Le 29 décembre 2023, la CNIL a infligé une amende de 10 millions d’euros à l’entité irlandaise du groupe Yahoo. Une sanction particulièrement intéressante qui mêle le nouveau et l’ancien.
A la suite de 27 plaintes reçues sur la période de 2019 à 2020, la CNIL a opéré un premier contrôle en ligne du site « yahoo.com » et du service de messagerie « yahoo mail », le 7 octobre 2020. Une second contrôle a eu lieu le 10 juin 2021. La procédure durera plus de 3 ans, en raison de l’étalement de la phase d’enquête.
Les manquements seront examinés en premier (I). Nous nous intéresserons ensuite aux raisons qui ont permis à la CNIL de sanctionner une filiale irlandaise du groupe, à travers la filiale française (II).
I. Les manquements sanctionnés
Le premier manquement, des plus classiques, consiste à ne pas demander le consentement préalable au dépôt de cookies publicitaires (A). Le débat devant l’autorité met exergue la lenteur de l’industrie à admettre cette règle. Les éditeurs de site internet retiendront également un exemple de l’importance de pratiquer régulièrement l’audit de ses cookies et partenaires.
Le second manquement s’avère inédit. La société offre un service de messagerie électronique « gratuit », tout en déposant des cookies publicitaires sur le terminal de l’utilisateur, d’où elle tire des revenus publicitaires. Il lui est reproché de suspendre les comptes des utilisateurs souhaitant revenir sur leur consentement aux cookies (B). La décision aborde donc la question du cookie wall sous un nouvel angle : le droit au retrait du consentement. Elle intervient par ailleurs après un arrêt phare de la Cour de justice de l’Union européenne sur les cookie walls, pour la première fois appliqué par la CNIL.
A. L’absence de recueil du consentement au dépôt de cookies publicitaires
Lorsque l’utilisateur se connectait au site yahoo.com, une fenêtre s’affichait, lui proposant d’accepter des cookies publicitaires ou de paramétrer ses choix pour les refuser.
Le dispositif semblait conforme aux différentes exigences de la règlementation, car les agents de la CNIL n’ont pas retenu de manquement à ce propos. Toutefois, ils ont constaté que, en cas de refus des cookies, plus d’une vingtaine de cookies publicitaires étaient tout de même déposés.
Or, l’article 82 de la loi « Informatique et Libertés » impose le recueil du consentement préalable au dépôt de tout cookie. Le texte admet deux exceptions :
La première pour les cookies nécessaires afin de fournir un service expressément demandé par l’utilisateur et
La seconde pour les cookies permettant ou facilitant la communication par voie électronique.
Les cookies publicitaires déposés par Yahoo, n’appartenaient à aucune de ces deux catégories.
La société fit valoir en défense que ces cookies avaient été déposé par des sociétés tierces. Ces « partenaires » sont autorisé par les sites internets, en échange de différentes contreparties, à déposer leurs cookies d’où sont issu les revenus publicitaires.
La CNIL rappelle que l’éditeur d’un site internet, en tant que point de contact avec l’internaute, a le devoir de « s'assurer auprès de ses partenaires (…) qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation ». Il doit effectuer « toute démarche utile en ce sens », à défaut de quoi sa responsabilité se trouve engagée (Csd. 76).
La société a fait valoir qu’elle s’était mise en conformité à la règlementation à la suite du premier contrôle. Un programme de gestion et intégration des partenaires déposant des cookies a été mis en place, et entrainé l’exclusion de ceux d’entre eux qui ne respectaient pas les politiques de Yahoo. Lors du second contrôle, un peu plus de huit mois après le premier, la CNIL a en effet pu constater qu’aucun cookie n’était déposé sans consentement.
Dans cette même perspective, la société a fait valoir que la CNIL avait opéré un contrôle dans une période d’évolution de sa règlementation. Il est vrai que le contrôle avait eu lieu en octobre 2020, alors que la CNIL avait opéré une refonte de ses recommandations en matières de cookies en juillet 2020, et annoncé qu’elle laisserait 6 mois aux entreprises pour se mettre en conformité.
