La CNIL sanctionne la société Yahoo! d’une amende de 10 millions d’euros.

par Khaled ANOUTI, étudiant du Master 2 Droit des médias électroniques

Dans un communiqué du 19 janvier 2024, la CNIL a sanctionné Yahoo EMEA Limited d’une amende de 10 millions d’euros pour des manquements à la loi du 6 janvier 1978 quant aux choix des internautes qui refusaient les cookies sur le site de la société « Yahoo.com », et aussi pour ne pas avoir permis aux utilisateurs de sa messagerie « Yahoo! Mail » de librement retirer leurs consentements aux cookies.

Un manquement au respect du choix des internautes par Yahoo! :

Les cookies sont des traceurs numériques déposés par les sites Internet sur l’appareil de l’utilisateur. Ils servent à identifier l’utilisateur de manière continue, à stocker ses préférences, pour lui proposer des publicités ciblées.

La CNIL a été saisi de 27 plaintes qui dénoncent les obstacles que les internautes ont rencontrés pour retirer le consentement au dépôt de cookies et la non prise en compte du refus des cookies par les internautes par Yahoo. De plus, la CNIL avait déjà effectué plusieurs contrôles en ligne sur le site « Yahoo.com » et sur la messagerie électronique « Yahoo ! Mail », en octobre 2020 et juin 2021.

La formation restreinte de la CNIL, qui prononce les sanctions à l’égard des responsables de traitement qui ne respectent pas la loi, a considéré, sur la base des constatations effectuées lors des contrôles en ligne, que la société Yahoo Limited avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.

Le groupe américain ne respectait pas alors le choix des internautes en matière de cookies et la société mettait en place des mesures pour les dissuader de retirer leur consentement au dépôt des cookies.

Les infractions relevées par la CNIL :

Dépôt de cookies publicitaires sans consentement préalable des internautes :

Lors du contrôle d’octobre 2020, la CNIL a observé que quand un internaute visitait le site Yahoo.com, la bannière relative aux cookies conduisait à une page composée de nombreux boutons destinés à recueillir le consentement au dépôt de cookies.
Cependant, la CNIL a noté qu’en dépit de l’absence de consentement explicite, une vingtaine de cookies à des fins publicitaires étaient néanmoins enregistrés sur l’appareil de l’internaute.
Et donc, la CNIL reproche à Yahoo d’avoir “pisté” ses usagers sur son site Yahoo.com alors que ces usagers avaient demandé à ne pas être traqués.

La formation restreinte a donc considéré que la société avait manqué à ses obligations selon l’article 82 de la loi Informatique et Libertés. Cela peut s’expliquer par le fait que les cookies à des fins publicitaires ne devraient être placés que quand un consentement explicite a été donné.
En effet, cet article prévoit que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète » de la « finalité de toute action tendant à accéder à des informations déjà stockées », ainsi que des « moyens dont il dispose pour s’y opposer ». La CNIL a alors considéré que le dépôt de cookies publicitaires effectué en l’absence de consentement de la part des internautes constitue un manquement majeur qui doit être sanctionné.

– Incitation à ne pas retirer le consentement : Perte de l’accès aux services proposés par la société :

La formation restreinte a relevé que lorsqu’un utilisateur de la messagerie « Yahoo! Mail » voulait retirer le consentement qu’il avait donné au dépôt de cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie.

Et donc, le fait de lier l’utilisation d’un service à l’acceptation de cookies non strictement nécessaires au service fourni n’est pas en soi illégal ; cependant, cela doit être conditionné au consentement libre de l’utilisateur.
Ainsi, refuser ou retirer son consentement ne devrait pas nuire à l’expérience de l’utilisateur.
Or, dans ce cas, Yahoo ne proposait pas d’autre choix à l’utilisateur qui souhaite retirer son consentement : la seule possibilité offerte à l’utilisateur était de renoncer à l’usage de sa messagerie électronique. Et donc retirer son consentement signifiait simplement de renoncer à l’utilisation de la messagerie électronique, sans autre alternative.
La formation restreinte a alors considéré que, dans des conditions pareilles, le retrait du consentement ne pouvait pas s’exercer de manière libre, entrainant ainsi le non-respect des choix des utilisateurs.  

