CNIL | SAN-2024-019 | 14 novembre 2024 | Affaire ORANGE SA | SAN-2024-019-ESSENTIELS

1. La boîte de réception comme espace de prospection directe soumise à consentement

L’apport cardinal de la délibération SAN-2024-019 est d’avoir consacré, en droit positif français, le principe selon lequel l’affichage de messages publicitaires insérés entre les courriels au sein même de la boîte de réception d’un service de messagerie électronique constitue une opération de prospection directe par courrier électronique, soumise à l’obligation de consentement préalable posée par l’article L. 34-5 du CPCE. La formation restreinte a validé une interprétation fonctionnelle de la notion de « courrier électronique » et de l’« utilisation des coordonnées », en s’appuyant sur l’arrêt CJUE du 25 novembre 2021 (StWL, C-102/20, « Inbox advertising »), pour dire que peu importe que les annonces ne soient pas techniquement envoyées d’un utilisateur à un autre, leur seul affichage dans un espace normalement réservé aux courriels privés suffit à les soumettre au régime juridique de la prospection électronique. La boîte de réception est un espace de confiance dont l’exploitation publicitaire, sans accord de l’abonné, porte atteinte à sa vie privée de la même manière qu’un spam.

2. La responsabilité directe du fournisseur de messagerie, distincte de celle des annonceurs

La délibération établit avec clarté que la responsabilité au titre de l’article L. 34-5 du CPCE, lorsque des publicités sont insérées entre les courriels, incombe en premier chef au fournisseur de messagerie et non aux seuls annonceurs. Cette attribution de responsabilité repose sur un critère de maîtrise : ORANGE ne se contente pas d’acheminer des messages qu’un tiers a décidé d’envoyer — comme elle le fait pour les courriels privés —, elle commercialise elle-même des emplacements dédiés, détermine souverainement leur positionnement au sein de la boîte de réception des utilisateurs et en gère l’affichage via son propre Tag Management System. Le fournisseur de messagerie est le seul acteur en contact direct avec les utilisateurs concernés, et donc le seul capable de recueillir techniquement et contractuellement leur consentement préalable. Cette responsabilité est autonome et cumulative avec celle des annonceurs, qui peuvent également être tenus responsables à leur niveau.

3. L’articulation cohérente entre l’article L. 34-5 du CPCE et la directive ePrivacy

La délibération tranche une controverse doctrinale importante en affirmant l’absence de toute contradiction entre l’article L. 34-5 du CPCE et l’article 13 de la directive ePrivacy tels qu’interprétés par la CJUE. La société ORANGE soutenait que le texte national, à la différence du texte européen, exigerait la caractérisation d’un traitement de données à caractère personnel pour s’appliquer, au motif que la notion de « consentement » y est définie par référence à l’utilisation de données personnelles. La formation restreinte a rejeté cette lecture en distinguant la condition d’application du texte et la définition des concepts utilisés : la référence aux données à caractère personnel dans la définition du consentement s’analyse non pas comme une condition d’application supplémentaire, mais comme une technique de renvoi normatif destinée à uniformiser les concepts entre instruments juridiques. L’obligation de consentement s’applique dès lors que la boîte électronique de l’abonné est utilisée pour lui adresser un message de prospection, indépendamment de tout traitement de son adresse électronique en tant que telle.

4. Le droit au retrait effectif du consentement en matière de cookies comme obligation juridique autonome

La délibération précise avec force que l’article 82 de la loi Informatique et Libertés ne se limite pas à conditionner le dépôt initial de cookies au consentement de l’utilisateur : il interdit également, de manière autonome et sans condition d’exploitation ultérieure des données, toute opération de lecture des cookies soumis au consentement lorsque ce consentement a été retiré. Le terme « accès » figurant à l’article 82 vise expressément les opérations de lecture des informations déjà stockées dans le terminal, distinctement des opérations d’écriture (dépôt de cookies). Il en résulte que le seul fait de lire un cookie sans disposer d’un consentement valide — que celui-ci n’ait jamais été donné ou qu’il ait été retiré — constitue en lui-même une violation, indépendamment du point de savoir si les données ainsi collectées ont ensuite fait l’objet d’une exploitation commerciale. L’argument d’ORANGE selon lequel l’absence d’exploitation des données exclut tout manquement a été expressément et catégoriquement écarté.

5. La prévisibilité du cadre juridique et le rejet du moyen tiré du principe de légalité des délits et des peines

La formation restreinte a rejeté l’argument, pourtant défendu avec insistance par ORANGE, selon lequel le prononcé d’une sanction méconnaîtrait le principe de légalité des délits et des peines en raison de l’imprévisibilité du cadre juridique applicable aux publicités insérées entre les courriels. L’obligation de consentement préalable en matière de prospection électronique est clairement établie par la législation nationale et européenne depuis l’adoption de la directive ePrivacy en 2002 et sa transposition en droit français par la loi du 9 juillet 2004. L’arrêt CJUE du 25 novembre 2021, d’une clarté remarquable et ayant fait l’objet d’un communiqué de presse explicite, avait été publié près de deux ans avant les contrôles, laissant à la société — dotée de toutes les ressources humaines, techniques et juridiques nécessaires — le temps et les moyens d’adapter ses pratiques. La formation restreinte a confirmé que la jurisprudence constitutionnelle (n° 88-248 DC, 17 janvier 1989) et la jurisprudence administrative (CE, SFCM, 3 octobre 2018, n° 411050) permettent de prononcer une sanction administrative dès lors que le comportement litigieux était raisonnablement prévisible comme constituant un manquement, eu égard aux responsabilités de l’opérateur en cause.

POINTS ESSENTIELS