Sommaire
Le consentement préalable à la publicité in-mail
Les internautes doivent donner leur consentement préalable à toute publicité au sein de leur messagerie électronique.
Le 3 décembre 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société Orange pour plusieurs manquements relatifs à la gestion des données personnelles de ses utilisateurs, en particulier en ce qui concerne le consentement pour les cookies et l’affichage de publicités intrusives dans les boîtes de réception des utilisateurs de son service de messagerie électronique.
L’amende, d’un montant de 50 millions d’euros, a été rendue publique par la CNIL, qui a également imposé une injonction de cesser les opérations de lecture des cookies après retrait du consentement.
Les manquements observés par la CNIL
1. Manquement relatif à l’obligation de recueillir le consentement pour la prospection commerciale par courrier électronique (article L. 34-5 du CPCE)
La CNIL a constaté que Orange affichait des publicités commerciales sous forme de courriels dans la boîte de réception des utilisateurs de son service de messagerie électronique. Ces publicités apparaissaient entre les courriels privés, sans le consentement préalable des utilisateurs, ce qui contrevient à l’article L. 34-5 du Code des postes et des communications électroniques.
- Pratique trompeuse : Les publicités, bien que prenant la forme de courriels, ne provenaient pas d’un utilisateur, mais étaient insérées par Orange elle-même, qui contrôlait et commercialisait ces espaces publicitaires.
- Position de la CNIL : S’appuyant sur un arrêt de la Cour de justice de l’Union européenne (CJUE) du 25 novembre 2021, la CNIL a estimé que ces messages constituaient de la prospection directe par courrier électronique, ce qui exigeait un consentement préalable des utilisateurs.
- Responsabilité de Orange : Orange étant responsable de l’affichage des publicités dans les boîtes de réception des utilisateurs, elle devait recueillir leur consentement préalable avant de procéder à l’affichage des publicités. La société a toutefois cessé cette pratique depuis novembre 2023 et a mis en place un format de publicité plus transparent, permettant de distinguer clairement les publicités des vrais courriels.
Manquement relatif à la lecture des cookies
La CNIL a également découvert que, bien que les utilisateurs aient le droit de retirer leur consentement au dépôt et à la lecture des cookies, Orange continuait à lire les cookies précédemment déposés, même après le retrait de ce consentement.
- Violation du RGPD : L’article 82 de la loi Informatique et Libertés stipule clairement qu’une fois le consentement retiré, l’accès aux informations stockées dans le terminal de l’utilisateur, telles que les cookies, doit être immédiatement interrompu. Le fait que les cookies continuent à être lus après retrait du consentement constitue une violation explicite de cette disposition.
- Obligation technique : La CNIL a rappelé qu’Orange devait mettre en place des solutions techniques pour empêcher la lecture des cookies qu’elle contrôle, et veiller à ce que ses partenaires fassent de même pour les cookies déposés par leurs soins.
Les sanctions prononcées par la CNIL
En réponse à ces manquements, la formation restreinte de la CNIL a imposé les sanctions suivantes :
- Amende de 50 millions d’euros : Cette amende tient compte de plusieurs éléments, tels que :
- Le nombre très élevé de personnes concernées : Plus de 7,8 millions d’utilisateurs ont vu s’afficher les publicités commerciales dans leur boîte de réception sans leur consentement.
- La position dominante de la société : En tant que premier opérateur de télécommunications en France, Orange bénéficie d’une grande visibilité, ce qui accentue la gravité de la violation.
- L’avantage financier tiré de ces pratiques trompeuses, notamment par la vente d’espaces publicitaires.
- Injonction et astreinte : La CNIL a également ordonné à Orange de :
- Cesser la lecture des cookies après le retrait du consentement de l’utilisateur dans un délai de trois mois.
- En cas de non-respect de cette injonction, une astreinte de 100 000 euros par jour de retard sera appliquée.
Les implications pour Orange et les entreprises concernées
Cette décision marque un avertissement fort pour toutes les entreprises, notamment les acteurs majeurs du secteur des télécommunications et des services en ligne. Elles doivent impérativement :
- Recueillir le consentement explicite des utilisateurs avant toute action de prospection commerciale, en particulier via la messagerie électronique.
- Respecter strictement le droit des utilisateurs à retirer leur consentement concernant le dépôt et la lecture de cookies, et mettre en œuvre des solutions techniques appropriées pour garantir cette protection.
Délibération de la formation restreinte n°SAN-2024-019 du 14 novembre 2024
Délibération de la formation restreinte n°SAN-2024-019 du 14 novembre 2024 concernant la société ORANGE SA
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président et Mmes Laurence FRANCESCHINI et Isabelle LATOURNARIE-WILLEMS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;
Vu le code des postes et des communications électroniques ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;
Vu la décision n° 2023-093C du 20 mars 2023 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements liés à la mise en œuvre du service » Mail Orange » auprès de tout organisme susceptible d’être concerné par leur mise en œuvre ;
Vu la décision n° 2023-123C du 26 juin 2023 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société ORANGE et par le groupement d’intérêt économique ORANGE PORTAILS ou pour leur compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés du 30 avril 2024 portant désignation d’un rapporteur devant la formation restreinte ;
Vu le rapport de Mme Anne DEBET, commissaire rapporteure, signifié à la société ORANGE le 4 juin 2024 ;
Vu les observations écrites versées par le Conseil de la société ORANGE le 3 juillet 2024 ;
Vu la réponse de la rapporteure à ces observations, signifiée à la société le 30 juillet 2024 ;
Vu les nouvelles observations écrites versées par le Conseil de la société ORANGE le 5 septembre 2024 ;
Vu la clôture de l’instruction, signifiée à la société le 20 septembre 2024 ;
Vu les observations orales formulées lors de la séance de la formation restreinte du 10 octobre 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte du 10 octobre 2024 :
– Mme Anne DEBET, commissaire, entendue en son rapport ;
En qualité de représentants de la société ORANGE :
– […]
La société ORANGE ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. FAITS ET PROCÉDURE
1. La société ORANGE SA (ci-après, » la société » ou » la société ORANGE), société anonyme à conseil d’administration dont le siège social est situé 111 quai du Président Roosevelt à Issy-les-Moulineaux (92130), est l’un des principaux opérateurs de télécommunications dans le monde et l’opérateur historique de télécommunications en France.
2. Société mère du groupe ORANGE, elle dispose de plusieurs filiales, en France et à l’étranger, et employait, au 31 décembre 2022, 136 000 salariés dont 75 000 en France. En 2022, la société a réalisé un chiffre d’affaires de 43,5 milliards d’euros, pour un résultat net de 2,6 milliards d’euros. Pour l’année 2023, ce chiffre d’affaires s’est élevé à 44,1 milliards d’euros, pour un résultat net de 2,9 milliards d’euros.
3. La société fournit à ses clients particuliers et entreprises des services de téléphonie fixe, Internet haut débit et très haut débit et téléphonie mobile. Elle dispose d’un site web accessible depuis l’adresse orange.fr, permettant notamment d’accéder aux différentes offres proposées, ainsi qu’aux boîtes de messagerie électronique mises à disposition de ses clients (service » Mail Orange « ). Ce site est édité par le groupement d’intérêt économique ORANGE PORTAILS (ci-après, » GIE ORANGE PORTAILS « ), créé en 2007 entre la société FRANCE TELECOM et la société ORANGE.
4. Avec une part de marché de 39,5% s’agissant de l’Internet et de 34% s’agissant de la téléphonie mobile, la société ORANGE se positionne au premier rang du marché français dans ces deux domaines. Au 31 décembre 2022, le groupe comptait ainsi 287 millions de clients, dont 242 millions de clients mobile (parmi lesquels 18,2% en France, incluant les entreprises) et 24 millions de clients haut débit fixe (dont 52,1% en France, incluant les entreprises).
5. La société ORANGE a fait l’objet de deux procédures de contrôle distinctes, visant à vérifier le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après, » la loi Informatique et Libertés » ou » loi du 6 janvier 1978 modifiée « ) et des autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.
6. D’une part, en application de la décision n° 2023-093C du 20 mars 2023 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après, » la CNIL » ou » la Commission « ), une délégation a procédé, les 7 et 12 juin 2023, à une mission de contrôle en ligne des traitements liés à la mise en œuvre du service » Mail Orange « , à partir du site web orange.fr.
7. Les 4 août et 6 décembre 2023, la société ORANGE a adressé à la délégation des éléments complémentaires.
8. D’autre part, en application de la décision n° 2023-123C du 26 juin 2023 de la présidente de la CNIL, une délégation de la Commission a procédé, le 5 juillet 2023, à une mission de contrôle en ligne des traitements mis en œuvre par la société ORANGE et le GIE ORANGE PORTAILS à partir du site orange.fr.
9. Le 4 août 2023, la société ORANGE a adressé à la délégation des éléments complémentaires.
10. Le 3 novembre 2023, sur le fondement de la même décision, un nouveau contrôle en ligne a été réalisé, à partir du même site.
