la case à cocher permettant traditionnellement de sélectionner un courriel. Le nom de l’expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et l’objet des messages s’apparentait également à ceux des autres courriels. Un clic sur ces entrées entraînait l’ouverture, dans un nouvel onglet du navigateur, d’une page du site web de l’annonceur. Plusieurs messages de ce type pouvaient être affichés simultanément dans la boîte de réception, au milieu des courriels privés, sans que les utilisateurs y aient à aucun moment consenti.
Afin de déterminer si cet affichage constitue une utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE, lu à la lumière de l’article 13 de la directive ePrivacy tel qu’interprété par la CJUE, la formation restreinte a appliqué le test tripartite défini par la Cour dans son arrêt du 25 novembre 2021 (C-102/20) : 1., si le type de communication utilisé à des fins de prospection directe figure parmi celles visées par ladite disposition ; 2., si une telle communication a pour finalité la prospection directe ; 3., si l’exigence d’obtenir un consentement préalable de la part de l’utilisateur a été respectée.
LE REJET DE LA THÈSE DE LA CONTRADICTION
La société ORANGE a développé, en défense, la thèse selon laquelle il existerait une « contradiction flagrante » entre les dispositions de l’article 13 de la directive ePrivacy, telles qu’interprétées par la CJUE, et celles de l’article L. 34-5 du CPCE. Selon la société, l’application de l’article L. 34-5 du CPCE serait soumise, outre les conditions posées par la directive, à la caractérisation d’un traitement de données à caractère personnel. La société se fondait sur la formulation du premier alinéa de l’article L. 34-5 du CPCE, selon lequel est interdite la prospection directe « utilisant les coordonnées d’une personne physique », et sur son second alinéa, qui définit le consentement comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées fin de prospection directe ». Elle en déduisait que le consentement prévu par le texte national ne porterait pas sur l’affichage d’une publicité, mais sur un traitement de données à caractère personnel, et que dès lors, en l’absence de traitement de l’adresse de courrier électronique des personnes concernées en tant que telle, l’article L. 34-5 du CPCE ne trouverait pas à s’appliquer.
La formation restreinte rejette ce raisonnement en trois temps distincts et complémentaires. En premier lieu, elle rappelle le principe d’interprétation conforme de la transposition nationale à l’objectif de la directive, en application de l’article 288 TFUE et de la jurisprudence CJUE. En deuxième lieu, elle considère que les termes « utilisant les coordonnées d’une personne physique » figurant au premier alinéa de l’article L. 34-5 du CPCE ne sont pas, contrairement à ce que soutient la société, synonymes de « traitant les données à caractère personnel d’une personne physique » et qu’ils n’ajoutent aucune condition supplémentaire par rapport au texte européen. La notion de « coordonnées d’une personne physique disposant d’un terminal de communications électroniques » correspond aux « abonnés » visés par le texte européen. La formation restreinte souligne à cet égard que le terme « coordonnées » figure expressément à l’article 13 de la directive ePrivacy, en son §2, démontrant que ce terme est commun aux deux textes et ne génère aucune divergence d’application.
En troisième lieu, sur la notion de consentement, la formation restreinte rappelle que la définition à laquelle renvoie la directive ePrivacy (article 2, f) comportait, sous l’empire de la directive 95/46/CE à laquelle elle renvoyait, une référence identique au traitement de données à caractère personnel : « toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Si la directive 95/46/CE a depuis été abrogée par le RGPD, la notion de consentement au sens du RGPD (article 4, §11) demeure, elle aussi, définie par référence à un traitement de données. La formation restreinte en conclut que cette référence au traitement de données à caractère personnel figurant dans les définitions du consentement doit s’analyser, non pas comme une condition d’application supplémentaire imposée par le texte national, mais comme une simple volonté du législateur d’uniformiser les concepts utilisés, en renvoyant aux définitions figurant déjà dans d’autres textes. Il n’existe donc aucune contradiction entre les deux corps de règles.
L’APPROCHE FONCTIONNELLE ET TECHNOLOGIQUEMENT NEUTRE DE LA NOTION DE PROSPECTION DIRECTE
La formation restreinte adopte une approche résolument fonctionnelle des notions en jeu, refusant de les circonscrire à leurs seules manifestations techniques classiques au moment de la rédaction des textes. Elle relève que, si lors de la rédaction de l’article L. 34-5 du CPCE la notion de prospection commerciale s’envisageait traditionnellement comme l’envoi d’un message par un expéditeur à un destinataire en utilisant son numéro de téléphone, son numéro de télécopie ou son adresse de courrier électronique en tant que tels, l’évolution de la technologie et le déploiement de nouvelles méthodes de prospection, se distinguant des modèles techniques classiques, « doivent conduire à adopter une approche fonctionnelle des notions en jeu ». Cette approche fonctionnelle est précisément celle retenue par la CJUE dans son arrêt du 25 novembre 2021, qui rappelle que la directive ePrivacy a pour objectif d’assurer « un niveau égal de protection aux utilisateurs indépendamment des technologies utilisées », ce qui confirme qu’il y a lieu de retenir « une conception large et évolutive d’un point de vue technologique du type de communications visées par cette directive » (point 39).
