La Société YAHOO EMEA LIMITED – ci-après YAHOO – édite notamment une messagerie électronique éponyme « Yahoo! Mail ».
Elle a, dans le cadre de cette activité, mis en place des cookies publicitaires.
Afin de s’assurer que les utilisateurs les acceptent – condition pour mettre en place lesdits cookies -, YAHOO a décidé de soumettre l’accès aux boîtes de messagerie à l’acceptation préalable des cookies.
En l’absence de consentement auxdits cookies, la Société informait l’utilisateur qu’il ne pourrait plus accéder à sa messagerie et – dès lors – qu’il en perdrait l’usage.
Ainsi, concrètement, les utilisateurs avaient le choix entre :
• Accepter les cookies & accéder à leur messagerie YAHOO ! MAIL
• Ou Refuser les cookies & se voir refuser automatiquement l’accès à leur messagerie YAHOO ! MAIL
Saisie de plaintes, la CNIL (Commission Nationale Informatique & Liberté) a ouvert une enquête et instruit l’affaire entre 2020 et 2022.
Le 29 décembre dernier, la CNIL a condamné YAHOO pour, notamment, atteinte au droit des utilisateurs de refuser librement le traitement de leurs données personnelles via cookies.
SBL fait le point.
Les cookies, c’est quoi ?
Un cookie est un petit fichier informatique stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine (définition CNIL).
Les cookies ont des finalités multiples. Ils peuvent par exemple servir à mémoriser :
• l’identifiant client auprès d’un site marchand,
• le contenu courant d’un panier d’achat,
• la langue d’affichage d’une page web.
Certains usages de cookies ne requièrent pas de consentement, tels que les cookies nécessaires aux fonctionnalités demandées par l’utilisateur (ex. : langue d’affichage).
D’autres usages, tels que les usages publicitaires, nécessitent en revanche un consentement préalable de l’utilisateur.
L’utilisation de cookies et d’autres traceurs est particulièrement encadrée par la loi Informatique et Libertés et le Règlement Général pour la Protection des Données (RGPD). Le consentement fait l’objet de dispositions spécifiques. Les cookies à vocation publicitaire ne peuvent être déposés, en ce sens, que lorsqu’un consentement explicite a été donné.
Le consentement doit être libre, spécifique, éclairé et univoque (articles 4 et 7 du RGPD).
L’article 7(3) du RGPD dispose à cet égard que : La personne concernée a le droit de retirer son consentement à tout moment. (…). Il est aussi simple de retirer que de donner son consentement.
Une pratique légale sur le principe : conditionner l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni
En pratique, il est possible de conditionner l’accès à un site à l’acceptation préalable de cookies publicitaires.
En cas de refus des cookies, l’internaute se voit refuser l’accès au site concerné, sans qu’il ne puisse se prévaloir d’un préjudice. Il lui appartient en effet, s’il le souhaite, de se rendre sur un autre site Internet ne requérant pas une telle acceptation.
Toutefois, en l’espèce, au regard des conséquences pour le titulaire d’un compte de messagerie qui, refusant les cookies, se voyait refuser l’accès à sa messagerie, la question est apparue sous un autre prisme.
La CNIL a analysé les faits sous le spectre du « consentement », notion juridique revenant régulièrement dans les sujets d’actualité.
Les utilisateurs, en l’espèce, pouvaient refuser les cookies. Toutefois, les conséquences pour eux apparaissaient graves : l’impossibilité d’accéder à leur messagerie.
Dans ce contexte, leur consentement aux cookies pouvait-il être considéré comme libre ?
La question du préjudice découlant des conséquences d’un refus de consentement à la collecte de ses données
En l’espèce, YAHOO ne proposait pas d’alternative aux utilisateurs souhaitant retirer leur consentement.
Leur seule option était de renoncer à l’usage de leur messagerie électronique.
Or, et la CNIL l’a relevé, une adresse de messagerie électronique constitue un élément de la vie privée de son utilisateur, dans la mesure où elle lui permet d’échanger avec d’autres personnes, de stocker des documents d’importance, de maintenir le lien avec ses contacts.
Ainsi, à mesure qu’il utilise son adresse de messagerie, l’utilisateur ne peut plus la remplacer par un service similaire aussi facilement qu’il l’aurait fait initialement.
Au regard de ces éléments et du préjudice pour l’utilisateur résultant du refus de consentir à la mise en place de cookies par YAHOO, la CNIL a considéré que le retrait du consentement ne pouvait pas s’exercer librement en l’espèce et, dès lors, que YAHOO avait méconnu ses obligations à cet égard.
Elle a ainsi prononcé à l’encontre de la société YAHOO EMEA LIMITED une amende administrative d’un montant de dix millions (10 000 000) d’euros.
A ceux qui s’interrogent de la compétence territoriale de la CNIL, celle-ci répond être territorialement compétente en application de l’article 3 de la loi Informatique et Libertés, le recours aux cookies étant effectué dans le « cadre des activités » de la société YAHOO FRANCE qui constitue « l’établissement » sur le territoire français de la Société YAHOO EMEA LIMITED.
***
Cette affaire rappelle plusieurs points, essentiels, en matière de données personnelles, parmi lesquels :
• la compétence de la CNIL, matérielle et territoriale,
• les pouvoirs d’instruction et de sanction de la CNIL,
• la vigilance que doivent adopter les responsables de traitement de données personnelles, notamment en matière d’information préalable de la collecte des données, d’obtention du consentement et de respect du retrait dudit consentement.
Elle apporte par ailleurs un élément casuistique important à prendre en considération : l’appréciation, au cas par cas, de l’existence – ou non – d’un préjudice subi par la personne concernée en cas de refus – ou de retrait – de son consentement à la mise en place de cookies non nécessaires.
***
Pour toute question, contactez-nous :
Delphine Brunet-Stoclet
Marie André-Nivet
Léna Tordjman
Félix Bertrand