11. La société ORANGE a transmis à la délégation des éléments complémentaires le 30 novembre 2023.
12. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 30 avril 2024, désigné Mme Anne DEBET en qualité de rapporteure sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
13. Le 4 juin 2024, à l’issue de son instruction, la rapporteure a fait signifier à la société un rapport détaillant les manquements aux articles L. 34-5 du code des postes et des communications électroniques (ci-après, » le CPCE « ) et 82 de la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer à l’encontre de la société une amende administrative, ainsi qu’une injonction de mettre en conformité ses pratiques avec les dispositions susvisées, assortie d’une astreinte. Il proposait également que cette décision soit rendue publique mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.
14. Le 3 juillet 2024, la société a produit des observations en réponse au rapport de sanction.
15. La rapporteure a répondu à ces observations le 30 juillet 2024.
16. Le 5 septembre 2024, la société a produit de nouvelles observations en réponse à celles de la rapporteure.
17. Le 20 septembre 2024, la rapporteure a, en application de l’article 40-III du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi Informatique et Libertés (ci-après, » le décret du 29 mai 2019 « ), informé la société que l’instruction était close.
18. Le même jour, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 10 octobre 2024.
19. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte.
II. MOTIFS DE LA DECISION
A. Sur le manquement à l’obligation de recueillir le consentement des personnes concernées pour la mise en œuvre de prospection commerciale par voie électronique en application de l’article L. 34-5 du code des postes et des communications électroniques
20. Aux termes de l’article L. 34-5 du CPCE, » est interdite la prospection directe au moyen de système automatisé de communications électroniques au sens du 6° de l’article L. 32, d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen.
Pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.
Constitue une prospection directe l’envoi de tout message destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services. Pour l’application du présent article, les appels et messages ayant pour objet d’inciter l’utilisateur ou l’abonné à appeler un numéro surtaxé ou à envoyer un message textuel surtaxé relèvent également de la prospection directe.
Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées au moment où elles sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé au cas où il n’aurait pas refusé d’emblée une telle exploitation « .
21. Ces dispositions transposent en droit français les règles régissant l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe fixées par la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après, la directive » ePrivacy « ), telle que modifiée par la directive 2009/136/CE du 25 novembre 2009, et plus précisément son article 13 traitant des » communications non sollicitées « , dont le paragraphe 1 prévoit que » l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ou des utilisateurs ayant donné leur consentement préalable « .
22. Par un arrêt du 25 novembre 2021, la Cour de justice de l’Union européenne (ci-après, » la CJUE « ) a précisé que » l’article 13, paragraphe 1, de la directive 2002/58 doit être interprété en ce sens que constitue une » utilisation […] de courrier électronique à des fins de prospection directe « , au sens de cette disposition, l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier sans que la détermination aléatoire des destinataires desdits messages ni la détermination du degré d’intensité de la charge imposée à cet utilisateur aient d’incidence à cet égard, cette utilisation n’étant autorisée qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité, notamment au sein de la liste des courriers électroniques privés reçus, et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires » (point 63) (CJUE, troisième chambre, 25 novembre 2021, StWL Städtische Werke Lauf a.d. Pegnitz Gmbh, C-102/20, ci-après, » l’arrêt du 25 novembre 2021 « ).
23. La rapporteure relève que la société a indiqué mettre à disposition de ses clients un ou plusieurs comptes de messagerie électronique dans le cadre du service » Mail Orange « . Elle observe qu’il ressort des constatations réalisées par la délégation les 7 et 12 juin 2023 que, lors de leur connexion à leur boîte de messagerie, les utilisateurs de ce service voyaient s’afficher, entre les courriels reçus et sans qu’ils y aient consenti, des annonces publicitaires qui, selon la rapporteure, caractérisent une utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE. Elle considère dès lors qu’en ne recueillant pas le consentement des personnes concernées à l’affichage de telles publicités, la société a commis un manquement aux dispositions susvisées. La rapporteure se fonde notamment, pour étayer sa démonstration, sur l’arrêt de la CJUE précité.
24. En défense, la société se prévaut de l’imprécision et de l’imprévisibilité du cadre juridique applicable aux publicités insérées entre les courriels. Elle considère à cet égard qu’il existe une » contrariété flagrante » entre les dispositions de l’article 13 de la directive ePrivacy – ayant fait l’objet d’une interprétation par la CJUE – et celles de l’article L. 34-5 du CPCE – seules à lui être directement applicables. Elle estime en effet que les conditions d’application définies par ces textes diffèrent, l’application de l’article L. 34-5 du CPCE étant soumise, selon elle, à l’existence d’un traitement de données à caractère personnel, contrairement à l’article 13 de la directive susvisée qui aurait une portée plus générale. Elle considère dès lors que, dans la mesure où les adresses de courrier électronique des personnes concernées ne sont pas traitées en tant que telles – les publicités étant affichées dans des emplacements dédiés sur la page web, selon les mêmes modalités techniques que les autres bannières publicitaires –, l’application de l’arrêt cité par la rapporteure aux faits de l’espèce apparait » à tout le moins discutable « .
25. Elle relève en outre que l’application de cet arrêt à un fournisseur de messagerie électronique pose question, la CNIL ayant jusqu’ici fait peser la charge du recueil du consentement sur les annonceurs.
26. De manière plus globale, la société souligne sa bonne foi ainsi que la difficulté engendrée par la lecture novatrice de la CJUE et regrette que la CNIL n’ait pas accompagné les acteurs du marché dans la mise en œuvre de cette nouvelle jurisprudence. Elle considère qu’en l’absence de base légale claire, le prononcé d’une sanction apparait contraire au principe de légalité des délits et des peines.
1) Sur le cadre juridique applicable aux publicités insérées entre les courriels
a) Sur l’articulation des articles L. 34-5 du CPCE et 13 de la directive ePrivacy
27. La société soutient que, dans le cadre de sa proposition de sanction, la rapporteure s’est fondée de manière erronée sur les dispositions l’article 13 de la directive ePrivacy – telles qu’interprétées par la CJUE –, en ignorant celles de l’article L. 34-5 du CPCE, seules susceptibles de lui être directement opposées et dont les conditions d’application diffèrent, selon elle, du texte européen.
28. Elle estime en effet que, si l’article 13 de la directive pose un principe d’interdiction générale d’utilisation de courrier électronique à des fins de prospection directe, l’application de l’article L. 34-5 du CPCE serait soumise, en sus, à la caractérisation de l’existence d’un traitement de données à caractère personnel. Elle se fonde à cet égard sur la formulation du texte, qui précise en son alinéa 1er qu’est » interdite la prospection directe au moyen de système automatisé de communications électroniques […], d’un télécopieur ou de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen « , et le relie à l’alinéa 2 du même article, qui prévoit que » pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe « . La société considère ainsi que le consentement recueilli dans le cadre de l’article L. 34-5 du CPCE porterait sur un traitement de données à caractère personnel, et non sur l’affichage de publicités. Dès lors, en l’absence de toute » utilisation » de » coordonnées » – la société ne traitant pas, en tant que telle, l’adresse de courrier électronique des personnes concernées –, elle estime que l’application de l’article L. 34-5 du CPCE semble à tout le moins discutable.
29. En premier lieu, la formation restreinte rappelle que, conformément à l’article 288 du traité sur le fonctionnement de l’Union européenne (ci-après, » le TFUE), les directives européennes » lie[nt] tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens « . Ainsi, si les autorités nationales déterminent la forme et les méthodes qu’elles utilisent pour incorporer lesdites directives dans leur droit national, ces mesures doivent atteindre l’objectif défini par celles-ci. La formation restreinte souligne en outre que ces directives définissent des normes minimales, les Etats ayant la possibilité de fixer des règles plus protectrices.
30. Par ailleurs, la CJUE a, à plusieurs reprises, rappelé qu’il » découle des exigences tant de l’application uniforme du droit de l’Union que du principe d’égalité que les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des Etats membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme. En outre, […] lors de l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celle-ci et des objectifs qu’elle poursuit, mais également de son contexte ainsi que de l’ensemble des dispositions du droit de l’Union. La genèse d’une disposition du droit de l’Union peut également revêtir des éléments pertinents pour son interprétation » (CJUE, grande chambre, 26 mars 2019, SM, C-129/18 ; CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17).
31. En l’espèce, les dispositions de l’article 13 de la directive ePrivacy ont été transposées en droit français à l’article L. 34-5 du CPCE, cité supra. La formation restreinte relève qu’en application de l’article 288 du TFUE et de la jurisprudence de la CJUE, le législateur et les juridictions nationales doivent s’assurer, dans toute la mesure du possible, que ces dispositions apportent aux personnes concernées une protection conforme à celle garantie par la directive européenne. Dès lors, il convient de lire ce texte au regard non seulement de l’article 13 de la directive ePrivacy, mais également à la lumière de la jurisprudence de la CJUE, dont le rôle est de veiller à ce que la législation de l’Union soit interprétée et appliquée de manière harmonisée dans l’ensemble des pays membres.
