La sanction de Yahoo! (1/2) : ⚖️ la compétence de la CNIL

〽️ Cela devient une sorte de tradition : depuis 2020, tous les mois de décembre, la formation restreinte de la CNIL prononce une série de sanctions publiques. Le mois de décembre 2023 s’est bien inscrit dans cette tendance. Ont été prononcées : la sanction du ministère de l’Intérieur et des Outre-mer et du ministère de l’Europe et des Affaires étrangères, ainsi que celles de Tagadamedia, de la commune de Kourou, d’Amazon France Logistique, de NS Cards France et de Yahoo. Sur dix-huit sanctions publiques prononcées par la CNIL en 2023, celles de décembre en représentent ainsi un tiers (voir sur le site de la CNIL la liste des sanctions de 2023).

Ne sont pas prises en compte dans ce calcul les nombreuses sanctions rendues en application de la procédure simplifiée, et autres délibérations non publiées, qui font monter le total des sanctions prononcées en 2023 à 42.

〽️ Parmi ces sanctions de fin d’année, nous vous proposons aujourd’hui de nous pencher sur celle de Yahoo. Prononcée le vendredi 29 décembre 2023 (le dernier jour ouvré de l’année, c’est ce qu’on appelle une sanction de dernière minute !), elle a été annoncée par la CNIL et publiée sur Légifrance un peu plus tard, le 18 janvier 2024. Elle est formalisée par la délibération SAN-2023-024.

La sanction consiste en une amende administrative de 10 millions d’euros, a été rendue publique et n’a pas été assortie d’une astreinte. Elle concerne la société Yahoo EMEA Limited et fait suite au constat de manquements à l’article 82 de la Loi Informatique et Libertés (c’est l’article qui vient encadrer l’usage des cookies).

Cet article est de niveau intermédiaire : les concepts élémentaires de protection des données personnelles n’y sont pas expliqués et sont requis pour comprendre aisément certaines parties de ce commentaire de sanction.

Cette étude de la sanction prononcée à l’encontre de Yahoo sera publiée en deux fois :

1️⃣ ce premier article, qui apporte des éléments de contexte et traite la problématique de la compétence de la CNIL.

2️⃣ un second article, publié une semaine plus tard, qui aborde le problème de fond sur les cookies et les manquements sanctionnés, ainsi que la sanction à proprement parler.

〽️ Yahoo! est née en 1994, succédant à « Jerry and David’s Guide to the World Wide Web », un annuaire de sites web organisé en thématiques et assorti d’un moteur de recherche. L’entreprise, rencontrant un rapide et important succès, a progressivement élargi ses services proposés au public, avec notamment Yahoo! Mail en 1997, Yahoo! Groups en 2000 et Yahoo! Messenger en 2001.

Présente dans de nombreux pays et connue du grand public comme l’une des entreprises pionnières d’Internet, Yahoo! a toutefois subi plusieurs déconvenues commerciales… ainsi qu’une très large fuite de données personnelles, en 2014. 🔓 Considérée comme l’une des plus grandes fuites de données de l’histoire d’Internet, cet incident, porté à la connaissance du public seulement en 2016, a concerné un demi-milliard de comptes utilisateurs de la plateforme. Si cet incident n’est pas lié à la sanction étudiée ici, il représente un historique intéressant à prendre en compte quand on s’intéresse à la façon dont Yahoo gère les données de ses utilisateurs.

🏢 Aujourd’hui, Yahoo est présente en Europe via un enchevêtrement de sociétés relevant de branches dites « Media » et « Business », dont des sociétés basées aux Pays-Bas, en Irlande et en France. De nombreux services de Yahoo sont par leur biais toujours proposés aux résidents européens (via Yahoo EMEA Limited) et, notamment, en France (via Yahoo France).

Cette affaire, comme cela est souvent le cas, a commencé par des plaintes adressées à la CNIL. Des personnes concernées ont remonté, via 🔹 vingt-sept plaintes 🔹 (un nombre important, si l’on compare à d’autres procédures initiées par la réception de plaintes), des anomalies dans le dépôt de cookies lors de leur utilisation de yahoo.com et de Yahoo! Mail.

Deux anomalies étaient constatées :

🟣 Le dépôt de cookies sur leur terminal, sans consentement préalable.

🟣 Le dépôt de cookies sur leur terminal, alors qu’elles avaient exprimé leur refus.

Quatre ans et demi se sont au total écoulés entre la réception de la première plainte (le 12 juin 2019) et le prononcé de la sanction (le 29 décembre 2023). Pendant ce laps de temps, plusieurs actions se sont bien-sûr déroulées, notamment des contrôles de la CNIL initiés suite à la réception des plaintes (les 27 plaintes prises en compte ayant été reçues entre le 12 juin 2019 et le 2 octobre 2020).

Les contrôles ayant eu lieu sont les suivants :

🟣 Un premier contrôle en ligne, le 7 octobre 2020.

🟣 Un nouveau contrôle en ligne, le 10 juin 2021, ayant le même objet que le premier.

🟣 Une audition de Yahoo France le 23 juin 2021.

Suite à cela, et à partir du 10 juillet 2023, de façon assez classique, la délibération a été précédée par :

🟣 la désignation d’un rapporteur par la CNIL (c’est le signe que l’on passe de la phase « contrôle » à la phase « sanction ») ;

🟣 la notification d’un rapport à Yahoo, allant dans le sens d’une sanction pour manquement à l’article 82 de la LIL ;

🟣 plusieurs échanges formels entre Yahoo et la CNIL ;

🟣 la séance de la formation restreinte, le 21 décembre 2023.

La délibération ayant suivi la séance du 21 décembre développe plusieurs éléments. D’une part, les violations de la loi (qui seront traitées dans le second article de cette étude) ; et d’autre part, la question de la compétence de la CNIL, abordée dans les paragraphes suivants.

Lors de la procédure, les sociétés Yahoo EMEA (considérée comme responsable de traitement) et Yahoo France (considérée comme son établissement en France) ont contesté la compétence de la CNIL. Cette dernière prend donc le temps dans la délibération de revenir sur sa compétence à la fois matérielle et territoriale.

Dans un premier temps, la CNIL démontre que les faits entrent dans son champ de compétence matérielle (c’est-à-dire que se pose la question : est-ce que les faits sont concernés par une norme que la CNIL est chargée de contrôler ?). Il est rappelé que l’usage des cookies est régi par la directive européenne ePrivacy (transposée en France par l’article 82 de la Loi Informatique et Libertés). Et la formation restreinte de la CNIL est bien désignée par Loi Informatique et Libertés (en son article 16) comme l’entité en charge de prononcer les sanctions en cas de violation de ses dispositions.

La société Yahoo EMEA Limited étant la représentante en Europe de Yahoo, et sise en Irlande, il s’agit ensuite de se poser 🔹 la question du guichet unique 🔹 pour ce qui concerne les traitements de données personnelles transfrontaliers. Ce dernier a toutefois été rapidement écarté, dans la mesure où il n’est applicable que pour les dispositions provenant du RGPD. L’article 82 de la LIL n’étant pas une émanation du RGPD, mais une transposition de la directive ePrivacy, ce mécanisme d’harmonisation ne s’y applique pas.

La CNIL conclut donc qu’elle est bien matériellement compétente pour traiter de cette affaire.

Vient ensuite la question de la territorialité. 🗺️ Le simple fait que les usages de cookies soient encadrés par la directive ePrivacy et échappent au mécanisme de guichet unique ne les placent pas nécessairement dans le champ d’application de la Loi Informatique et Liberté (LIL). Il faut pour cela que les faits revêtent également une caractéristique territoriale les rattachant à la France.

À ce sujet, l’article 3 de la LIL prévoit que celle-ci s’applique « dans le cadre des activités d’un 🔹 établissement 🔹 d’un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ».

Deux conditions sont donc nécessaires pour retenir l’applicabilité de la LIL et ainsi la compétence territoriale de la CNIL dans cette affaire :

🟣 Tout d’abord, il faut que Yahoo EMEA dispose d’un établissement en France.

🟣 Il faut ensuite que les usages de cookies visés par cette affaire puissent être rattachés aux activités de cet établissement.

Concernant le premier point : si l’on reprend le schéma d’organisation des sociétés de Yahoo! En Europe, on constate dans un premier temps que la SAS Yahoo France n’est pas une filiale de Yahoo EMEA Limited (ce qui aurait rendu la qualification d’établissement nettement plus intuitive). 🏢

Pour éclaircir ce point, la CNIL fait appel à la jurisprudence européenne en la matière. Cette dernière considère en réalité qu’un « établissement », dans ce cadre, n’est pas nécessairement une émanation juridique de la société responsable de traitement. D’après cette jurisprudence, la notion d’établissement doit plutôt être appréciée de façon souple, au regard de la stabilité et de la réalité de l’exercice de ses activités dans un Etat donné.

Plusieurs éléments (dont les statuts de Yahoo France) indiquent que 🔹 son activité principale 🔹 est bien, de façon constante, la promotion de l’activité de Yahoo EMEA, pour le compte de cette dernière, en France. Après avoir analysé certains aspects pertinents de ce point, la CNIL a donc retenu Yahoo France comme un établissement de Yahoo EMEA en France, en appliquant cette logique.

Pour finir sur la compétence territoriale, un dernier point reste alors à trancher et fait également l’objet d’un désaccord entre Yahoo et la CNIL. Même si Yahoo France est considérée dans ce contexte comme un établissement Yahoo EMEA, il faut encore que les usages des cookies concernés soient rattachables aux activités de Yahoo France.

Et à ce sujet, à la fois Yahoo EMEA et Yahoo France indiquent que cette dernière n’est pas impliquée directement dans la conception ou la mise en oeuvre des traitements concernés par la procédure en cours.

Pour analyser cette situation, la CNIL s’appuie cette fois-ci sur la jurisprudence du Conseil d’État. Elle rappelle qu’un traitement de données à caractère personnel peut entrer dans le champ des « activités d’un établissement », 🔹 dès lors que ce dernier fait la promotion des produits du responsable de traitement. 🔹 Or, comme nous l’avons vu plus haut, il ressort bien de plusieurs éléments fournis par les sociétés, et notamment des statuts de Yahoo France, que les produits de Yahoo EMEA (essentiellement publicitaires, et des plateformes permettant la diffusion d’annonces) sont bien promus en France par Yahoo France. Cette promotion impliquant le dépôt et l’exploitation de cookies publicitaires, ces derniers peuvent être rattachés à l’activité de l’établissement.

Au-delà de l’argumentaire de fond proposé par la CNIL, on remarque que cette dernière, fin 2023, peut maintenant s’appuyer sur une jurisprudence de plus en plus dense, produite à la fois par ses propres délibérations, ainsi que par la Cour de Justice de l’Union Européenne (CJUE) et le Conseil d’État, pour justifier son application des différentes normes aux cas d’espèce qui lui sont soumis.

Cette densification de la jurisprudence, avec une tendance commune suivie par ces différentes juridictions, apporte ici un renforcement bienvenu de la sécurité juridique en la matière. En effet, en bénéficiant d’un maillage plus fin de décisions convergentes rendues sur un sujet donné, les acteurs économiques concernés par les normes en question peuvent 🔹 évaluer avec plus de justesse leur niveau d’exposition aux risques juridiques. 🔹

🛎️ En bref, les éléments-clés à à retenir de cette première partie de l’étude…

🟣 Parmi le groupe de sanctions prononcées en décembre 2023 par la CNIL, on trouve celle de Yahoo.

🟣 Cette sanction est relative à l’usage des cookies sans consentement valide.

🟣 Yahoo a contesté la compétence de la CNIL dans cette affaire.

🟣 Pourtant, la CNIL démontre la compétence à la fois matérielle et territoriale.

🟣 Elle se fonde sur cela de façon intéressante sur la jurisprudencede plus en plus fournie en la matière, fournie par d’autres juridictions.