La notion d’« utilisation des coordonnées » de l’article L. 34-5 du CPCE doit ainsi être interprétée comme renvoyant au moyen d’atteindre l’utilisateur — en l’espèce, par le biais de sa messagerie électronique, à laquelle il accède après s’être authentifié — indépendamment du traitement de l’adresse de courrier électronique en tant que telle. L’argument de la société selon lequel les adresses de courrier électronique des personnes concernées ne seraient pas « traitées en tant que telles » — les publicités étant diffusées selon les mêmes modalités techniques que les autres bannières publicitaires — est ainsi directement contré par cette approche fonctionnelle : peu importe, selon la CJUE, que les annonces ne constituent pas, d’un point de vue technique, de véritables courriels transmis d’un utilisateur à un autre, « leur seul affichage dans un espace normalement spécifiquement réservé aux courriels privés suffit à considérer que ces messages sont communiqués au moyen de la boîte aux lettres électronique des personnes concernées ».
PORTÉE ET OPPOSABILITÉ
L’arrêt de la CJUE du 25 novembre 2021 (StWL Städtische Werke Lauf a.d. Pegnitz GmbH c/ eprimo GmbH, C-102/20) constitue le socle jurisprudentiel central de la délibération sur le premier manquement. La Cour y a jugé que l’article 13, §1, de la directive 2002/58 doit être interprété en ce sens que constitue une « utilisation de courrier électronique des fins de prospection directe » l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier — sans que la détermination aléatoire des destinataires desdits messages ni la détermination du degré d’intensité de la charge imposée à cet utilisateur aient d’incidence à cet égard — cette utilisation n’étant autorisée qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause (point 63).
La Cour a précisé que, du point de vue du destinataire, le message publicitaire est affiché dans un espace normalement réservé aux courriels privés et que l’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses courriers exclusivement privés qu’après avoir vérifié le contenu de ce message et l’avoir supprimé activement (point 41). Cette suppression requiert, comme pour les courriers indésirables (spam), une prise de décision de la part de l’abonné (point 42). En outre, en raison de la ressemblance des messages publicitaires avec les courriels authentiques, il existe un risque de confusion pouvant conduire l’utilisateur qui cliquerait sur la ligne correspondante à être redirigé contre sa volonté vers un site Internet présentant la publicité, au lieu de continuer la consultation de ses courriels privés (point 43).
La formation restreinte souligne que cet arrêt avait été rendu près de deux ans avant les opérations de contrôle (juin 2023) et qu’il avait fait l’objet d’un communiqué de presse de la CJUE, l’un des rares arrêts de 2021 en matière de protection des données personnelles et de la vie privée à avoir bénéficié d’une telle publicité, dont l’intitulé était particulièrement explicite : « Inbox advertising : l’affichage dans la boîte de réception électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique constitue une utilisation de courrier électronique des fins de prospection directe au sens de la directive 2002/58 ». Il appartenait dès lors à la société, qui disposait des moyens matériels, humains et techniques pour assurer sa mise en conformité, d’adapter le cas échéant ses pratiques à compter de cette publication.
E. L’APPLICATION DU TEST TRIPARTITE DE LA CJUE AUX FAITS DE L’ESPÈCE
Sur le premier critère — le moyen de communication utilisé : la formation restreinte constate que les caractéristiques des messages publicitaires affichés au sein de la boîte de réception du service « Mail Orange » présentent de très fortes similitudes avec celles des messages examinés par la CJUE dans son arrêt du 25 novembre 2021. Dans les deux cas : publicités insérées entre les courriels privés reçus par l’utilisateur, date remplacée par la mention « annonce », texte de l’annonce apparaissant sur fond gris, présence d’un texte destiné à la promotion d’un produit dans la rubrique « objet », redirection de l’utilisateur qui clique sur le message vers le site de l’annonceur, risque de confusion compte tenu de l’emplacement des messages et de leur ressemblance avec de véritables courriels. La formation restreinte écarte les légères différences avancées par ORANGE — présence du nom de l’expéditeur, croix de suppression à gauche en lieu et place de la case à cocher — en relevant que ces différences ne sont pas de nature à remettre en cause l’analyse, dès lors que l’utilisateur, pour libérer son espace de consultation et obtenir une vue d’ensemble de ses courriels privés, doit néanmoins réaliser une démarche active en cliquant sur la croix, à l’instar du comportement requis face à un spam.
