Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Yahoo Emea Limited, 29 décembre 2023

Résumé des faits

Après avoir reçu plusieurs plaintes concernant les modalités de refus des cookies, la CNIL a effectué plusieurs contrôles sur le site web « Yahoo.com » et sur la messagerie électronique « Yahoo! Mail », et a constaté des manquements aux exigences de l’article 82 de la loi Informatique et Libertés.

La CNIL a ainsi sanctionné la société Yahoo Emea Limited d’une amende publique de 10 millions d’euros, pour non-respect du choix des internautes en matière de cookies et pour le recours à des mesures les dissuadant de retirer leur consentement au dépôt des cookies.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 82 de la loi Informatique et Libertés

Absence d’un mécanisme valide permettant la collecte et le retrait du consentement au dépôt des cookies.

Que retenir de la décision ?

  • Les cookies à des fins publicitaires, n’étant ni des traceurs visant à faciliter la communication électronique, ni strictement nécessaires à la fourniture d’un service de communication en ligne sur demande expresse de l’utilisateur, ne peuvent être déposés ou lus sur le terminal de l’utilisateur sans son consentement.
  • L’existence d’une interface ineffective pour le choix des utilisateurs concernant l’inscription de cookies dans leur terminal, a des conséquences graves pour l’utilisateur qui n’a autorisé le dépôt d’aucun cookie, car il ne peut raisonnablement penser que son choix ne sera pas respecté par la société.
  • L’éditeur d’un site sur lequel des cookies tiers sont déposés, a l’obligation de s’assurer auprès de ses partenaires qu’ils ne génèrent pas, via son site, des traceurs en violation de la règlementation et de prendre les mesures nécessaires pour remédier à de tels manquements.
  • Étant donné que les éditeurs de sites constituent souvent le seul point de contact des internautes, et que le dépôt de cookies tiers dépend de la navigation sur leur site, il leur incombe d’assurer, seuls ou conjointement avec leurs partenaires, l’information préalable et la collecte du consentement.
  • Lorsque plusieurs acteurs sont impliqués dans le dépôt de cookies, chacun d’entre eux doit être considéré comme coresponsable des obligations découlant des dispositions légales.
  • Le principe de liberté du consentement implique que l’utilisateur ait une véritable liberté de choix et un contrôle réel et que le mécanisme en place ne soit pas biaisé en faveur du consentement.
  • Les utilisateurs qui ont donné leur accord au dépôt de traceurs doivent pouvoir retirer leur consentement à tout moment. Le processus pour retirer le consentement devrait être aussi simple que celui pour le donner.
  • Bien qu’associer l’utilisation d’un service à l’acceptation de cookies non strictement nécessaires (cookie wall) ne soit pas illégal en soi, c’est à la condition que le consentement soit donné librement, sans préjudice pour l’utilisateur.
  • Les utilisateurs doivent pouvoir refuser librement de donner leur consentement à des opérations particulières de traitement de données non nécessaires au contrat, sans être obligés de renoncer complètement à l’utilisation du service, en leur proposant une alternative équivalente ne comportant pas ces opérations de traitement de données, et éventuellement contre une rémunération appropriée.
  • La CNIL est compétente pour sanctionner les pratiques impliquant le dépôt de cookies sur les terminaux d’utilisateurs se trouvant en France. Ces opérations relevant de la directive e-privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.

Le + DLD

  • Lors du prononcé d’une amende, la CNIL tient notamment compte de la nature, de la gravité et de la durée de la violation, du degré de coopération avec l’autorité de contrôle, des catégories de données personnelles et du nombre de personnes concernées par la
  • Pour déterminer le montant de l’amende, la CNIL prend notamment en compte l’activité de la société et sa situation financière.
  • Pour décider de la publication ou non de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement, et du nombre de personnes concernées.

Délibération Complète de la CNIL

Consulter

À lire aussi