32. En deuxième lieu, la formation restreinte considère qu’il n’existe aucune contrariété entre les dispositions de l’article 13 de la directive ePrivacy et celles de l’article L. 34-5 du CPCE.
33. Elle estime en effet que les termes » utilisant les coordonnées d’une personne physique » figurant au premier alinéa de l’article L. 34-5 du CPCE ne sont pas, contrairement à ce que soutient la société, synonymes de » traitant les données à caractère personnel d’une personne physique » et qu’ils n’ajoutent aucune condition supplémentaire par rapport au texte européen, lequel prévoit que la prospection par courrier électronique n’est autorisée que si elle » vise des abonnés » ayant donné leur consentement préalable. Ainsi, les » coordonnées d’une personne physique » disposant d’un terminal de communication électronique correspondent aux » abonnés » du texte européen.
34. Si, lors de la rédaction du texte, la notion de prospection commerciale par voie électronique s’envisageait traditionnellement comme l’envoi d’un message par un destinataire à un autre destinataire en utilisant soit son numéro de téléphone, soit son numéro de télécopie, soit son adresse de courrier électronique en tant que tels, l’évolution de la technologie et le déploiement de nouvelles méthodes de prospection, se distinguant des modèles techniques classiques en vigueur au moment de l’adoption du texte par le législateur, doivent conduire à adopter une approche fonctionnelle des notions en jeu.
35. C’est la position adoptée par la CJUE pour interpréter l’article 13 de la directive ePrivacy, l’arrêt du 25 novembre 2021 rappelant les objectifs de ce texte, à savoir assurer un niveau égal de protection aux utilisateurs indépendamment des technologies utilisées, » ce qui confirme qu’il y a lieu de retenir une conception large et évolutive d’un point de vue technologique du type de communications visées par cette directive » (point 39). La Cour considère ainsi que » si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, à savoir dans la rubrique dans laquelle l’ensemble des courriers électroniques adressés à l’utilisateur s’affichent, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58 » (point 44).
36. La formation restreinte considère qu’il n’y a pas lieu d’adopter une interprétation différente s’agissant de l’article L. 34-5 du CPCE, la notion d’ » utilisation des coordonnées » devant être interprétée comme le moyen d’atteindre l’utilisateur – en l’espèce, par le biais de sa messagerie électronique, à laquelle il accède après s’être authentifié –, indépendamment du traitement de l’adresse de courrier électronique en tant que telle. Ainsi, l’utilisation de la boite électronique de l’abonné pour afficher le message de prospection suffit potentiellement à faire entrer cette opération dans le champ d’application de l’article L. 34-5 du CPCE.
37. Par ailleurs, la formation restreinte estime que, comme l’a jugé la CJUE, le fait de donner à des messages publicitaires l’apparence de véritables courriels et, ainsi, d’utiliser l’intérêt et la confiance que les utilisateurs d’un service de messagerie électronique portent à leur boîte de réception pour mettre en valeur ces messages, impose de faire suivre à ces derniers le même régime juridique que celui applicable aux courriers électroniques. La formation restreinte souligne à cet égard que ce type d’annonces publicitaires se distingue des bannières pouvant apparaître en marge et de façon séparée de la liste des courriels, lesquels ne sont pas concernés par l’application de l’article L. 34-5 du CPCE.
38. La formation restreinte relève en outre que le terme » coordonnées » n’est pas propre au texte national puisqu’il figure expressément à l’article 13 de la directive ePrivacy, son paragraphe 2 disposant que lorsqu’ » une personne physique ou morale a, dans le cadre de la vente d’un produit ou d’un service, obtenu de ses clients leurs coordonnées électroniques en vue d’un courrier électronique, ladite personne physique ou morale peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues qu’elle-même fournit pour autant que lesdits clients se voient donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques au moment où elles sont recueillies et lors de chaque message, au cas où ils n’auraient pas refusé d’emblée une telle exploitation « . Ces dispositions, qui posent une exception au principe énoncé au paragraphe 1, doivent être lues et interprétées non pas de façon autonome, comme le suggère la société, mais bien à la lumière du texte complet de l’article 13.
39. De la même manière, la formation restreinte relève que l’article 13 de la directive ePrivacy prévoit bien, tout comme l’article L. 34-5 du CPCE, que les règles de protection qu’il édicte s’appliquent aux personnes physiques. Son paragraphe 5 dispose en effet que » les paragraphes 1 et 3 s’appliquent aux abonnés qui sont des personnes physiques […] « .
40. En troisième lieu, s’agissant de la notion de consentement, la formation restreinte observe que, si l’article L. 34-5 du CPCE la définit en référence au consentement donné en matière de traitement de données à caractère personnel (l’alinéa 2 prévoyant que » pour l’application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe « ), la définition à laquelle renvoie la directive ePrivacy comporte également une telle référence.
41. Il apparait en effet que, si l’article 13 de ladite directive ne définit pas lui-même le consentement, son article 2, f) dispose que le » consentement » d’un utilisateur ou d’un abonné correspond au » consentement de la personne concernée » figurant dans la directive 95/46/CE, laquelle le définissait, en son article 2, h), comme » toute manifestation de volonté libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement » – soit précisément la même définition que celle posée par l’article L. 34-5 du CPCE.
42. Si la directive 95/46/CE a été abrogée par l’entrée en vigueur du RGPD, la notion de consentement devant désormais s’entendre au sens de l’article 4, paragraphe 11 du RGPD (en application de l’article 94, paragraphe 2 du RGPD), la formation restreinte relève que cette notion est toujours définie par référence à un traitement de données à caractère personnel.
43. Il apparait donc que, non seulement la notion de consentement est définie de la même manière au sein de la directive ePrivacy qu’au sein de l’article L. 34-5 du CPCE, les textes ne présentant aucune contrariété sur ce point, mais également que la référence au traitement de données à caractère personnel qu’ils comportent tous deux doit s’analyser, non pas comme une de leurs conditions d’application, mais seulement comme une volonté du législateur d’uniformiser les concepts utilisés, en renvoyant aux définitions figurant déjà dans d’autres textes.
44. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’il n’existe aucune contrariété entre les dispositions de l’article 13 de la directive ePrivacy et celles de l’article L. 34-5 du CPCE – article sur lequel elle entend fonder sa décision –, toutes deux devant être interprétées à la lumière des décisions rendues par la CJUE.
b) Sur la responsabilité du fournisseur de messagerie
45. La société considère que l’application de l’arrêt de la CJUE du 25 novembre 2021 à un acteur tel qu’ORANGE apparait à tout le moins discutable. Elle se prévaut ainsi du fait que le litige soumis à la Cour opposait deux annonceurs, et que la décision ne vise pas les fournisseurs de messagerie électronique. De la même manière, elle relève que jusqu’ici, en matière de prospection commerciale, la CNIL a toujours considéré qu’il revenait à l’annonceur offrant les produits et services dont le message assure la promotion de disposer du consentement, et non aux éventuels intermédiaires ou prestataires intervenant dans l’acheminement ou l’affichage du message. Elle estime en effet que l’annonceur est le seul acteur en mesure d’identifier la nécessité de recueillir un tel consentement (en fonction notamment de la préexistence d’une relation commerciale avec le destinataire du message), et qu’en retenant aujourd’hui la responsabilité du fournisseur de messagerie, la CNIL procède à une interprétation novatrice des textes qui s’écarte de sa doctrine.
46. En outre, concernant une éventuelle responsabilité conjointe avec les annonceurs, la société considère que celle-ci pose un certain nombre de questions restant en suspens, notamment s’agissant des acteurs chargés de recueillir le consentement et de l’application de l’exemption dite » pour produits et services analogues « .
47. La formation restreinte relève tout d’abord que, dans son arrêt du 25 novembre 2021, la CJUE s’est prononcée, de manière générale, sur les critères régissant la notion de » courrier électronique « , au sens de l’article 2, second alinéa, sous h) de la directive ePrivacy, et sur la notion d’ » utilisation » de celui-ci à des fins de prospection directe, au sens de l’article 13 de ladite directive, sans faire aucune distinction en fonction des organismes impliqués dans la prospection.
48. Au contraire, et nonobstant le fait que l’affaire ayant donné lieu à saisine de la Cour opposait deux annonceurs concurrents, la formation restreinte observe que loin d’écarter la responsabilité du fournisseur de messagerie électronique, l’arrêt vise expressément ce dernier, précisant que » la défenderesse et l’intervenante au principal ainsi que le fournisseur de messagerie électronique impliqués utilisent l’existence de la liste des courriers électroniques privés, en tenant compte de l’intérêt et de la confiance particuliers de l’abonné au regard de cette liste, pour placer leur publicité directe en donnant à celle-ci l’aspect d’un véritable courrier électronique » (point 44).