Sur le deuxième critère — la finalité de prospection directe : la formation restreinte constate que les messages affichés dans la boîte de réception du service « Mail Orange » visent la promotion de produits ou services proposés par des annonceurs tiers, poursuivant ainsi un but commercial. Ces messages s’adressent en outre directement et individuellement aux utilisateurs, en ce qu’ils apparaissent dans leur boîte de messagerie électronique à laquelle ils n’obtiennent l’accès qu’après s’être authentifiés à l’aide de leur identifiant et de leur mot de passe.
Sur le troisième critère — l’absence de consentement préalable : la formation restreinte constate que le consentement de l’utilisateur à voir s’afficher des publicités au sein de la boîte de réception de sa messagerie électronique n’était à aucun moment recueilli — ni au moment de la création du compte, ni au moment de la connexion audit compte (par exemple par l’intermédiaire d’une case à cocher ou d’un bouton poussoir) — et que les réglages du compte de messagerie ne permettaient pas de s’opposer à cet affichage. Ce point n’est pas contesté par la société.
F. LA DÉSIGNATION DU FOURNISSEUR DE MESSAGERIE COMME RESPONSABLE DU RECUEIL DU CONSENTEMENT
La société ORANGE a soutenu, en défense, que l’application de l’arrêt CJUE du 25 novembre 2021 à un fournisseur de messagerie électronique tel qu’elle « apparaît tout le moins discutable », en faisant valoir que le litige soumis à la Cour opposait deux annonceurs concurrents et ne visait pas les fournisseurs de messagerie. Elle relevait également que, jusqu’ici, en matière de prospection commerciale, la CNIL avait toujours considéré qu’il revenait à l’annonceur de disposer du consentement, et non aux éventuels intermédiaires ou prestataires intervenant dans l’acheminement ou l’affichage du message. Elle estimait que l’annonceur était le seul acteur en mesure d’identifier la nécessité de recueillir un tel consentement en fonction notamment de la préexistence d’une relation commerciale avec le destinataire.
La formation restreinte rejette ce raisonnement en deux temps complémentaires. 1., elle relève que, dans son arrêt du 25 novembre 2021, la CJUE s’est prononcée de manière générale sur les critères régissant la notion de « courrier électronique » et d’« utilisation de celui-ci des fins de prospection directe », sans faire aucune distinction en fonction des organismes impliqués dans la prospection. Plus significativement, l’arrêt vise expressément le fournisseur de messagerie électronique, en précisant que « la défenderesse et l’intervenante au principal ainsi que le fournisseur de messagerie électronique impliqués utilisent l’existence de la liste des courriers électroniques privés, en tenant compte de l’intérêt et de la confiance particuliers de l’abonné au regard de cette liste, pour placer leur publicité directe en donnant à celle-ci l’aspect d’un véritable courrier électronique » (point 44).
2., la formation restreinte opère une distinction structurelle décisive entre deux configurations techniques fondamentalement différentes. Dans les affaires antérieurement examinées par la formation restreinte relatives à la prospection commerciale, les messages adressés aux personnes concernées étaient de véritables courriels transmis par un utilisateur-annonceur à un autre destinataire, sans que le fournisseur de messagerie n’intervienne si ce n’est pour assurer l’acheminement du message, comme il le ferait pour tout autre message privé. La situation en cause est radicalement différente : dans ce cas de figure, ORANGE ne se contente pas d’assurer l’acheminement d’un message dont elle ne décide pas l’envoi — fonction première de la boîte de messagerie —, mais commercialise auprès des annonceurs des espaces dédiés, qu’elle détermine souverainement et dont elle maîtrise l’affichage au sein de la boîte de courrier électronique des utilisateurs. La société a elle-même fourni des éléments dans le cadre de l’instruction démontrant que c’est par l’intermédiaire de son propre Tag Management System (TMS) que l’affichage de ces publicités était géré. La formation restreinte en conclut que, dans cette configuration, ORANGE est le seul acteur en contact direct avec les destinataires des messages et, partant, le seul en mesure de pouvoir recueillir leur consentement, nonobstant l’éventuelle responsabilité des annonceurs.
G. LE REJET DE L’ARGUMENT TIRÉ DE LA VIOLATION DU PRINCIPE DE LÉGALITÉ DES DÉLITS ET DES PEINES
La société a également soutenu que le prononcé d’une sanction serait contraire au principe de légalité des délits et des peines, en faisant valoir que l’arrêt de la CJUE ne permettait pas de poser un cadre légal clair et que la CNIL n’avait pas accompagné les acteurs du marché dans la mise en œuvre de cette jurisprudence, alors que son référentiel sur la gestion commerciale ne mentionne pas l’arrêt.
