La Commission nationale de l’informatique et des libertés (CNIL) a révélé au public, le 18 janvier 2024, avoir condamné la société YAHOO EMEA LIMITED a une amende de dix millions (10.000.000) d’euros suite à sa saisine par vingt-sept plaignants. Ces derniers dénonçaient le dépôt de cookies sur leur terminal avant toute action, la non-prise en compte de leur refus au dépôt de ces cookies ainsi que les modalités de refus de ces derniers à partir du domaine « yahoo.com » et du service messagerie « Yahoo Mail » entre juin 2019 et octobre 2020. La décision SAN-2023-024 rendue le 29 décembre 2023 s’inscrit dans le cadre de l’accomplissement par la Commission de l’une de ses missions qui est de contrôler et sanctionner les organismes non conformes au RGPD et à la loi informatique et Libertés.

I. Les fondements juridiques de la sanction

A. La loi informatique et Libertés

La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés en son article 82 dispose que : « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
- De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

-Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

Cet article résultant de la transposition de l’article 5 de la directive « vie privée et communication électronique » exige que soit recueilli, avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement d’un abonné ou d’un utilisateur, le consentement de celui-ci.

B. Le Règlement Général sur la Protection des Données

Le RGPG applicable depuis le 25 mai 2018 vient compléter les dispositions de la loi Informatique et Libertés en définissant, en son article 4, le consentement comme « Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

Bien que la notion de consentement existait déjà dans la loi Informatique et Libertés, le RGPD vient la renforcer en complétant sa définition. A ces textes viennent s’ajouter les dispositions de l’alinéa 3 de l’article 7 du même règlement qui dispose que « La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. »


II. Les manquements de la société

A. Le dépôt de cookies sans accord

Les internautes reprochent à la société YAHOO la non-prise en compte du refus des cookies déposés sur leur terminal. Ce fait a pu être vérifié lors des contrôles en ligne effectués par la CNIL sur le site web «Yahoo.com» et la messagerie électronique "Yahoo Mail". En effet, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a constaté, lors de ses contrôles, le dépôt sur son terminal de plusieurs cookies dont une vingtaine poursuivant une finalité nécessitant que l’utilisateur ait préalablement donné son consentement. Or, elle n’avait effectué aucune action pour donner son consentement à l’inscription de ces cookies. Notons qu’un cookie est un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone etc.) d’un utilisateur et associé à un domaine web. Il peut servir à mémoriser l’identifiant d’un client auprès d’un site marchand, le contenu courant de votre panier d’achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires etc. On comprend donc pourquoi le consentement de l’utilisateur est requis. Bien que la société ait contesté cela, la CNIL a estimé qu’elle a manqué à ses obligations au titre de l’article 82 de la loi Informatique et Libertés du moment où des cookies à vocation publicitaire ne peuvent être déposés sans le consentement exprès de l’utilisateur.

B. L’ entrave au retrait de consentement par les utilisateurs

Il est aussi reproché à YAHOO de faire obstacle au retrait, par les utilisateurs, de leur consentement aux cookies. En effet, lorsqu’un utilisateur demande à retirer son consentement au dépôt de cookies, les messages affichés par la société dans le cadre du retrait de consentement l’incitent à ne pas retirer celui-ci sous peine de perdre définitivement l’accès à sa messagerie électrique Yahoo mail". Pourtant, l’article 82 de la loi Informatique et Libertés en conditionnant le dépôt de cookies au consentement de l’utilisateur offre, de manière corrélative, le droit à l’intéressé de retirer son consentement, lui permettant ainsi de revenir sur son choix. De plus, selon l’article 4 du RGPD, le consentement doit être libre, spécifique, éclairé et univoque. A propos du caractère libre du consentement, le considérant 42 du même Règlement précise que «Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.» Or, en l’espèce, le retrait du consentement par l’utilisateur n’est pas sans préjudice vu qu’il n’aura plus accès au service de messagerie une fois qu’il l’aura retiré. La formation restreinte relève que la messagerie constitue pour l’utilisateur, un élément de sa vie privée, familiale, éventuellement professionnelle, et ne peut être facilement remplacé. Les utilisateurs ne souhaitant pas changer d’adresse électronique sont alors obligés de renoncer au retrait de leur consentement puisque la société ne propose aucune alternative.

Cette décision de la CNIL, qui suit celle de la condamnation de Microsoft à une amende de 60 millions d’euros et Tik Tok à 5 millions d’euros, vient renforcer davantage le droit à la protection des données personnelles.