49. En outre, il apparait que, dans le cadre des affaires précédemment examinées par la formation restreinte, les messages de prospection commerciale adressés aux personnes concernées étaient, d’un point de vue technique, de véritables courriels transmis par un utilisateur d’un service de messagerie (annonceur) à un autre (destinataire), sans que le fournisseur de messagerie n’intervienne si ce n’est pour assurer l’acheminement du message, comme il le ferait pour tout autre message privé. Il en va autrement des messages publicitaires tels que ceux en cause dans la présente affaire puisque, dans ce cas de figure, ce fournisseur ne se contente pas d’assurer l’acheminement d’un message dont il ne décide pas de l’envoi (fonction première de la boîte de messagerie) mais commercialise auprès des annonceurs des espaces dédiés, qu’il détermine souverainement et dont il maîtrise l’affichage, au sein de la boîte de courrier électronique des utilisateurs. La formation restreinte relève que, dans une telle configuration, le fournisseur de messagerie, seul à être en contact direct avec les destinataires des messages, est également le seul en mesure de pouvoir recueillir leur consentement.
50. La formation restreinte considère que, dans ces conditions, le fournisseur de messagerie électronique doit être regardé comme responsable du respect des dispositions de l’article L. 34-5 du CPCE dans le cadre des opérations de prospection réalisées, nonobstant l’éventuelle responsabilité des annonceurs.
c) Sur la prévisibilité du cadre juridique applicable et le respect du principe de légalité des délits et des peines
51. La société considère que l’arrêt de la CJUE ne permet pas de poser un cadre légal clair et que, dès lors, le prononcé d’une sanction serait contraire au principe de légalité des délits et des peines. Elle insiste sur le fait qu’il lui parait regrettable que les autorités de protection des données n’aient pas jugé utile d’accompagner les acteurs du marché, alors même que la prospection commerciale fait partie des sujets de prédilection de la CNIL et qu’elle a récemment publié un référentiel sur la gestion commerciale, au sein duquel l’arrêt de la CJUE n’est nullement mentionné.
52. La formation restreinte rappelle qu’en matière de sanction administrative, le Conseil constitutionnel a exigé le respect de principes fondamentaux, parmi lesquels le principe de légalité des délits et des peines (n° 88-248 DC, 17 janvier 1989).
53. Le Conseil d’Etat est venu préciser la portée de ce principe, qui implique que les éléments constitutifs des infractions soient définis de façon précise et complète (CE, 9 octobre 1996, Société Prigest, n° 170363, T. ; CE, Section, 12 octobre 2009, M. P., n° 311641, Rec.). En matière de sanctions administratives, la jurisprudence considère que » l’exigence d’une définition des infractions sanctionnées se trouve satisfaite […] dès lors que les textes applicables font référence aux obligations auxquelles les intéressés sont soumis en raison de l’activité qu’ils exercent, de la profession à laquelle ils appartiennent, de l’institution dont ils relèvent ou de leur qualité » et qu’une sanction peut être prononcé s’il est » raisonnablement prévisible par les personnes concernées et en tenant compte de leur qualité et des responsabilités qu’elles exercent, que le comportement litigieux constitue un manquement à ces obligations » (CE, 3 octobre 2018, SFCM, n° 411050, Rec.).
54. En l’espèce, la formation restreinte rappelle que le fait de recueillir le consentement des personnes concernées pour réaliser des opérations de prospection commerciale par voie électronique est clairement exigé par la législation, tant nationale qu’européenne, depuis de nombreuses années. La directive ePrivacy de 2002 a ainsi été transposée en droit français par la loi n° 2004-669 du 9 juillet 2004. Cette exigence a été rappelée par la CNIL à plusieurs reprises, tant à travers les publications sur son site web que par les multiples décisions rendues par la formation restreinte en la matière.
55. En outre, la formation restreinte relève que l’arrêt en cause a été publié près de deux ans avant les opérations de contrôle et qu’il est extrêmement clair : l’affichage dans la boîte de réception de l’utilisateur d’un service de messagerie électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique et au même emplacement que ce dernier constitue une » utilisation […] de courrier électronique à des fins de prospection directe » et n’est autorisée qu’à condition que ledit utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (point 63).
56. La formation restreinte observe qu’il s’agit de l’un des rares arrêts rendus par la CJUE en matière de protection des données à caractère personnel et de la vie privée en 2021 à avoir fait l’objet d’un communiqué de presse. Elle relève que l’intitulé de ce communiqué était particulièrement clair sur la portée de l’arrêt : » Inbox advertising : l’affichage dans la boîte de réception électronique de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique constitue une utilisation de courrier électronique à des fins de prospection directe au sens de la directive 2002/58 « .
57. Il appartenait ainsi à la société, qui dispose des moyens matériels, humains et techniques pour assurer sa mise en conformité, d’adapter le cas échéant ses pratiques.
58. Il apparait dès lors que les éléments constitutifs du manquement reproché à la société sont définis de façon précise et complète et qu’il ne peut, dans ces conditions, être soutenu que le prononcé d’une sanction méconnaîtrait le principe de légalité des délits et des peines.
2) Sur la caractérisation du manquement à l’article L. 34-5 du CPCE
59. La formation restreinte relève qu’en l’espèce, les constatations réalisées par la délégation les 7 et 12 juin 2023 ont permis de mettre en évidence l’affichage, dans la boîte de réception du compte de messagerie électronique des utilisateurs du service » Mail Orange « , de messages publicitaires dont l’apparence se rapproche de véritables courriels.
60. Etaient en effet insérées, entre les courriels reçus, des entrées ne se distinguant des autres courriels que par une couleur de fond légèrement grisée (les courriels reçus apparaissant sur un fond blanc), une mention » annonce » apposée à droite (à la place de l’heure et du jour de réception), ainsi que par la présence d’une croix située du côté gauche et permettant de supprimer le message (à la place de la case à cocher permettant traditionnellement de sélectionner un courriel). La formation restreinte relève que le nom de l’expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et que l’objet des messages s’apparentait également à ceux des autres courriels. Un clic sur ces entrées entraînait l’ouverture, dans un nouvel onglet du navigateur, d’une page du site web de l’annonceur.
61. Afin de déterminer si l’affichage des annonces publicitaires en cause constituent une utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE, lu à la lumière de l’article 13 de la directive ePrivacy tel qu’interprété par la CJUE, la formation restreinte considère qu’il convient de vérifier, comme l’a fait la Cour dans son arrêt du 25 novembre 2021, » en premier lieu, si le type de communication utilisée à des fins de prospection directe figure parmi celles visées par ladite disposition ; en deuxième lieu, si une telle communication a pour finalité la prospection directe, et, en troisième lieu, si l’exigence d’obtenir un consentement préalable de la part de l’utilisateur a été respectée » (point 37).
a) Sur le moyen de communication utilisé
62. Premièrement, s’agissant du moyen de communication utilisé, il ressort de l’arrêt susvisé que les messages sur lesquels la CJUE s’est prononcée se présentaient comme » des entrées qui ne se distinguaient visuellement de la liste des autres courriels de l’utilisateur du compte que par le fait que la date était remplacée par la mention » Anzeige » (annonce), qu’aucun expéditeur n’était mentionné et que le texte apparaissait sur un fond gris. La rubrique » Objet » correspondant à cette entrée de liste contenait un texte destiné à la promotion de prix avantageux pour les services d’électricité et le gaz » (point 21).
63. La Cour a ainsi considéré que » si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, à savoir dans la rubrique dans laquelle l’ensemble des courriers électroniques adressés à l’utilisateur s’affichent, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58 » (point 44).
64. Il est souligné au sein de cet arrêt que » du point de vue du destinataire, ledit message publicitaire est affiché dans la boîte de réception de l’utilisateur de la messagerie électronique, à savoir dans un espace normalement réservé aux courriels privés. L’utilisateur ne peut libérer cet espace pour obtenir une vue d’ensemble de ses courriers électroniques exclusivement privés qu’après avoir vérifié le contenu de ce même message publicitaire et seulement après l’avoir supprimé activement. Si l’utilisateur clique sur un message publicitaire tel que celui en cause au principal, il est redirigé vers un site Internet contenant la publicité en question, au lieu de poursuivre la lecture de ses courriels privés (point 41). Ainsi, contrairement aux bannières publicitaires ou aux fenêtres contextuelles, qui apparaissent en marge de la liste des messages privés ou séparément de ceux-ci, l’apparition des messages publicitaires en cause au principal dans la liste des courriers électroniques privés de l’utilisateur entrave l’accès à ces courriers d’une manière analogue à celle utilisée pour les courriels non sollicités (appelés également » spam « ) dans la mesure où une telle démarche requiert la même prise de décision de la part de l’abonné en ce qui concerne le traitement de ces messages (point 42). Par ailleurs, […] dans la mesure où les messages publicitaires occupent des lignes de la boîte de réception qui sont normalement réservées aux courriels privés et en raison de leur ressemblance avec ces derniers, il existe un risque de confusion entre ces deux catégories de messages pouvant conduire l’utilisateur qui cliquerait sur la ligne correspondant au message publicitaire à être redirigé contre sa volonté vers un site Internet présentant la publicité en cause, au lieu de continuer la consultation de ses courriels privés » (point 43).