La formation restreinte rejette cet argument en rappelant la jurisprudence constitutionnelle (n° 88-248 DC, 17 janvier 1989) et administrative (CE, 9 octobre 1996, Société Prigest, n° 170363 ; CE, Section, 12 octobre 2009, M. P., n° 311641 ; CE, 3 octobre 2018, SFCM, n° 411050) selon laquelle, en matière de sanctions administratives, le principe de légalité des délits et des peines est satisfait dès lors que les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de leur activité et qu’une sanction peut être prononcée s’il est raisonnablement prévisible, par les personnes concernées et en tenant compte de leur qualité, que le comportement litigieux constitue un manquement à ces obligations. En l’espèce, l’obligation de recueillir le consentement pour des opérations de prospection commerciale par voie électronique est clairement exigée par la législation nationale et européenne depuis de nombreuses années, la directive ePrivacy ayant été transposée en droit français par la loi n° 2004-669 du 9 juillet 2004, et cette exigence a été rappelée par la CNIL à maintes reprises. L’arrêt de la CJUE, dont les termes sont particulièrement clairs, avait été rendu près de deux ans avant les opérations de contrôle. Il appartenait à la société, qui dispose des moyens matériels, humains et techniques pour assurer sa mise en conformité, d’adapter le cas échéant ses pratiques.
H. LA MISE EN CONFORMITÉ DU FOURNISSEUR ET SA PORTÉE DÉCLARATIVE
La société a indiqué, dans ses premières observations en réponse au rapport de sanction, avoir décidé d’abandonner le format d’affichage de publicités entre les courriels dès le mois de novembre 2023. Elle a produit un courrier adressé à la CNIL le 22 septembre 2023 faisant part de sa volonté de faire évoluer ses formats de publicité au sein du service « Mail Orange ». Conformément à cet engagement, elle a cessé de recourir à l’affichage d’annonces publicitaires entre les courriels des utilisateurs à compter du 2 novembre 2023 pour la messagerie accessible depuis un navigateur web et, pour les utilisateurs de l’application « Mail Orange », après une mise à jour imposée le 30 novembre 2023. La société a développé un nouveau format d’affichage dit « sticky », consistant en une bannière distincte et fixe figurant au pied de la boîte de réception des utilisateurs, en marge de la liste des courriels et séparément de ceux-ci. La formation restreinte prend acte de ce nouveau format, qui permet désormais de distinguer clairement les annonces des autres courriels reçus et qui ne peut plus être qualifié d’utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE. Elle souligne néanmoins que la mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière parfaitement autonome, et que le manquement demeure caractérisé pour le passé.
SECOND MANQUEMENT — LA LECTURE DE COOKIES APRÈS RETRAIT DU CONSENTEMENT (ARTICLE 82 LOI INFORMATIQUE ET LIBERTÉS)
DES COOKIES PERSISTANTS MALGRÉ LE RETRAIT DU CONSENTEMENT
Les contrôles réalisés par la délégation sur le site web orange.fr ont permis de constater que plusieurs dizaines de cookies, pourtant soumis au consentement de l’utilisateur (notamment des cookies publicitaires et des cookies statistiques), continuaient d’être envoyés à travers des requêtes vers les domaines auxquels ils étaient associés — autrement dit, continuaient d’être lus — après retrait du consentement par l’utilisateur. La société ORANGE n’a pas contesté ce fait dans ses observations en défense. Elle a en revanche soutenu qu’aucun texte ni aucune jurisprudence ne précisait clairement les modalités de prise en compte du retrait du consentement ni n’imposait d’obligation explicite de cesser toute opération de lecture, et que, dans la mesure où ces cookies ne faisaient selon elle l’objet d’aucune exploitation après le retrait du consentement, aucun préjudice n’était caractérisé pour l’utilisateur. Elle a en outre invoqué les contraintes techniques liées à la prise en compte du retrait du consentement, en particulier s’agissant des domaines tiers, ses partenaires proposant peu de solutions permettant d’assurer la bonne gestion de ce retrait, et a affirmé qu’il s’agissait d’une pratique de marché généralisée.
LA DISTINCTION OPÉRATIONS DE DÉPÔT / OPÉRATIONS DE LECTURE
L’article 82 de la loi Informatique et Libertés prévoit que toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal d’un utilisateur, ou à y inscrire des informations, est soumise à l’information préalable de l’utilisateur et à son consentement, sous réserve des deux exemptions légales. La formation restreinte opère sur ce texte une clarification dogmatique essentielle : le terme « accès » renvoie à une opération de lecture des informations déjà stockées — c’est-à-dire des cookies déjà déposés et leurs valeurs —, laquelle diffère de l’autre opération visée consistant à « inscrire » des informations (déposer des cookies). La formation restreinte relève à cet égard que l’intitulé même des lignes directrices adoptées par la CNIL le 17 septembre 2020 (délibération n° 2020-091) fait expressément référence aux « opérations de lecture et écriture dans le terminal d’un utilisateur », confirmant ainsi que les deux types d’opérations sont bien distincts et soumis à des régimes identiques sur le plan du consentement.