Dans d’autres contextes, une mise en conformité rapide peut amener la CNIL a ne pas prononcer d’amende. Toutefois, l’autorité rejette l’ensemble des arguments au motif que les pratiques reprochées étaient déjà expressément prohibées par ses précédentes recommandations en matière de cookies. Celles-ci dataient de 2013. Quoique la décision ne le mentionne pas, on rappellera que le dépôt de cookies publicitaires sans consentement préalable est interdit par la loi depuis août 2011. En outre, cette loi transpose d’ailleurs une directive adoptée en 2009.
La CNIL conclut donc au manquement.
B. Cookie wall et non respect du droit au retrait du consentement
Comme indiqué, les agents de la CNIL ont constaté que le détenteur d’un compte yahoo mail ne pouvait retirer son consentement aux cookies sans cesser d’avoir accès à sa boite mail.
Le compte continuait alors de recevoir les emails pendant 12 mois, avant d’être supprimé pour inactivité. A aucun moment, au cours du parcours de création du compte, l’utilisateur n’était averti du fait qu’il ne pourrait revenir plus tard sur son choix d’accepter les cookies.
Ce dispositif ce heurte à deux conditions de validité du consentement.
En premier lieu, la règlementation prévoit que l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment. Le texte va jusqu’à préciser qu’il doit être « aussi simple de retirer que de donner son consentement » (art. 7 §3 RGPD).
En deuxième lieu, le consentement doit être donné librement pour être valable. Cette condition n’est pas satisfaite lorsque l’utilisateur n’est pas en mesure de « retirer son consentement sans subir de préjudice » (Csd. 42).
De même, le consentement est présumé ne pas avoir été donné librement lorsque le consentement est exigé pour bénéficier d’un contrat, et que les traitements de données en concernées ne sont pas nécessaire à l’exécution de ce contrat (Csd 43).
L’ensemble des acteurs du web gratuit se trouvent dans cette dernière situation. Ils offrent un service en échange de la collecte et du traitement de données personnelles à des fins publicitaires. Ces traitement ne sont pas nécessaires à l’exécution du service, mais au coeur du modèle économique de ces entreprises.
Afin de surmonter l’exigence d’un consentement libre, nombre de ces acteurs ont décidé de proposer à l’utilisateur un choix : accepter le traitement des données personnelles à des fins publicitaires ou s’acquitter soi-même d’une somme d’argent, en remplacement des revenus publicitaires. L’utilisateur qui ne se résout à aucun de ces choix ne peut, en revanche, pas bénéficier du service.
Ces « cookie walls », ont été combattu par plusieurs autorités, dont la CNIL. Toutefois, deux décisions de justice les ont considérablement confortés. D’abord, le Conseil d’Etat a estimé que la CNIL ne disposait pas du pouvoir d’interdire le cookie wall. Leur légalité, a estimé la haute juridiction, doit être appréciée au cas par cas (CE, 19 juin 2020, req. n° 434684, Ass. des agences-conseils en communication et aut.).
Puis, le 4 juillet 2023, la Cour de justice de l’Union européenne a, pour la première fois, évoqué le cookie wall (aff. C 252/21, Meta Platform). Plutôt que d’analyser la décision, nous nous intéresserons ici à l’application qu’en fait la CNIL.
Tout d’abord, l’autorité estime que l’ « éclairage » apporté par l’arrêt sur les conditions de recueil du consentement valent également pour son retrait.
Elle relève ensuite que le retrait du consentement cause ici un préjudice important à l’utilisateur. Une messagerie électronique contient des conversations, un carnet d’adresse et un réseau. L’utilisateur se trouve privé d’un élément important de la vie privée, familiale et éventuellement professionnelle. L’autorité va jusqu’à l’estimer « captif » du service de messagerie.
Dès lors que la société n’a pas mis en place d’alternative, même payante, au dépôt de cookies, il existe un obstacle sérieux au retrait du consentement. La violation de la loi Informatique et Libertés est donc caractérisée.
A la suite de cette sanction, tout fournisseur de service gratuit doit s’interroger sur la nécessité de proposer une alternative au dépôt de cookie, tel qu’un cookie wall.