65. La formation restreinte relève qu’en l’espèce, les caractéristiques des messages publicitaires en cause dans le cadre de la présente procédure présentent de très fortes similitudes avec celles des messages examinés par la CJUE dans son arrêt (dans les deux cas : publicités insérées entre les courriels privés reçus par l’utilisateur, date remplacée par la mention » annonce « , texte de l’annonce apparaissant sur fond grisé, présence d’un texte destiné à la promotion d’un produit dans la rubrique » objet « , redirection de l’utilisateur qui clique sur le message vers le site de l’annonceur, risque de confusion compte tenu de l’emplacement des messages et de leur ressemblance avec de véritables courriels). Si de légères différences existent entre les messages examinés par la Cour et ceux affichés au sein de la boîte de réception des utilisateurs du service » Mail Orange « , la formation restreinte considère que celles-ci ne sont pas de nature à remettre en cause l’analyse qui doit en être faite. Ainsi, si le fait que l’expéditeur soit mentionné et qu’une croix (située à gauche, à la place de la case à cocher) permette de supprimer le message en cause sans qu’il soit nécessaire de l’ouvrir, il n’en reste pas moins que l’utilisateur, pour » libérer l’espace » et obtenir une vue d’ensemble de ses courriels privés, doit réaliser une démarche active en cliquant sur la croix. La CJUE a souligné à cet égard que l’apparition de tels messages entravait l’accès aux courriels privés de l’utilisateur, dans la mesure où leur suppression requérait, comme pour les courriers indésirables (ou » spams « ), une prise de décision de la part de la personne concernée.
66. La formation restreinte relève par ailleurs que l’argument de la société consistant à se prévaloir de l’absence de traitement de l’adresse de courrier électronique de l’utilisateur en tant que telle (la solution technique mise en place permettant, selon elle, de diffuser une publicité sans traiter de données à caractère personnel) ne saurait prospérer.
67. En effet, il ressort de l’arrêt de la CJUE que, peu importe que les annonces en cause ne constituent pas, d’un point de vue technique, de véritables courriels – c’est-à-dire des messages envoyés par un utilisateur à un autre utilisateur en utilisant son adresse électronique –, leur seul affichage dans un espace normalement spécifiquement réservé aux courriels privés suffit à considérer que ces messages sont communiqués au moyen de la boîte aux lettres électronique des personnes concernées, et donc de leur courrier électronique. La formation restreinte renvoie à cet égard aux points 27 à 44 de la présente délibération, ni l’article L. 34-5 du CPCE ni l’article 13 de la directive ePrivacy n’exigeant la caractérisation d’un traitement de données à caractère personnel pour s’appliquer.
68. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le premier critère défini par la CJUE est rempli, les messages en cause ayant bien été diffusés aux utilisateurs du service » Mail Orange » au moyen de leur boîte de réception, ce qui implique l’utilisation de leur courrier électronique.
b) Sur la finalité des communications visées
69. Deuxièmement, pour déterminer si les messages en cause ont bien pour finalité la prospection directe, la Cour a précisé qu’il convenait de vérifier si de telles communications poursuivent un but commercial et s’adressent directement et individuellement au consommateur (point 47).
70. En l’espèce, la formation restreinte relève qu’à l’instar de l’affaire examinée par la CJUE, les messages affichés dans la boîte de réception des utilisateurs du service » Mail Orange « , en ce qu’ils visent la promotion de produits ou services proposés par des annonceurs tiers, poursuivent bien un but commercial.
71. En outre, ces messages s’adressent directement et individuellement aux utilisateurs, en ce qu’ils apparaissent dans leur boîte de messagerie électronique, à laquelle ils n’obtiennent l’accès qu’après s’être authentifiés à l’aide de leur identifiant et de leur mot de passe.
72. Dans ces conditions, la formation restreinte considère que les annonces publicitaires insérées entre les courriels reçus caractérisent une utilisation de courrier électronique à des fins de prospection directe.
c) Sur l’absence de recueil du consentement
73. Troisièmement, la formation restreinte rappelle que l’organisme souhaitant procéder à de telles opérations de prospection est tenu de recueillir le consentement libre, spécifique et informé des personnes concernées, en application de l’article L. 34-5 du CPCE.
74. Or, il ressort des constatations réalisées par la délégation que le consentement de l’utilisateur à voir s’afficher des publicités au sein de la boîte de réception de sa messagerie électronique n’était à aucun moment recueilli – ni au moment de la création du compte, ni au moment de la connexion audit compte, par exemple par l’intermédiaire d’une case à cocher ou d’un bouton poussoir – et qu’en outre, les réglages du compte de messagerie ne permettaient pas de s’opposer à cet affichage. Ce point n’est pas contesté par la société.
75. La formation restreinte entend souligner que, conformément aux développements des points 45 à 50 de la présente délibération, il appartenait à la société ORANGE de ne pas afficher de messages publicitaires tels que ceux en cause sans que le consentement des utilisateurs ait été recueilli préalablement. Il apparait en effet que, si ces messages ont pour objet de promouvoir les produits et services commercialisés par des annonceurs tiers, la société ORANGE a la maîtrise de l’affichage de ces publicités, dans la mesure où elle met à disposition des annonceurs susvisés des emplacements dédiés, qu’elle a préalablement déterminés, au sein de la boîte de messagerie des utilisateurs de son propre service » Mail Orange « . Elle a à cet égard fourni des éléments dans le cadre de l’instruction démontrant que c’est par l’intermédiaire du » Tag Management System » (TMS) d’ORANGE que l’affichage de ces publicités était géré. Dès lors, ainsi qu’il a été rappelé ci-dessus, la société ne devait pas, au même titre que les annonceurs, procéder aux opérations de prospection visées sans que le consentement des utilisateurs ait été recueilli.
76. Il ressort de l’ensemble de ces éléments qu’en procédant à l’affichage, dans la boîte de réception des utilisateurs de son service de messagerie électronique » Mail Orange « , de messages publicitaires insérés entre les courriels reçus, sans recueillir le consentement préalable desdits utilisateurs, la société a commis un manquement à l’article L. 34-5 du CPCE.
3) Sur la mise en conformité de la société
77. Dans le cadre de ses premières observations en réponse au rapport de sanction, la société a précisé avoir décidé d’abandonner le format d’affichage de publicités entre les courriels dès le mois de novembre 2023. Elle produit un courrier adressé à la CNIL le 22 septembre 2023, au sein duquel elle fait part de sa volonté de faire évoluer ses formats de publicité au sein de son service » Mail Orange « . La société indique que, conformément à cet engagement, elle a cessé de recourir à l’affichage d’annonces publicitaires entre les courriels des utilisateurs, à compter du 2 novembre 2023 s’agissant de la messagerie accessible depuis un navigateur web et, pour les utilisateurs de l’application » Mail Orange « , après une mise à jour, soit des utilisateurs eux-mêmes, soit imposée le 30 novembre 2023.
78. La société précise avoir développé un nouveau format d’affichage dit » sticky « , permettant selon elle une différenciation nette et non équivoque des courriers électroniques reçus et des annonces publicitaires.
79. La formation restreinte relève qu’il ressort des éléments fournis par la société que les messages publicitaires diffusés aux utilisateurs du service » Mail Orange » apparaissent, depuis novembre 2023, non plus entre les courriels reçus mais au sein d’une bannière distincte et fixe figurant au pied de la boîte de réception des utilisateurs, en marge de la liste des courriels et séparément de ceux-ci. Elle considère que ce nouveau format d’affichage permet de distinguer clairement ces annonces des autres courriers électroniques reçus et que, dès lors, la pratique en cause ne peut plus être qualifiée d’utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE.
80. La formation restreinte prend acte de la mise en conformité de la société sur ce point et rappelle que le manquement à l’article L. 34-5 du CPCE apparait caractérisé pour le passé.
B. Sur le manquement à l’obligation d’informer les personnes concernées et d’obtenir leur consentement avant d’inscrire des informations (cookies) sur leur terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies) en application de l’article 82 de la loi Informatique et Libertés
81. Les règles régissant l’utilisation, par un service de communications électroniques, des cookies et autres traceurs sur les équipements terminaux utilisés dans l’Union européenne sont fixées à l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du 25 novembre 2009.
82. Ces règles ont été transposées en droit français à l’article 32, paragraphe II, de la loi Informatique et Libertés, devenu l’article 82 depuis la réécriture de cette loi par l’ordonnance n° 2018-1125 du 12 décembre 2018. Celui-ci prévoit que : » Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur « .
83. La rapporteure relève qu’il ressort des constatations réalisées par la délégation sur le site web orange.fr que plusieurs dizaines de cookies, pourtant soumis au consentement de l’utilisateur, ont continué à être envoyés à travers des requêtes vers les domaines auxquels ils sont associés – autrement dit, ont continué à être lus – après retrait dudit consentement. Elle considère que de telles opérations de lecture constituent un manquement aux dispositions de l’article 82 susvisé.