La formation restreinte rappelle, en s’appuyant sur sa décision SAN-2023-024 du 29 décembre 2023, que l’article 82 conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur et offre, de manière corrlative nécessaire, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal. Il résulte de ce droit au retrait que l’opération de lecture des cookies précédemment déposés doit également cesser une fois le consentement retiré : le droit de retirer son consentement perdrait toute effectivité s’il n’impliquait pas l’obligation corrélative pour le responsable de traitement de cesser d’accéder aux informations stockées grâce à ce consentement désormais révoqué.
La formation restreinte souligne que ces opérations de lecture sont, en tant que telles, expressément prohibées par l’article 82, en l’absence de consentement de la personne concernée. Elle relève que, par ces opérations de lecture, les valeurs des cookies ne restent pas bornées au terminal de l’utilisateur mais sont transportées jusqu’aux serveurs du système d’information de la société ORANGE et de ses partenaires qui exploitent les domaines tiers. La maîtrise de ces valeurs échappe alors d’une part à l’internaute, qui a pourtant retiré son consentement, et d’autre part à la société ORANGE elle-même, qui ne peut garantir, s’agissant des domaines tiers, les opérations réalisées par ses partenaires à partir des informations lues sur le terminal du visiteur.
LE REJET DE L’ARGUMENT TIRÉ DE L’ABSENCE D’EXPLOITATION ET DE PRÉJUDICE
L’argument de la société — selon lequel les cookies en cause n’auraient fait l’objet d’aucune exploitation après le retrait du consentement, de sorte qu’aucun préjudice ne serait caractérisé — est rejeté par la formation restreinte à double titre. Sur le plan juridique d’abord, la formation restreinte rappelle, en s’appuyant notamment sur l’arrêt Planet49 GmbH de la CJUE (grande chambre, 1er octobre 2019, C-673/17), que les règles régissant l’utilisation des cookies permettent de protéger la vie privée des utilisateurs en garantissant notamment l’intégrité de leur terminal, les informations stockées ou consultées dans ce cadre ne constituant pas nécessairement des données à caractère personnel. Elle opère à cet égard une distinction fondamentale entre, d’une part, les opérations consistant à déposer et lire un cookie sur le terminal (soumises à l’article 82 de la loi Informatique et Libertés) et, d’autre part, l’utilisation ultérieure des données générées par ces cookies — désignée sous l’expression « traitements subsquents » — soumise aux dispositions du RGPD. Il en résulte que le fait que la société exploite ou n’exploite pas les informations collectées par les cookies est sans incidence sur la caractérisation du manquement à l’article 82.
Sur le plan factuel ensuite, la formation restreinte relève que l’affirmation de la société selon laquelle les cookies en cause n’ont fait l’objet d’aucune exploitation « n’est pas démontrée matériellement » : les cookies lus sont toujours théoriquement exploitables, dans la mesure où des requêtes à destination des domaines d’ORANGE et de ses partenaires sont effectivement envoyées et contiennent bien des cookies. Il ne sera donc tenu compte, ni dans la caractérisation du manquement ni dans l’appréciation de la sanction, du sort réservé aux informations collectées à partir des cookies restant lus.
LES SOLUTIONS TECHNIQUES ATTENDUES ET L’INOPÉRANCE DE L’ARGUMENT DE COMPLEXITÉ TECHNIQUE
S’agissant des modalités techniques permettant d’assurer l’effectivité du retrait du consentement, la formation restreinte relève que la CNIL a pris soin de préciser, dans sa recommandation du 17 septembre 2020, que des solutions spécifiques peuvent être nécessaires pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés. Ces solutions peuvent notamment consister à modifier la durée de vie des cookies pour indiquer qu’ils sont expirés (en renvoyant dans une réponse HTTP un en-tête set-cookie approprié spécifiant une date d’expiration dans le passé, ce qui entraînera leur suppression par le navigateur), ou, s’agissant des cookies ne disposant pas de l’attribut httpOnly, à assurer leur suppression à l’aide d’un script exécuté localement sur le terminal via l’utilisation des API cookies des navigateurs web.
La formation restreinte réfute l’argument de complexité technique invoqué par ORANGE en distinguant deux situations. Pour les cookies liés au domaine .orange.fr (cookies first), la société maîtrise l’ensemble des opérations réalisées et a d’ailleurs elle-même précisé avoir pour projet de faire évoluer son script « cookie monster » afin que les cookies soumis au consentement ne soient plus lus après retrait de celui-ci. Dans la mesure où une grande partie des cookies restant lus sont liés au domaine .orange.fr ou à ses sous-domaines, la société ne peut se retrancher derrière la complexité technique résultant de l’absence de solution proposée par ses partenaires pour justifier le manquement relevé.