II. La compétence de la CNIL pour sanctionner une filiale irlandaise
En l’espèce, l’activité du groupe Yahoo était structuré de la manière suivante :
YAHOO EMEA LTD (« Yahoo Irlande »), implantée en Irlande, édite le site yahoo.com et fournit le service « yahoo mail » ;
OATH BRANDS (« Yahoo France »), promeut les produits de YAHOO sur le sol français ;
VERIZON MEDIA NETHERLANDS B.V, holding européenne du groupe (la « holding ») ;
Une stratégie des géants du numérique consiste à chercher à se placer sous la compétence des autorités irlandaises grâce au mécanisme du « guichet unique ».
Dans le cadre du RGPD, l’autorité qui dirige la procédure en cas d’affaire transnationale est celle où se situe l’établissement principal de l’entreprise visée. En installant leur siège social en Irlande et en y concentrant leurs activités, les groupes parviennent donc à donner à la CNIL irlandaise le rôle de pilote (« autorité chef de file ») dans les procédures initiées à leur encontre. Cette dernière leur assure une certaine protection depuis de nombreuses années.
Cependant, les cookies sont régis par la directive e-privacy. Bien que cette dernière comprenne des renvois au RGPD, plusieurs décisions de justice opportunes ont établi que le mécanisme du guichet unique ne s’applique pas aux cookies.
En conséquence, la procédure relève de la loi « Informatique et Libertés » seule. Celle-ci prévoit que la CNIL est compétente en présence de traitements de données, qui ont lieu (1) dans le cadre des activités (2) d’un établissement en France du responsable de traitement. Le texte ajoute « que le traitement des données ait lieu ou non en France » afin de tenir compte des activités exercées à distance (art. 16, loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés »).
1 - L’existence d’un établissement en France
La jurisprudence a précisé que la notion « d’établissement » s’apprécie de manière souple, afin d’englober suffisamment de situations pour que la réglementation atteigne son objectif. Le seuil d’exigence s’avère bas puisque peut être qualifié d’établissement une « activité réelle et effective, même minime, exercée au moyen d’une installation stable » (CJUE, 1er octobre 2015, Weltimmo, aff. C-230/14).
La CNIL a considéré que Yahoo France constitue l’établissement de Yahoo Irlande au vu des éléments suivants :
L’objet social de Yahoo France comporte la promotion sur le marché français des produits publicitaires de Yahoo ;
L’entité française promeut les produits de l’entité irlandaise dans le cadre d’un contrat de prestation de service ; ce contrat de prestation, qui donne lieu à facturation avec marge, prévoit que Yahoo France rend compte de sa mission à Yahoo Irlande ;
Les deux filiales sont détenues intégralement par le groupe ;
La holding néerlandaise assure la présidence Yahoo France.
2 - Les activités de traitements ont lieu dans le cadre des activités de cet établissement
Comme indiqué plus haut, il est apparu que Yahoo France exerçait une activité limitée à la promotion des produits de Yahoo. A l’inverse, Yahoo Irlande semble avoir un rôle bien plus important sur les produits publicitaires en eux-mêmes. La CNIL a d’ailleurs estimé que cette dernière entité devait être qualifiée de responsable des traitements de données du site yahoo.com et du service de messagerie.
Dans ces conditions, on s’interroge sur le fait que les cookies constituent des traitements ayant lieu « dans le cadre de l’activité » de la société Yahoo France.
Cependant, la jurisprudence a considérablement élargi la notion de cadre d’activité, admettant qu’elle recouvre des situations dans lesquels les entreprises travaillent à un même objectif.
En effet, à la suite de la Cour de justice, le Conseil d’Etat a estimé que cette condition est satisfaite lorsque l’établissement « se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site » (CE, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux Tables).
La CNIL a donc considéré qu’en assurant la promotion sur le sol français de produits de Yahoo Irlande, Yahoo France a bien agit dans le cadre des activités de traitements en cause.
Ces deux conditions satisfaites, elle s’estime compétente pour infliger l’amende de 10 millions d’euros qui sanctionne les manquements exposés.
Comentarios