84. En défense, la société ne conteste pas que des cookies continuent à être lus après retrait du consentement. Néanmoins, elle soutient qu’aucun texte ni aucune jurisprudence ne précise clairement les modalités de prise en compte de retrait du consentement, ni n’impose d’obligation explicite de cesser toute opération de lecture. Elle indique ainsi que, dans la mesure où, selon elle, ces cookies ne font plus l’objet d’aucune exploitation après ledit retrait (aucun préjudice n’étant dès lors caractérisé pour l’utilisateur), elle a cru de bonne foi se conformer aux règles en vigueur.
85. Elle met par ailleurs en avant les contraintes techniques liées à la prise en compte du retrait du consentement, en particulier s’agissant des domaines tiers. Elle indique que ses partenaires proposent peu de solutions permettant de s’assurer de la bonne gestion du retrait du consentement et qu’il s’agit d’une pratique de marché généralisée.
86. Elle regrette en tout état de cause le manque d’accompagnement de la CNIL s’agissant des actions à mettre en place après retrait du consentement. Elle s’engage néanmoins à prendre des mesures correctives permettant d’empêcher la lecture des cookies après le retrait du consentement.
87. La formation restreinte rappelle que la loi Informatique et Libertés prévoit expressément que, dès lors qu’elles n’entrent pas dans le champ des exceptions mentionnées aux deux derniers alinéas de l’article 82, les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ne peuvent avoir lieu qu’après que ce dernier a exprimé son consentement.
88. Ces dispositions, telles qu’interprétées de manière constante par la Commission depuis sa recommandation relative aux cookies et autres traceurs du 5 décembre 2013 (délibération no 2013-378) et, en tout dernier lieu, dans sa recommandation du 17 septembre 2020 (délibération n°2020-092 du 17 septembre 2020), impliquent non seulement que les personnes concernées donnent leur consentement à l’accès ou à l’inscription d’informations dans leur terminal, mais également que celles ayant donné leur consentement soient en mesure de le retirer de manière simple et à tout moment.
89. Dans une décision du 29 décembre 2023, la formation restreinte a ainsi expressément rappelé que, » si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal » (CNIL, FR, 29 décembre 2023, Sanction, SAN-2023-024, publié).
90. En l’espèce, la formation restreinte observe que la société ORANGE a bien mis en place une interface permettant aux utilisateurs de retirer leur consentement à l’inscription et à la lecture de cookies sur leur terminal. Il ressort néanmoins des procès-verbaux dressés par la délégation qu’après retrait de ce consentement, des cookies pourtant soumis audit consentement – tels que des cookies publicitaires ou des cookies statistiques – continuent à être lus. La formation restreinte relève que, par ces opérations de lecture, les valeurs des cookies ne restent pas bornées au terminal de l’utilisateur mais sont transportées jusqu’aux serveurs du système d’information de la société ORANGE et de ses partenaires qui exploitent les domaines tiers précités. Leur maîtrise échappe alors d’une part à l’internaute, qui a pourtant retiré son consentement pour ces accès, et échappe d’autre part à la société ORANGE qui ne peut garantir, s’agissant des domaines tiers, les opérations réalisées par ses partenaires à partir des informations lues sur le terminal du visiteur de son site web.
91. La formation restreinte rappelle que ces opérations de lecture sont, en tant que telles, expressément prohibées par l’article 82 de la loi Informatique et Libertés, en l’absence de consentement de la personne concernée. Celui-ci vise en effet » toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans [un] équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement « . Il prévoit que » ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement « .
92. Ainsi, le terme » accès » renvoie bien à une opération de lecture des » informations déjà stockées » – autrement dit, des cookies déjà déposés et leurs valeurs –, laquelle diffère de l’autre opération visée consistant à » inscrire » des informations, c’est-à-dire à procéder à des opérations d’écriture – autrement dit, à déposer des cookies. La formation restreinte note à cet égard que l’intitulé même des lignes directrices adoptées par la CNIL le 17 septembre 2020 fait expressément référence » aux opérations de lecture et écriture dans le terminal d’un utilisateur » (délibération n° 2020-091).
93. Il apparait dès lors que le seul fait de lire des cookies soumis au consentement de la personne concernée, sans disposer d’un tel consentement (que ce consentement n’ait jamais été donné ou qu’il ait été retiré), suffit à entrer dans le périmètre de l’interdiction posée à l’article 82 de la loi Informatique et Libertés, indépendamment de l’éventuelle exploitation ultérieure de ces cookies.
94. A cet égard, la formation restreinte entend rappeler que les règles régissant l’utilisation des cookies et autres traceurs permettent de protéger la vie privée des utilisateurs, en garantissant notamment l’intégrité de leur terminal, les informations stockées ou consultées dans ce cadre ne constituant pas nécessairement des données à caractère personnel (CJUE, grande chambre, 1er octobre 2019, Planet49 GmbH, C-673/17). Doivent ainsi être distingués, d’une part, les opérations consistant à déposer et à lire un cookie sur le terminal de l’utilisateur (ces opérations étant soumises à l’article 82 de la loi Informatique et Libertés) et, d’autre part, l’utilisation ultérieure qui est faite des données générées par ces cookies, généralement désignée sous l’expression » traitements subséquents » (et soumise aux dispositions du RGPD) (CNIL, FR, 31 décembre 2021, Sanction, n° SAN-2021-023, publié ; CNIL, FR, 31 décembre 2021, Sanction, n° SAN-2021-023, publié ; CNIL, FR, 29 décembre 2022, Sanction, n° SAN-2022-025, publié).
95. Dans ces conditions, le fait que la société exploite ou n’exploite pas les informations collectées par les témoins de connexion est sans incidence sur la caractérisation du manquement à l’article 82 de la loi Informatique et Libertés.
96. En outre, la formation restreinte note que, si la société affirme que les cookies en cause n’ont fait l’objet d’aucune exploitation, cette affirmation, qui n’est pas démontrée matériellement, ne peut ni être tenue pour acquise – les cookies lus étant toujours théoriquement exploitables dans la mesure où des requêtes à destination des domaines d’ORANGE et de ses partenaires sont envoyées et contiennent bien des cookies –, ni être contredite. Il ne sera dès lors tenu compte, ni dans la caractérisation du manquement, ni dans l’appréciation de la sanction, du sort réservé aux informations collectées à partir des cookies restant lus.
97. S’agissant des modalités techniques permettant d’assurer l’effectivité du retrait du consentement, la formation restreinte relève que la CNIL a pris soin de préciser, dans sa recommandation du 17 septembre 2020, que » pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés « . Ces solutions peuvent par exemple consister à modifier la durée de vie des cookies pour indiquer qu’ils sont expirés (en renvoyant dans une réponse http un en-tête » set cookie » appropriée spécifiant une date d’expiration dans le passé), ce qui entraînera leur suppression par le navigateur, ou encore, s’agissant des cookies ne disposant pas de l’attribut » httpOnly « , à assurer leur suppression à l’aide d’un script exécuté localement sur le terminal, via l’utilisation des interfaces de programmation d’application » cookies » des navigateurs web.
98. Concernant les cookies liés au domaine » .orange.fr « , la formation restreinte note que la société ORANGE maîtrise l’ensemble des opérations réalisées et qu’elle a d’ailleurs précisé à cet égard avoir pour projet de faire évoluer son script » cookie monster » afin de faire en sorte qu’aucun cookie soumis au consentement ne soit plus lu après retrait dudit consentement. Ainsi, dans la mesure où une grande partie des cookies restant lus sont liés au domaine « .orange.fr » ou à ses sous-domaines, la formation restreinte relève que la société ne peut se retrancher derrière la complexité technique résultant de l’absence de solution proposée par ses partenaires pour justifier le manquement relevé.
99. Concernant les cookies déposés par des tiers, la formation restreinte rappelle que, selon le Conseil d’Etat, » les éditeurs de site qui autorisent le dépôt et l’utilisation […] » cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le » cookie « , notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des » cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements » (CE, 10ème et 9ème CR, 6 juin 2018, n° 412589, Rec.). Ainsi, même si la société ORANGE n’avait pas la possibilité d’assurer elle-même la suppression des cookies tiers, il lui appartenait d’effectuer les vérifications nécessaires et de prendre les mesures adéquates auprès de ses partenaires pour faire cesser le manquement. La formation restreinte prend acte qu’elle s’est engagée à mettre en œuvre de telles mesures pour l’avenir.
100. Il résulte de ce qui précède qu’en continuant à réaliser, sur le terminal de l’utilisateur, des opérations de lecture soumises au consentement de l’intéressé, malgré le retrait dudit consentement, la société a commis un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés.
101. En marge de la caractérisation du manquement susvisé, la formation restreinte relève que, dans le cadre de ses observations écrites, la société a évoqué des » domaines mixtes « , » portant sur des cookies consentis et non consentis « , et indiqué que ses partenaires réalisaient » des opérations de publicité ne nécessitant pas le consentement « . A cet égard, la formation restreinte entend rappeler que tous les cookies poursuivant une finalité publicitaire sont soumis au consentement de la personne concernée, seuls les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou étant strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur étant exemptés d’un tel consentement. Ainsi, un même cookie qui poursuivrait deux finalités distinctes, dont l’une seulement entrerait dans le périmètre des exemptions susvisées – l’autre étant, par exemple, une finalité publicitaire –, ne pourrait bénéficier des dispositions des deux derniers alinéas de l’article 82 de la loi Informatique et Libertés. Dans un tel cas de figure, il appartiendrait à la société soit de recueillir le consentement préalable des utilisateurs au dépôt et à la lecture d’un tel cookie, soit de mettre en œuvre deux cookies différents, dont l’un serait exempté du recueil du consentement et l’autre non (CNIL, FR, 19 décembre 2022, Sanction, n° SAN-2022-023, publié).
III. SUR LES MESURES CORRECTRICES ET LEUR PUBLICITÉ
102. Aux termes de l’article 20-IV de la loi n° 78-17 du 6 janvier 1978 modifiée, » lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans les cas où le traitement est mis en œuvre par l’Etat, d’une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ;
7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 « .
103. L’article 83 du RGPD prévoit en outre que » chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives « , avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.
104. Enfin, l’article 22, alinéa 2 de la loi Informatique et Libertés dispose que » la formation restreinte peut rendre publique les mesures qu’elle prend « .
105. La rapporteure propose à la formation restreinte de prononcer à l’encontre de la société une amende administrative au regard des manquements constitués aux articles L. 34-5 du CPCE et 82 de la loi Informatique et Libertés. Elle estime également que le prononcé d’une injonction sous astreinte est nécessaire afin d’assurer la mise en conformité de la société en matière de cookies. Elle propose enfin que la délibération de la formation restreinte soit rendue publique.
106. En défense, la société fait tout d’abord valoir l’absence de cadre juridique clair s’agissant des deux manquements relevés, lesquels ne reposent, selon elle, sur aucune obligation légale claire et précise. Elle estime dès lors que le prononcé d’une sanction caractériserait une violation du principe de légalité des délits et des peines.
107. Elle soutient ensuite que le montant de l’amende proposé par la rapporteure apparait disproportionné, excessif et injustifié et témoigne d’une erreur manifeste d’appréciation. Elle insiste sur la cessation quasi-immédiate de la pratique d’affichage des annonces entre les courriels, ainsi que sur l’absence d’exploitation des cookies lus après retrait du consentement, soulignant l’absence de préjudice des personnes concernées. Elle considère que la proposition de la rapporteure reviendrait à sanctionner la société ORANGE au nom et pour le compte de l’ensemble des acteurs du marché, ce qui apparait contraire au principe d’individualisation des peines. Elle met en avant sa parfaite coopération avec les services de la CNIL et soutient n’avoir commis aucune violation de manière délibérée.
108. Elle estime dans ces conditions qu’un rappel à l’ordre, une mise en demeure ou un avertissement public aurait pu constituer une mesure correctrice efficace et adéquate.
109. Dans l’hypothèse où la formation restreinte déciderait du prononcé d’une amende, la société considère que le montant proposé par la rapporteure doit faire l’objet, a minima, d’une baisse significative. S’agissant de cette proposition, elle estime ne pas avoir été mise en mesure de se défendre raisonnablement et convenablement – et qu’il existe ainsi une atteinte aux droits de la défense –, en l’absence de distinction des peines relatives à chacun des manquements.
110. La société apporte également des précisions concernant son chiffre d’affaires 2023, annoncé à 44,1 milliards d’euros et s’élevant selon elle, in fine, à 39,7 milliards d’euros. Elle estime en tout état de cause que, dans la mesure où les faits reprochés concernent le territoire français, le chiffre d’affaires de référence devrait être celui de la société ORANGE SA en France, soit 17,73 milliards pour 2023. Elle fait en outre état de la disproportion du montant de l’amende proposé au regard du chiffre d’affaires de l’activité de régie publicitaire d’ORANGE, lequel se limite à 58,9 millions d’euros en 2023.
111. S’agissant de l’injonction sous astreinte, la société s’engage à mettre en conformité ses pratiques avec les exigences de l’article 82 de la loi Informatique et Libertés et sollicite pour ce faire de pouvoir disposer d’un délai de trois mois. Elle précise néanmoins que, dans la mesure où elle a déjà mis en œuvre des mesures correctives depuis le 9 septembre 2024, une telle injonction est susceptible d’apparaître sans objet.
112. Enfin, la société ne s’oppose pas à la publicité de la sanction.
113. A titre liminaire, s’agissant du cadre juridique applicable tant aux publicités insérées entre les courriels qu’aux cookies après retrait du consentement, la formation restreinte considère que les textes sur lesquels elle se fonde pour caractériser les manquements reprochés définissent de manière suffisamment claire et précise les éléments constitutifs de ces infractions. Elle renvoie à cet égard aux points 27 à 58 de la présente délibération, s’agissant du manquement à l’article L. 34-5 du CPCE, ainsi qu’à l’ensemble des développements du II, B), relatifs au manquement à l’article 82 de la loi Informatique et Libertés.
A. Sur le prononcé d’une amende administrative et son montant
114. Il convient tout d’abord de rappeler que l’exigence de motivation d’une sanction administrative n’impose ni à la formation restreinte, ni à la rapporteure de se prononcer sur l’ensemble des critères prévus à l’article 83 du RGPD, et qu’elle n’implique pas non plus que soient indiqués les éléments chiffrés relatifs au mode de détermination du montant de la sanction proposée ou prononcée (CE, 10e/9e, 19 juin 2020, n° 430810 ; CE, 10e/9e, 14 mai 2024, n° 472221).
115. La formation restreinte considère qu’en l’espèce, la rapporteure a fait apparaître de façon claire et détaillée les éléments lui ayant permis d’apprécier la gravité des manquements retenus. Dès lors, la société ayant eu connaissance de ces éléments, aucune atteinte aux droits de la défense n’apparait constituée.
116. Ceci étant rappelé, la formation restreinte considère qu’il convient, en l’espèce, d’examiner les critères pertinents de l’article 83 du RGPD pour décider s’il y a lieu d’imposer une amende administrative à la société et, le cas échéant, pour déterminer son montant.
1) Sur le prononcé de l’amende
117. Premièrement, la formation restreinte considère qu’il y a lieu de tenir compte, en application de l’article 83, paragraphe 2, a) du RGPD, de la nature, de la gravité et de la durée des violations, compte tenu de la nature, de la portée ou de la finalité des traitements concernés, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi.
118. S’agissant tout d’abord du manquement à l’article L. 34-5 du CPCE, la formation restreinte entend souligner sa particulière gravité, notamment au regard du caractère intrusif de la pratique en cause ainsi que du nombre de personnes concernées. Il convient ainsi de rappeler que les règles posées par la directive ePrivacy en matière de prospection commerciale par voie électronique, transposées à l’article L. 34-5 du CPCE, ont pour objet de protéger la vie privée des utilisateurs ou abonnés s’agissant des communications non sollicitées. Si la société conteste le caractère intrusif des annonces publicitaires en cause, la formation restreinte relève qu’il ressort des constatations réalisées par la délégation que plusieurs messages de ce type pouvaient être affichés en même temps dans la boîte de réception des utilisateurs, au milieu de leurs courriels privés, sans qu’ils y aient consenti. Une telle pratique, qui consiste à utiliser la confiance de l’abonné dans le service utilisé, correspond très précisément à une intrusion, laquelle peut être définie comme » le fait de s’introduire de façon inopportune dans un groupe, au milieu, sans y être invité » (source : Larousse).
119. La formation restreinte relève en outre que ce manquement concerne un nombre particulièrement important de personnes. Si les 25,7 millions de comptes de messagerie attribués à des particuliers enregistrés dans les systèmes de la société ne sont pas tous utilisés – la société indiquant que seuls 7,89 millions de comptes seraient concernés –, il convient de souligner que ce chiffre reste très élevé et que, faute de pouvoir refuser leur affichage, l’ensemble des personnes accédant au service » Mail Orange » à partir d’un navigateur ou de l’application Orange ont nécessairement été confrontées aux publicités en cause.
120. S’agissant du manquement à l’article 82 de la loi Informatique et Libertés, la formation restreinte relève également sa particulière gravité dans la mesure où, en continuant à lire des cookies sur le terminal de l’utilisateur – permettant le traçage de sa navigation –, alors même que celui-ci a retiré son consentement, la société va à l’encontre du choix exprimé par ledit utilisateur, lequel pense légitimement que celui-ci a été pris en compte et ne peut ainsi supposer que la société et ses partenaires continuent à accéder à des informations stockées dans son terminal.
121. La formation restreinte note que toute personne visitant le site web orange.fr – les données publiquement disponibles faisant état de près de 23,5 millions de visiteurs uniques par mois – doit pouvoir, non seulement accepter ou refuser le dépôt et la lecture de cookies sur son terminal, mais également retirer, le cas échéant, le consentement donné, et voir cette décision respectée et pleinement effective. Si, en pratique, le nombre d’utilisateurs retirant leur consentement s’élève, selon la société, à quelques centaines par jour – environ 700 selon les chiffres transmis dans le cadre du contradictoire –, la formation restreinte relève, d’une part, que ce chiffre apparait dans l’absolu particulièrement élevé et qu’il correspond à plus de 250 000 personnes par an et que, d’autre part, c’est bien la pratique mise en œuvre par la société, laquelle ne permet pas d’assurer l’effectivité du retrait du consentement, qui est ici en cause. Il ne s’agit dès lors pas de sanctionner, comme le prétend la société, un manquement potentiel, mais bien une pratique généralisée susceptible d’affecter un nombre très important de personnes.
122. Deuxièmement, la formation restreinte estime qu’il convient de tenir compte du critère prévu à l’article 83, paragraphe 2, b) du RGPD, relatif au fait que la violation ait été commise délibérément ou par négligence.
123. Ainsi qu’il a déjà été rappelé, la formation restreinte souligne que les règles relatives à la prospection commerciale par voie électronique, tout comme celles applicables aux cookies et autres traceurs, sont définies depuis de nombreuses années et que l’arrêt de la CJUE, dont les termes sont particulièrement clairs, a été rendu près de deux ans avant les opérations de contrôle. La société aurait dès lors dû, compte tenu notamment de sa position sur le marché et des moyens dont elle dispose, se montrer particulièrement vigilante à cet égard. Ainsi, en s’affranchissant du respect de ces règles, la formation restreinte considère que la société s’est montrée, à tout le moins, fortement négligente.
124. Troisièmement, la formation restreinte considère que le critère relatif aux mesures prises par le responsable de traitement pour atténuer le dommage subi par les personnes concernées doit également être pris en compte, en application de l’article 83, paragraphe 2, c) du RGPD.
125. Il apparait en effet que, sans attendre l’ouverture de la procédure de sanction, la société a pris des mesures pour mettre en conformité ses pratiques avec les dispositions de l’article L. 34-5 du CPCE, en cessant de procéder à l’affichage de messages publicitaires entre les courriels reçus dès novembre 2023.
126. Si cet élément doit être pris en considération, la formation restreinte relève néanmoins que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière parfaitement autonome.
127. Quatrièmement, la formation restreinte entend tenir compte de certaines autres circonstances applicable aux faits de l’espèce, en application de l’article 83, paragraphe 2, k) du RGPD.
128. La formation restreinte considère notamment que la société a tiré des violations commises un avantage financier certain. Ainsi, s’agissant du manquement à l’article L. 34-5 du CPCE, si, comme l’a souligné la rapporteure, la publicité n’est pas au cœur des activités de la société et que les revenus qu’elle génère ne constituent qu’une petite partie de son chiffre d’affaires, il apparait néanmoins qu’elle poursuit des activités de régie publicitaire sous l’appellation » Orange Advertising « , consistant à monnayer certains espaces de son site web auprès d’annonceurs. La société se prévaut à cet égard, sur le site orangeadvertising.fr, de 6,5 millions de vues par jour sur la page d’accueil du site, le service » Mail Orange » et la page » Orange Actu « . La société a en outre précisé que le fait de n’avoir pu afficher aucune publicité dans la boîte de réception des utilisateurs se connectant à leur messagerie depuis un navigateur entre le 2 novembre 2023 – date à laquelle elle a cessé l’affichage de publicités entre les courriels – et le 30 janvier 2024 – date de mise en place de son nouveau format de publicité, avait entraîné une perte de chiffre d’affaires qu’elle évalue à un million d’euros. L’avantage financier tiré de la violation commise doit dès lors être pris en compte, à titre de circonstance aggravante.
129. Par ailleurs, de manière plus générale, la formation restreinte considère que compte tenu de la position de la société sur le marché – celle-ci occupant la première place dans le domaine des télécommunications en France, mobilisant près de 40% de part de marché concernant l’offre Internet et 34% concernant l’offre mobile – ainsi que des moyens humains, techniques et financiers dont elle dispose, celle-ci se doit de faire preuve d’une particulière rigueur en matière de protection des données à caractère personnel.
130. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le prononcé d’une amende apparait justifié.
2) Sur le montant de l’amende
131. La formation restreinte relève d’abord qu’en application de l’article 20-IV de la loi Informatique et Libertés, les manquements constatés sont susceptibles de faire l’objet d’une amende administrative pouvant atteindre 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
132. La formation restreinte rappelle ensuite que les amendes administratives doivent être à la fois dissuasives et proportionnées.
133. En premier lieu, s’agissant du calcul de l’assiette de l’amende – que la société entend voir limiter à la seule part de son chiffre d’affaires réalisé en France, la formation restreinte relève que l’article 20 de la loi Informatique et Libertés renvoie aux dispositions de l’article 83 du RGPD, lesquelles se réfèrent, pour déterminer le montant de la sanction encourue, à la notion d’entreprise. La CJUE a, à cet égard, eu l’occasion de rappeler que le chiffre d’affaires à prendre en compte pour déterminer ce montant est le chiffre d’affaire mondial de l’entreprise en cause, au sens du droit de la concurrence (CJUE, grande chambre, 5 décembre 2023, Deutsche Wohnen, C-807/21). Par ailleurs, le Conseil d’Etat a récemment rappelé que, si la sanction doit être proportionnée, la circonstance selon laquelle elle serait excessive au regard du chiffre d’affaires réalisé en France, ou même qu’elle priverait le responsable de traitement de l’intégralité de ses revenus générés auprès des utilisateurs français est par elle-même sans incidence sur sa légalité (CE, 10ème et 9ème CR, 14 mai 2024, n° 472221, inédit). Ainsi, l’entreprise mise en cause étant la société ORANGE SA – ce que celle-ci ne conteste pas –, la formation restreinte considère qu’il y a eu de retenir, pour servir de base au calcul du maximum de l’amende encourue, le chiffre d’affaires mondial de cette société, nonobstant le périmètre géographique des manquements.
134. En second lieu, la formation restreinte relève que le chiffre d’affaires de la société pour l’année 2023, tel qu’il ressort des comptes consolidés transmis dans le cadre du contradictoire, s’élève à 44,1 milliards d’euros, pour un résultat net de 2,9 milliards d’euros. Si la société estime qu’il y a lieu d’y soustraire le chiffre d’affaires ORANGE Espagne, en raison de la création d’une co-entreprise avec la société MASMOVIL (le chiffre d’affaires à prendre en considération s’élevant en réalité, selon elle, à 39,7 milliards d’euros), la formation restreinte entend au contraire retenir le chiffre figurant dans les comptes consolidés de la société et dans sa communication financière et qui s’élève à 44,1 milliards d’euros.
135. La formation restreinte note qu’en tout état de cause, ces montants restant relativement proches, la variation dont se prévaut la société a une incidence non significative sur la détermination du montant de l’amende.
136. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83 du RGPD, la formation considère qu’une amende administrative d’un montant de cinquante millions d’euros apparait dissuasive et proportionnée.
B. Sur le prononcé d’une injonction sous astreinte
137. Bien que la société ait indiqué qu’elle allait déployer, à compter du 9 septembre 2024, des mesures permettant de remédier au manquement à l’article 82 de la loi Informatique et Libertés, la formation restreinte relève qu’au jour de la séance, elle n’a pas justifié de l’évolution de ses pratiques.
138. Elle considère ainsi qu’afin de s’assurer de la mise en conformité de la société sur ce point, le prononcé d’une injonction apparait nécessaire.
139. Par ailleurs, pour garantir le respect de cette injonction, la formation restreinte considère qu’au regard du chiffre d’affaires de la société et des moyens financiers, humains et techniques dont elle dispose pour remédier aux manquements constatés, il convient de prononcer une astreinte journalière d’un montant de cent mille (100 000) euros par jour de retard, liquidable à l’issue d’un délai de trois (3) mois à compter de la notification de la décision.
C. Sur la publicité de la sanction
140. La formation restreinte considère qu’une telle mesure se justifie au regard de la gravité des manquements en cause, de la position de la société sur le marché ainsi que du nombre de personnes concernées, lesquelles se doivent d’être informées.
141. Elle estime en outre que cette mesure apparait proportionnée dès lors que la décision n’identifiera plus nommément la société à l’issue d’un délai de deux ans à compter de sa publication.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer une amende administrative à l’encontre de la société ORANGE SA d’un montant de cinquante millions (50 000 000) d’euros pour manquements aux articles L. 34-5 du code des postes et des communications électroniques et 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
• prononcer à l’encontre de la société ORANGE SA une injonction de mettre en œuvre des mesures permettant d’assurer le caractère effectif du retrait du consentement des utilisateurs aux opérations de lecture et/ou d’écriture d’informations sur leur terminal ;
• assortir l’injonction d’une astreinte de cent mille (100 000) euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;
• rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.
Le président
Philippe-Pierre CABOURDIN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.