E. LA RESPONSABILITÉ DE L’ÉDITEUR DE SITE POUR LES COOKIES TIERS
Pour les cookies déposés par des tiers, la formation restreinte mobilise la jurisprudence du Conseil d’État (CE, 10ème et 9ème CR, 6 juin 2018, Éditions Croque Futur, n° 412589, Rec.) selon laquelle les éditeurs de site qui autorisent le dépôt et l’utilisation de cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a mis le cookie, notamment lorsque ce dernier conserve seul la maîtrise du respect de la finalité ou de la durée de conservation. Parmi les obligations qui pèsent sur l’éditeur dans une telle hypothèse figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la réglementation applicable en France, et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin aux manquements constatés. Même si la société ORANGE n’avait pas la possibilité d’assurer elle-même la suppression des cookies tiers, il lui appartenait d’effectuer les vérifications nécessaires et de prendre les mesures adéquates auprès de ses partenaires pour faire cesser le manquement. La formation restreinte prend acte de l’engagement de la société de mettre en œuvre de telles mesures pour l’avenir.
F. LA PRÉCISION COMPLÉMENTAIRE SUR LES COOKIES À FINALITÉS MIXTES
En marge de la caractérisation du manquement, la formation restreinte apporte une précision doctrinale importante à l’intention des acteurs du marché et des partenaires d’ORANGE qui avaient évoqué, dans le cadre des observations, des « domaines mixtes » portant sur des cookies consentis et non consentis et des partenaires qui réaliseraient des opérations de publicité « ne nécessitant pas le consentement ». La formation restreinte rappelle fermement que tous les cookies poursuivant une finalité publicitaire sont soumis au consentement de la personne concernée, seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ou étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, étant exemptés. Un cookie qui poursuivrait deux finalités distinctes, dont l’une seulement entrerait dans le périmètre des exemptions, ne pourrait bénéficier des dispositions d’exemption. Dans un tel cas de figure, il appartiendrait au responsable soit de recueillir le consentement préalable pour ce cookie, soit de mettre en œuvre deux cookies différents — l’un exempt du recueil du consentement, l’autre soumis à celui-ci.
LES ÉLÉMENTS CONSTITUTIFS DE LA FAUTE ET LES FACTEURS DE MODULATION
A. LA GRAVITÉ DES DEUX MANQUEMENTS
Sur le premier manquement, la formation restreinte souligne le caractère particulièrement intrusif de la pratique en cause. Elle relève que plusieurs messages publicitaires pouvaient être affichés simultanément dans la boîte de réception des utilisateurs, au milieu de leurs courriels privés, sans qu’ils y aient consenti. Elle qualifie expressément cette pratique d’« intrusion », renvoyant à la définition du Larousse : « le fait de s’introduire de façon inopportune dans un groupe, au milieu, sans y être invité ». Elle souligne en outre que ce manquement concerne un nombre particulièrement important de personnes : si les 25,7 millions de comptes de messagerie attribués à des particuliers enregistrés dans les systèmes de la société ne sont pas tous utilisés, la société elle-même indique que 7,89 millions de comptes étaient concernés, chiffre que la formation restreinte qualifie de « très élevé ».
Sur le second manquement, la formation restreinte relève que, en continuant à lire des cookies sur le terminal de l’utilisateur — permettant le traçage de sa navigation —, alors même que celui-ci a retiré son consentement, la société va à l’encontre du choix exprimé par ledit utilisateur, lequel pense légitimement que ce choix a été pris en compte. Toute personne visitant le site web orange.fr (les données publiquement disponibles faisant état de près de 23,5 millions de visiteurs uniques par mois) doit pouvoir non seulement accepter ou refuser le dépôt et la lecture de cookies sur son terminal, mais également retirer le consentement précédemment donné et voir cette décision pleinement respectée. Si le nombre d’utilisateurs retirant leur consentement s’élève selon la société à quelques centaines par jour (environ 700), la formation restreinte relève que ce chiffre correspond à plus de 250 000 personnes par an, et que c’est bien la pratique généralisée mise en œuvre par la société — ne permettant pas d’assurer l’effectivité du retrait du consentement — qui est ici en cause, et non un manquement ponctuel.
B. LE CARACTÈRE FORTEMENT NÉGLIGENT
La formation restreinte souligne que les règles relatives à la prospection commerciale par voie électronique, tout comme celles applicables aux cookies et autres traceurs, sont définies depuis de nombreuses années et que l’arrêt de la CJUE, dont les termes sont particulièrement clairs, a été rendu près de deux ans avant les opérations de contrôle. La société aurait dû, compte tenu de sa position sur le marché et des moyens dont elle dispose, se montrer particulièrement vigilante. « Ainsi, en s’affranchissant du respect de ces règles, la formation restreinte considère que la société s’est montrée, tout le moins, fortement négligente. »
LA MISE EN CONFORMITÉ COMME CIRCONSTANCE ATTÉNUANTE PARTIELLE
La formation restreinte prend en compte, en application de l’article 83, §2, c du RGPD, le fait que la société a pris des mesures pour mettre en conformité ses pratiques avec les dispositions de l’article L. 34-5 du CPCE, en cessant de procéder à l’affichage de messages publicitaires entre les courriels dès novembre 2023, sans attendre l’ouverture de la procédure de sanction. Elle nuance toutefois ce facteur en relevant que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière parfaitement autonome.
