Dans une communication datée du 18 janvier 2024, la CNIL (Commission nationale de l’informatique et des libertés) annonce qu’elle a condamné la société YAHOO EMEA LIMITED à une amende de 10 millions d’euros dans une décision du 29 décembre 2023 pour non-respect des règles légales en matière de cookies.

En effet, la CNIL a reçu, entre 2019 et 2020, 27 plaintes contre YAHOO qui était accusé de ne pas accepter le refus des internautes en matière de cookies sur son site «Yahoo.com » et de ne pas prendre en compte le retrait du consentement aux cookies des utilisateurs de sa messagerie électronique « Yahoo! Mail ».

Suite à ces plaintes, la CNIL a commencé des investigations en octobre 2020 et a mené plusieurs contrôles tant sur le site « Yahoo.com » que sur la messagerie électronique « Yahoo! Mail ». Elle a, à la suite de cela, relevé des manquements à l’article 82 de la loi Informatique et Libertés (loi française) et à l’article 7(3) du RGPD.

Dans un soucis de bonne compréhension, il est important de définir ce qui est entendu comme « cookie » pour la CNIL :

«Un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web).  Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.»

Concernant le dépôt de cookies sans le consentement préalable de l’utilisateur du site web « Yahoo.com » / Violation de l’article 82 de la loi Informatique et Libertés

Lors d’un contrôle effectué par la CNIL en octobre 2020, celle-ci a découvert qu’une vingtaine de cookies avaient été déposés sans qu’elle n’ait réalisé aucune action alors que ces cookies poursuivent des finalités publicitaires et nécessitent donc le consentement préalable de l’utilisateur.

La CNIL considère donc que ce dépôt de cookies sans consentement préalable de l’utilisateur du site web est une violation à l’article 82 de la loi Informatique et Libertés qui dispose que tout utilisateur d’un service de communication électronique doit être informé de manière claire et complète de (1) la finalité de toute action qui tend à inscrire des informations dans son équipement électronique et (2) des moyens dont l’utilisateur dispose pour s’y opposer. L’article précise ensuite que :

« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

L’article 82 contient également une exception : les obligations d’information et de consentement contenues dans les deux premiers paragraphes de l’article ne sont pas applicables si (1) les actions ont pour finalité exclusive de faciliter la communication électronique et si (2) les actions sont strictement nécessaires à la fourniture d’un service de communication en ligne.

Cet article 82 est en réalité la transposition en droit français de l’article 5 (3) de la directive européenne « vie privée et communications électroniques » (directive ePrivacy) qui impose que l’utilisateur d’un équipement terminal donne son consentement au stockage d’information dans son terminal après avoir été informé de manière claire et complète.

Le consentement, étant entendu dans ces deux dispositions au sens du RGPD, doit donc se conformer à la définition de celui-ci que l’on retrouve à l’article 4(11) du RGDP et respecter les conditions prévues à l’article 7 du même règlement.

Le consentement au sens de l’article 4(11) du RGPD doit consister en

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Dans le cas qui est abordé ici, les cookies dont il est question sont des cookies publicitaires. Ces cookies ne rentrent donc pas dans l’exception de l’article 82 de la loi Informatique et Libertés et il était obligatoire que Yahoo recueille le consentement de l’utilisateur pour pouvoir placer des cookies de cette nature. Il fallait, de plus, que Yahoo recueille le consentement de l’utilisateur conformément au RGPD. Donc que l’utilisateur marque son consentement par un acte positif clair, une action, ce qui n’a manifestement pas été le cas selon l’enquête de la CNIL.

Concernant la non prise en compte du retrait du consentement aux cookies de l’utilisateur de la messagerie électronique « Yahoo! Mail » / Violation de l’article 7 du RGPD

 Comme il est énoncé un peu plus haut, le consentement étant entendu au sens du RGPD, il convient de respecter les conditions prévues par celui-ci que l’on retrouve à l’article 7 du RGPD.

Dans cet article 7, l’on trouve au paragraphe 3 que la personne concernée a le droit de retirer son consentement à tout moment et que retirer son consentement doit être aussi facile que de le donner.

Au paragraphe 4 de ce même article, le RGPD demande de tenir compte, au moment de déterminer si le consentement est donné librement, si la fourniture du service est subordonnée au consentement au traitement des données qui ne sont pas nécessaires à l’exécution du contrat.

À l’appui de cet article, l’on trouve le Considérant 42 du RGPD qui prévoit que :

« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

En d’autres termes, l’utilisateur de « Yahoo! Mail » devrait pouvoir retirer son consentement aux cookies à tout moment et aussi facilement que celui-ci l’a donné auparavant. Ce retrait ne devrait lui causer, en outre, aucun préjudice et donc ne devrait pas l’empêcher d’avoir accès à sa messagerie ou aux autres services proposés par la société.

Or dans les faits, la CNIL a constaté  dans ses contrôles d’octobre 2020 et de juin 2021 que, lorsque celle-ci a fait mine de retirer son consentement, des messages dissuasifs apparaissaient la menaçant de couper l’accès à la messagerie électronique ainsi que de bloquer l’accès aux autres services de la société. La CNIL en a donc conclu, et à juste titre, que le consentement ne pouvait s’exercer librement et qu’il y avait donc violation de l’article 7 du RGPD.

Contexte de la décision

 Cette décision s’inscrit en réalité dans un contexte tout particulier. En effet, en Europe depuis quelques années, le paysage de la protection des données est entrain d’évoluer. On tend, en matière de cookies à une simplification du régime légal et à un durcissement des règles en matière de consentement.

Dans ce contexte, la CNIL (l’autorité de protection des données française) a décidé de clarifier les règles en matière de cookies et a, pour ce faire, adopté des lignes directrices en juillet 2019.

Suite à ces lignes directrices, la CNIL a mené des investigations et des contrôles auprès de nombreux acteurs dans le but de sanctionner les acteurs qui ne sont pas en conformité avec la législation en matière de cookies. La société YAHOO EMEA LIMITED est loin d’être la seule à être condamnée par la CNIL pour non-respect de cette législation, dans le tas on retrouve entre autre AMAZON EUROPE CORE, MICROSOFT IRELAND OPERATION LIMITED et même TIKTOK.

Conclusion

Depuis l’entrée en vigueur du RGPD en 2018, l’on fait face à un durcissement des règles en matière de respect de la vie privée et particulièrement en ce qui concerne le consentement. Cette affaire de la CNIL qui sanctionne la société YAHOO EMEA LIMITED est tout à fait représentative de la mentalité européenne à l’heure. Les autorités de protection des données des différents états membres sont, en effet, sur le qui vif pour sanctionner tout manquement à la législation en matière de protection des données personnelles de la part des grands acteurs du net et par ce biais essayent de les pousser à se mettre en règle.