Les utilisateurs doivent pouvoir refuser librement de donner leur consentement à des opérations particulières de traitements de données non nécessaires au service fourni, en leur proposant une alternative ne comportant pas ces opérations de traitement de données.

De plus, la formation restreinte a souligné l’importance de l’adresse de messagerie électronique dans la vie privée de l’utilisateur, dans la mesure où elle lui permet d’échanger avec d’autres personnes, de développer son réseau et d’archiver des conversations personnelles ou professionnelles importantes.
La difficulté de remplacer une adresse email établie pour des raisons de consentement aux cookies rend très complexe la décision de renoncer aux services de messageries.

Une sanction mettant en question la vie de la société américaine :

L’amende de 10 millions d’euros constitue 2% du chiffre d’affaires de la société. Ce chiffre est perçu comme excessivement élevé et disproportionné par la société concernée. Elle reproche l’importance du délai d’instruction dans l’augmentation significative de l’amende, qui a été calculée en fonction du chiffre d’affaires de 2022, alors que cela aurait pu ne pas être le cas si l’examen de l’affaire par la formation restreinte avait eu lieu en 2021.
Yahoo a subi une baisse de son chiffre d’affaures depuis les années 2010 avec des revenus en chute pendant quelques années, notamment en 2016, alors que l’entreprise annonçait une chute de ses profits de plus de 20%.

De plus, en 2016, la société américaine indiquait que 500 millions de ses comptes utilisateurs avaient été piratés, ce qui représente environ la moitié de ses comptes.
Alors, suite à cette nouvelle condamnation par la CNIL, ceci ne va pas contribuer à améliorer l’image de la société.

Un rôle de protection de la vie privée numérique réaffirmé par la CNIL :


La formation restreinte joue un rôle essentiel dans l’application des réglementations en matière de protection de données. Et donc, suite à des décisions et des sanctions comme dans ce cas, elle contribue à établir des normes et à obliger les organisations à se conformer aux lois sur la protection des données.
Ainsi, depuis l’entrée en vigueur du RGPD en 2018, les sites Internet sont tenus de respecter des règles plus strictes pour recueillir le consentement des internautes avant de déposer leurs cookies. D’où le fait que plusieurs sanctions et amendes ont été prononcées par la CNIL contre des sociétés telles que Meta (anciennement Google), Amazon et Apple, suite au dépôt des cookies sur les terminaux sans le consentement des utilisateurs.
Ce règlement européen renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données qui les concernent.
On peut ainsi dire que cette sanction par la CNIL a pour but de faire respecter les règlementations en matière de données personnelles et de consentement des utilisateurs.

En outre, dans sa décision, la CNIL affirme qu’elle est compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes en France.
Et que les opérations liées à l’utilisation des cookies qui relèvent de la directive « ePrivacy » sont transposées à l’article 82 de la loi Informatique et Libertés. Enfin, l’article 3 de cette loi justifie l’intervention de la CNIL, indépendamment du mécanisme de coopération du RGPD.


Source :
– CNIL : Cookies : la CNIL sanctionne Yahoo! d’une amende de 10 millions d’euros
https://cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros

– Article 82 de la loi Informatique et Libertés : https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978

– CNews : Cookies dans les navigateurs internet : La CNIL sanctionne Yahoo! D’une amende de 10 millions d’Euro
https://www.cnews.fr/vie-numerique/2024-01-19/cookies-dans-les-navigateurs-internet-la-cnil-sanctionne-yahoo-dune-amende 

Data Legal Drive : CNIL vs. Yahoo Emea Limited :
[DÉLIBÉRATION COMMENTÉE] CNIL vs. Yahoo Emea Limited (datalegaldrive.com)