L’AVANTAGE FINANCIER TIRÉ DES MANQUEMENTS COMME CIRCONSTANCE AGGRAVANTE
La formation restreinte tient compte, en application de l’article 83, §2, k du RGPD, du fait que la société a tiré des violations commises un avantage financier certain. S’agissant du manquement à l’article L. 34-5 du CPCE, si la publicité n’est pas au cœur des activités de la société et que les revenus qu’elle génère ne constituent qu’une petite partie de son chiffre d’affaires, ORANGE poursuit néanmoins des activités de régie publicitaire sous l’appellation « Orange Advertising », consistant à monnayer certains espaces de son site web auprès d’annonceurs. La société se prévaut, sur le site orangeadvertising.fr, de 6,5 millions de vues par jour sur la page d’accueil du site, le service « Mail Orange » et la page « Orange Actu ». La société a elle-même précisé que le fait de n’avoir pu afficher aucune publicité dans la boîte de réception des utilisateurs entre le 2 novembre 2023 (date à laquelle elle a cessé l’affichage de publicités entre les courriels) et le 30 janvier 2024 (date de mise en place de son nouveau format de publicité) avait entraîné une perte de chiffre d’affaires évaluée à un million d’euros. L’avantage financier tiré de la violation commise doit dès lors être pris en compte, à titre de circonstance aggravante.
E. LA POSITION DOMINANTE COMME FACTEUR D’EXIGENCE RENFORCÉE
La formation restreinte souligne, de manière plus générale, que compte tenu de la position de la société sur le marché — celle-ci occupant la première place dans le domaine des télécommunications en France, mobilisant près de 40 % de part de marché concernant l’offre Internet et 34 % concernant l’offre mobile —, ainsi que des moyens humains, techniques et financiers dont elle dispose, la société ORANGE se doit de faire preuve d’une particulière rigueur en matière de protection des données à caractère personnel. Cette position dominante génère non seulement une responsabilité normative renforcée mais confère également à ses défaillances une résonance systémique susceptible d’affecter des millions d’utilisateurs.
LES APPORTS JURIDIQUES SPÉCIFIQUES DE LA DÉLIBÉRATION
A. LA QUALIFICATION FONCTIONNELLE DE LA BOÎTE DE RÉCEPTION COMME VECTEUR DE PROSPECTION DIRECTE
La délibération SAN-2024-019 consolide et enrichit, pour le droit français, la qualification jurisprudentielle de la CJUE en matière d’inbox advertising. Elle précise que la distinction opérationnelle à retenir n’est pas fondée sur la nature technique du message (courriel transmis d’un utilisateur à un autre versus publicité affichée dans un espace publicitaire), mais sur son mode de présentation et son emplacement : les annonces publicitaires insérées dans la liste des courriels reçus et présentées de manière à s’apparenter à de vrais courriels relèvent de l’article L. 34-5 du CPCE, tandis que les bannières publicitaires apparaissant en marge de la liste des messages privés ou séparément de ceux-ci n’y sont pas soumises.
Cette ligne de démarcation — confirmée par la référence explicite de la délibération à ce critère topographique — offre aux opérateurs un critère d’applicabilité relativement clair : le caractère intrusif de la publicité, entendu comme sa capacité à s’insérer dans l’espace normalement réservé aux communications privées de l’utilisateur, est le critère déterminant de l’application de l’article L. 34-5 du CPCE. La mise en conformité d’ORANGE via le format « sticky » — bannière distincte et fixe au pied de la boîte de réception, séparée de la liste des courriels — illustre concrètement cette frontière normative.
B. LE FOURNISSEUR DE MESSAGERIE ACTEUR À PART ENTIÈRE DE LA PROSPECTION DIRECTE
La désignation d’ORANGE comme responsable du recueil du consentement, et non simplement des annonceurs, constitue un revirement significatif par rapport à la doctrine antérieure de la CNIL. Ce revirement est rigoureusement argumenté sur la base d’une différence structurelle entre les deux modèles de prospection : l’acheminement passif d’un courriel (absence de décision sur le contenu, absence de relation directe avec les destinataires au-delà de la fourniture du service de messagerie) versus la commercialisation active d’espaces publicitaires au sein de la boîte de réception (décision souveraine sur l’emplacement, maîtrise technique de l’affichage via le TMS, relation directe avec les destinataires via l’interface de messagerie).
Ce raisonnement a par la suite été confirmé et étendu aux opérateurs de messagerie dans le cadre de la délibération relative à Google, dans laquelle la formation restreinte a retenu, à l’encontre de GOOGLE, un manquement à l’article L. 34-5 du CPCE pour l’affichage, sans consentement préalable, d’annonces publicitaires prenant la forme de courriels au sein de Gmail dans les onglets « Promotions » et « Réseaux sociaux ».
L’OBLIGATION DE CESSATION DE LA LECTURE DES COOKIES POST-RETRAIT COMME OBLIGATION AUTONOME
La délibération apporte une précision dogmatique d’importance sur l’étendue de l’obligation découlant de l’article 82 de la loi Informatique et Libertés en cas de retrait du consentement. Elle clarifie que ce droit implique une double obligation pour le responsable de traitement : d’une part, cesser de déposer de nouveaux cookies soumis au consentement ; d’autre part, et de manière également impérative, cesser d’accéder (lire) aux cookies précédemment déposés. Cette seconde obligation est autonome vis-à-vis de la première et indépendante de toute exploitation ultérieure des données lues. Le manquement est constitué par la seule opération d’accès au terminal non autorisée, quand bien même les données lues ne feraient l’objet d’aucun traitement ultérieur.
Cette qualification rejoint et précise la jurisprudence antérieure de la formation restreinte (SAN-2023-024 du 29 décembre 2023) et s’inscrit dans la continuité de la recommandation CNIL du 17 septembre 2020, qui avait expressément envisagé la nécessité de solutions techniques spécifiques pour garantir l’absence de lecture des traceurs précédemment utilisés. La formation restreinte consolide ainsi un principe désormais établi : la conformité à l’article 82 en matière de retrait du consentement ne se réduit pas à la mise en place d’une interface permettant ce retrait, mais exige l’effectivité technique de ce retrait, c’est-à-dire la cessation réelle et vérifiable de toute opération d’accès au terminal.
POINTS ESSENTIELS
La délibération SAN-2024-019 du 14 novembre 2024, par laquelle la formation restreinte de la CNIL a prononcé à l’encontre de la société ORANGE SA une amende de 50 millions d’euros assortie d’une injonction sous astreinte de 100 000 euros par jour de retard, constitue une décision fondatrice dans le droit de la prospection commerciale électronique et de la gestion des traceurs.
S’appuyant sur l’arrêt StWL de la CJUE du 25 novembre 2021 (C-102/20), la formation restreinte a qualifié de prospection directe soumise à l’obligation de consentement préalable de l’article L. 34-5 du CPCE les annonces publicitaires qu’ORANGE insérait au sein même de la boîte de réception de son service « Mail Orange », entre les courriels de ses utilisateurs, en retenant le critère de la maîtrise technique et commerciale du dispositif par le fournisseur de messagerie — critère qui distingue radicalement ce format de la prospection classique envoyée par un annonceur via l’adresse courriel d’un prospect —, et ce alors même qu’ORANGE avait introduit des modifications visuelles sur ses annonces depuis avril 2023, jugées insuffisantes à exclure la confusion avec un véritable courriel ; au titre d’un second manquement autonome à l’article 82 de la loi Informatique et Libertés, la formation restreinte a établi, comme règle formelle ne souffrant aucune exception, que la lecture de cookies s’opérant postérieurement au retrait du consentement par l’utilisateur — fût-ce sans exploitation effective des données ainsi lues — constitue en soi une violation, y compris lorsqu’elle porte sur des cookies déposés par des partenaires tiers auxquels le responsable de traitement a ouvert son espace numérique ; la détermination du montant de l’amende tient compte de l’atteinte portée à plus de 7,8 millions de personnes, de la position d’ORANGE comme premier opérateur de télécommunications en France, de l’avantage financier retiré de la commercialisation des espaces publicitaires litigieux, et de la cessation volontaire du premier manquement en novembre 2023 à titre atténuant ;
L’injonction, exécutée dans le délai de trois mois imparti ainsi que l’a constaté la délibération SAN-2025-007 du 11 septembre 2025 clôturant la procédure sans astreinte liquidée, a permis à ORANGE de se mettre effectivement en conformité, mais l’affaire a ouvert la voie à la sanction infligée à GOOGLE le 1er septembre 2025 (SAN-2025-004, 325 millions d’euros) pour des pratiques similaires, confirmant qu’ORANGE constitue le précédent jurisprudentiel fondateur d’une ligne doctrinale désormais pleinement assumée par la formation restreinte, qui soumet à l’obligation d’opt-in l’ensemble des formats publicitaires insérés dans les espaces de messagerie privée par leurs fournisseurs, quelle que soit la sophistication technique du dispositif ou la discrétion des mentions d’identification.
25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats