CNIL | SAN-2024-019 | 14 NOVEMBRE 2024 | AFFAIRE ORANGE SA |
ORANGE SA SANCTIONNÉE POUR AVOIR INSÉRÉ DES ANNONCES PUBLICITAIRES SOUS FORMAT D’E-MAILS ENTRE LES VÉRITABLES E-MAILS
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
I.
Les deux manquements retenus et leur socle normatif
La délibération SAN-2024-019 du 14 novembre 2024 a retenu à l’encontre de la société ORANGE SA deux manquements distincts, tous deux en lien avec l’exploitation du terminal numérique des utilisateurs sans leur consentement valide. Le premier manquement, fondé sur l’article L. 34-5 du code des postes et des communications électroniques (CPCE), tient à l’affichage, dans la boîte de réception des utilisateurs du service Mail Orange, de messages publicitaires se présentant comme de véritables courriels, sans recueil préalable du consentement. Le second, fondé sur l’article 82 de la loi Informatique et Libertés — transposition de l’article 5, paragraphe 3, de la directive 2002/58/CE (directive ePrivacy) — tient à la persistance de la lecture de cookies sur le terminal des utilisateurs après le retrait de leur consentement.
Ces deux manquements, bien que distincts par leur objet et leur base légale, partagent une logique commune : dans les deux cas, ORANGE a poursuivi des opérations attentatoires à la vie privée des utilisateurs dans leur espace numérique personnel — l’un dans la boîte de réception de leur messagerie, l’autre dans leur équipement terminal — sans disposer du consentement exigé par les textes, ou en méconnaissant les effets du retrait de ce consentement.
II.
Le premier manquement : publicités insérées entre les courriels sans consentement
Le service Mail Orange permettait à la société d’afficher, au sein même de la boîte de réception de ses utilisateurs, des annonces publicitaires insérées entre les courriels privés reçus. Ces annonces se distinguaient des vrais courriels uniquement par une couleur de fond légèrement grisée, la mention « annonce » à la place de l’heure de réception, et une croix permettant de les fermer. Le nom de l’expéditeur, l’objet du message, et la présentation générale reproduisaient fidèlement celle des courriels authentiques, créant un risque réel de confusion pour l’utilisateur. Un clic sur ces entrées le redirigeait vers le site web de l’annonceur.
La formation restreinte a qualifié ces annonces d’utilisation du courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE, en s’appuyant sur la grille d’analyse tirée de l’arrêt CJUE du 25 novembre 2021 (StWL, C-102/20, dit « Inbox advertising »). Trois critères cumulatifs ont été vérifiés : le moyen de communication utilisé entre bien dans le champ de la disposition visée (la boîte de réception constitue le moyen de communication), la communication a pour finalité la prospection directe (but commercial adressé individuellement à l’utilisateur authentifié), et l’exigence de consentement préalable n’a pas été respectée (aucun mécanisme de recueil du consentement n’était prévu à la création du compte ou à la connexion).
ORANGE a développé plusieurs arguments en défense. Elle a d’abord soutenu l’existence d’une contradiction flagrante entre l’article 13 de la directive ePrivacy et l’article L. 34-5 du CPCE, ce dernier subordonnant selon elle son application à la caractérisation d’un traitement de données à caractère personnel — condition absente du texte européen. La formation restreinte a rejeté cet argument : les termes « utilisant les coordonnées » du texte national ne sont pas synonymes de « traitant les données à caractère personnel » et n’ajoutent aucune condition supplémentaire. La notion d’« utilisation des coordonnées » doit être interprétée fonctionnellement comme le moyen d’atteindre l’utilisateur par le biais de sa messagerie électronique, indépendamment de tout traitement de l’adresse en tant que telle.
ORANGE a également contesté sa responsabilité en tant que fournisseur de messagerie, faisant valoir que la charge du consentement devait incomber aux seuls annonceurs. La formation restreinte a là encore rejeté ce moyen, en opérant une distinction décisive : à la différence des annonceurs qui envoient de vrais courriels dont le fournisseur ne fait qu’assurer l’acheminement, ORANGE commercialise elle-même des espaces dédiés, détermine souverainement leur emplacement au sein de la boîte de réception et en maîtrise l’affichage par son propre Tag Management System (TMS). Dans cette configuration, ORANGE est le seul acteur en contact direct avec les utilisateurs et le seul en mesure de recueillir leur consentement.
La société a invoqué enfin une violation du principe de légalité des délits et des peines, arguant de l’imprévisibilité du cadre juridique. La formation restreinte a écarté ce moyen : l’arrêt CJUE du 25 novembre 2021 était d’une clarté exceptionnelle, avait fait l’objet d’un communiqué de presse explicite, et avait été publié près de deux ans avant les contrôles. Il était raisonnablement prévisible pour une société de la taille d’ORANGE, disposant de toutes les ressources nécessaires, d’en tirer les conséquences.
ORANGE a mis fin à la pratique à compter de novembre 2023, en déployant un format d’affichage « sticky » — une bannière fixe en pied de boîte de réception, clairement séparée des courriels —, que la formation restreinte a jugé conforme. Le manquement reste caractérisé pour le passé.
III.
Le second manquement : lecture de cookies après retrait du consentement
Les contrôles réalisés sur le site orange.fr ont établi que, lorsque des utilisateurs retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, plusieurs dizaines de cookies soumis à ce consentement — notamment des cookies publicitaires et statistiques — continuaient à être lus, leurs valeurs étant transmises aux serveurs d’ORANGE et de ses partenaires.
La formation restreinte a rappelé que l’article 82 de la loi Informatique et Libertés prohibe expressément non seulement le dépôt de cookies sans consentement, mais aussi toute opération d’accès aux informations stockées dans le terminal sans consentement valide. Le terme « accès » renvoie à une opération de lecture des cookies déjà déposés — distincte de l’opération d’écriture — et cette opération de lecture est en elle-même interdite en l’absence de consentement, indépendamment de toute exploitation ultérieure des données ainsi collectées. La formation restreinte a précisé que le droit au retrait du consentement est la contrepartie nécessaire et corrélative du droit de donner son consentement.
ORANGE a soutenu qu’aucun texte ni aucune jurisprudence ne précisaient les modalités de prise en compte du retrait du consentement et que, les cookies ne faisant l’objet d’aucune exploitation après ce retrait, aucun préjudice n’était caractérisé. La formation restreinte a écarté ces arguments : la CNIL avait dès 2013 clairement interprété l’article 82 comme impliquant l’effectivité du retrait du consentement, et sa recommandation du 17 septembre 2020 avait précisé les solutions techniques concrètes permettant de garantir cette effectivité. L’argument de l’absence d’exploitation n’a pas été retenu, cette affirmation n’étant pas démontrée matériellement, les requêtes vers les serveurs tiers étant bien envoyées avec des cookies.
Sur la responsabilité au titre des cookies tiers, la formation restreinte a rappelé la jurisprudence du Conseil d’État (CE, 6 juin 2018, n° 412589) selon laquelle l’éditeur de site qui autorise des cookies tiers est co-responsable de traitement et doit s’assurer auprès de ses partenaires de la mise en conformité de leurs pratiques. Si ORANGE ne maîtrisait pas techniquement la suppression des cookies tiers, il lui appartenait d’accomplir toutes les démarches utiles auprès de ses partenaires — ce qu’elle s’est engagée à faire.
POINTS ESSENTIELS
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats