Yahoo! sanctionnée par la CNIL (2/2) : 🍪 des cookies à 10 millions d'Euros...

Les éléments de contextes liés à cette sanction sont disponibles dans le premier article composant cette étude. Nous vous invitons à le consulter par ici.

Cet article est de niveau intermédiaire : les concepts élémentaires de protection des données personnelles n’y sont pas expliqués et son requis pour comprendre certaines parties de ce commentaire de sanction. Les résumés de sections et le résumé d’ensemble de l’article restent toutefois accessibles à toutes et tous.

🔖 Le plan de l’étude

Cette étude de la sanction prononcée à l’encontre de Yahoo! A été publiée en deux fois :

1️⃣ un premier article, qui apportait des éléments de contexte et traitait la problématique de la compétence matérielle et territoriale de la CNIL dans cette affaire.

2️⃣ ce second article, publié deux semaines plus tard, aborde le problème de fond sur les cookies et les manquements sanctionnés, ainsi que la sanction à proprement parler.

🍪 Quelques rappels sur les cookies 🍪

La création des cookies (numériques) 🔹 remonte à 1994 🔹 et est attribuée à Lou Montulli, un des premiers ingénieurs de Netscape. Le cookie était une solution technique à un problème technique : « l’amnésie » d’Internet. En effet, chaque interrogation d’un serveur étant considérée comme une requête indépendante, elle ne continue pas naturellement la « conversation » ayant lieu avec le client (le navigateur Internet). Au contraire, chaque nouvelle requête reprend cette conversation depuis le début et ne permet pas de continuité lors du passage d’une page à l’autre. Le problème métier auquel l’équipe de Netscape était confrontée dans ce cadre était celui du panier virtuel pour les besoins d’un site de e-commerce. Plusieurs solutions techniques auraient permis de répondre à ce problème, mais elles ont été écartés, notamment car elles manquaient de robustesse ou d’optimisation par rapport à la solution du cookie, ou bien car elles intégraient de forts problèmes de vie privée.

Bien-sûr, de nombreuses autres applications plus ou moins complexes de cette solution technique ont vu le jour, notamment pour suivre le comportement d’un utilisateur et lui adresser de la publicité. Elles ont d’ailleurs soulevé, dès les premières années de leur utilisation, des questionnements quant à leur implication en termes de vie privée des utilisateurs.

En 2002, la directive ePrivacy a vu le jour et a été intégrée dans le droit français par une loi de 2004. C’est de là que vient l’article 82 (anciennement article 32) de la Loi Informatique et Libertés, sur lequel sont fondées toutes les sanctions de la CNIL relatives à des usages illicites des cookies.

Depuis cette date, le régime juridique applicable aux cookies s’est progressivement enrichi, grâce à la jurisprudence relative à son application, mais aussi aux différentes lignes directrices qui ont été publiées, et à l’entrée en vigueur du RGPD en 2018, qui vient notamment renforcer les conditions d’application de ces règles.

⛔ Les manquements constatés ⛔

Pour rappel, voici ce que contient l’article 82 de la Loi Informatique et Libertés.

Cet article 82 prévoit 🔹 les conditions dans lesquelles des « informations » peuvent être soit inscrites dans le terminal de l’utilisateur, soit lues. 🔹 Dans notre affaire Yahoo, il s’agit donc des conditions dans lesquelles les cookies peuvent être déposés ou consultés.

Deux conditions sont posées par cet article de la LIL : l’information préalable de l’utilisateur, mais aussi son consentement. En application de cette disposition, deux comportements sont reprochés à Yahoo : le dépôt de cookies sans consentement de l’utilisateur d’une part, et les messages décourageant les utilisateurs de Yahoo Mail à retirer les cookies d’autre part.

La problématique se concentre donc en l’espèce sur la gestion du consentement, à deux étapes différentes de la relation entre Yahoo et l’utilisateur.

〰️ Les cookies déposés sans consentement

Par principe, les cookies ne peuvent pas être déposés sans avoir reçu un consentement préalable de l’utilisateur (consentement qui doit avoir les qualités requises par le RGPD et les lignes directrices 5/2020 du CEPD). Par exception, certains cookies peuvent être exemptés de consentement (les cookies purement fonctionnels, ou servant à de l’analytique dans certains cas, ou encore ceux nécessaires à l’exécution d’une action demandée par l’utilisateur). Les cookies publicitaires ne remplissent pas les conditions pour être exemptés de consentement, ils ne peuvent donc jamais être déposés sur le terminal de l’utilisateur avant que ce dernier n’ait manifesté un consentement valide.

Pourtant, lors des deux contrôles en ligne réalisés par la CNIL, celle-ci a constaté que des cookies publicitaires étaient déposés dans le terminal de l’utilisateur, alors que ce dernier n’avait pas manifesté de consentement.

Dans le premier cas, après que l’utilisateur ait paramétré ses choix en n’activant aucun des cookies publicitaires proposés, 7 cookies publicitaires étaient déposés sur son terminal. Dans le second cas, sans aucun paramétrage de l’utilisateur (donc sans aucun consentement donné), en utilisant les services de Yahoo pour créer un compte de messagerie, au total 20 cookies publicitaires avaient été déposés.

On voit donc que les pratiques constatées ne sont pas en phase avec les exigences légales en termes de consentement nécessaire au dépôt de cookies, et constitutent donc en cela un manquement à l’article 82 de la Loi Informatiques et Libertés.

Deux précisions sont ensuite à apporter par rapport à cette absence de consentement :

🔹 La première tient au fait que Yahoo a contesté sa responsabilité, dans la mesure où les cookies publicitaires étaient techniquement déposés par des tiers. Cette question sera abordée par cette étude dans le cadre de la partie sur la responsabilité.

🔹 La seconde est la remarque de la CNIL quant à l’ineffectivité du panneau de paramétrage des cookies. En effet, en donnant la possibilité à l’utilisateur de paramétrer quels cookies il souhaite accepter ou non, et en ne prenant pas en comtpe ce choix par la suite, les conséquences en sont aggravées. L’utilisateur peut raisonnablement encore moins s’attendre à ce que des cookies publicitaires soient déposés, s’il les a explicitement refusés !

Le premier manquement, de façon assez classique concernant les violations de l’article 82 de la LIL, tient donc en ce que des cookies sont déposés sans consentement de l’utilisateur. Un second manquement est ensuite constaté par la CNIL, plus original cette fois-ci et se situant plus loin dans la relation avec l’utilisateur…

⚠️ Les avertissements décourageant le retrait du consentement

La directive ePrivacy impose le consentement de l’utilisateur comme condition préalable au dépôt de cookies, mais ne définit pas directement ce consentement. Elle opère, pour tout ce qui est relatif à cette question, un renvoi vers le RGPD. Or, l’une des modalités relatives au consentement prévues par le RGPD (dans son article 7) est la possibilité de le retirer à tout moment. La personne doit d’ailleurs être informée de cette possibilité, et doit pouvoir retirer son consentement de façon aussi simple que lorsqu’elle l’avait préalablement donné.

C’est au sujet du retrait de consentement que la CNIL a constaté un second manquement dans cette affaire. En effet, lors des deux parcours utilisateurs suivis par le service des contrôles de la CNIL, une alerte l’avertissait du fait que s’il retirait son consentement, il ne pourrait plus avoir accès aux services de Yahoo, y compris la messagerie pour laquelle il avait créé un compte.

Cela pose bien-sûr la question de la liberté de retrait du consentement. À ce sujet, Yahoo a soutenu au cours da la procédure que des services alternatifs existaient, fournis par d’autres prestataires. Ainsi, l’utilisateur qui choisirait de retirer son consentement à l’usage des cookies se verrait bien refuser l’accès ultérieur aux services de Yahoo. Mais il pourrait tout à fait demander la portabilité de ses données pour utiliser des services alternatifs. Cet argument ne fait toutefois pas le poids face aux conditions de liberté du consentement (et de son retrait) posées par le RGPD et la jurisprudence, et reprises ici par la CNIL.

En effet, dans un premier temps et de façon générale, le considérant 42 du RGPD précise que le consentement n’est pas considéré comme donné librement s’il n’est pas possible pour l’utilisateur de le retirer sans subir de préjudice. De plus, cette délibération de la CNIL datant de décembre 2023, la formation restreinte a eu l’opportunité de s’appuyer sur la toute récente jurisprudence Meta rendue en juillet 2023 qui portait sur une problématique proche. La CNIL cite un extrait de cette décision de la CJUE, qui s’applique tout à fait à cette espèce : elle indique que les utilisateurs doivent pouvoir « refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service » (CJUE, Meta, 2023).

On retrouve en effet des éléments en commun entre ces deux affaires, qui se transposent bien de l’une à l’autre : des traitements non-nécessaires à l’accomplissement de la prestation demandée, pour lesquels il devrait donc être possible de retirer (ou ne pas donner) son consentement, sans pour autant se priver de l’intégralité du service. Cette privation de l’intégralité du service caractérise ici le fameux préjudice qui ne peut pas, d’après le RGPD, peser sur l’utilisateur retirant son consentement, sous peine de vicier ce dernier.

La CNIL retient donc qu’en conséquence de la privation du service en cas de retrait de consentement (et du fait des messages d’avertissement incitant fortement les utilisateurs à ne pas retirer ce consentement), Yahoo fait obstacle au retrait de consentement et porte préjudice à l’utilisateur qui le retirerait effectivement.

Le tout affecte la validité du consentement, qui n’est alors plus considéré comme donné librement par l’utilisateur. Ainsi, sans consentement valide, les cookies sont déposés de façon illicite, en violation de l’article 82 de la LIL.

🏛️ Responsabilité et amende 🏛️

⚖️ Responsabilité de Yahho

Il a d’abord fallu déterminer quelle entité, au sein de l’enchevêtrement de sociétés qui matérialise l’activité de Yahoo en Europe, est responsable des traitements issus de l’usage des cookies déposés dans les terminaux des utilisateurs en France. Pour cela, sans que cela n’ait soulevé de contestation de la part de Yahoo, la CNIL a réuni plusieurs indices : la déclaration dans la politique de confidentialité, l’analyse in concreto des activités et influences des différentes sociétés (notamment Yahoo France et Yahoo EMEA), et des déclaractions écrites de ces différentes sociétés, allant toutes dans le sens de la responsabilité de Yahoo EMEA.

S’est ensuite posé une questions plus précise, concernant les cookies publicitaires déposés sans attendre un consentement de l’utilisateur. Yahoo EMEA a sur ce point tenté de se défausser derrière les « tiers » les ayant déposés. À la fois le Conseil d’État et la CNIL soutiennent pourtant depuis des années que l’entité mettant le site web à disposition du public est bien responsable en cas d’usage illicite de cookies tiers. A l’appui de sa décision, la CNIL rappelle ainsi à la fois un arrêt du Conseil d’État Editions Croque Futur de 2018, ainsi qu’une sanction du Figaro de juillet 2021 et des sanctions plus anciennes également prononcées par la CNIL dans les cas similaires. Toutes ces décisions vont bien, de façon constante, dans le sens d’une responsabilité de l’éditeur du site web via lequel des cookies tiers sont déposés sur le terminal de l’utilisateur. Elles précisent que l’obligation de vérifier que ces dépôts de cookies sont bien licites pèse sur cet éditeur.

🛎️ En bref

🟣 Les éléments factuels et formels ont tous convergé vers la qualification de Yahoo EMEA comme responsable des traitements en cause.

🟣 En accord avec la jurisprudence antérieure, le fait que les cookies publicitaires concernés ait été déposés par des tiers ne permet par à Yahoo, qui a permis leur usage, de se dégager de sa responsabilité.

💵 Calcul de l’amende

Dans le cadre d’une violation de l’article 82 de la Loi Informatique et Libertés, la CNIL peut prononcer une amende allant jusqu’à 2 % du chiffre d’affaires de l’entité en faute, ou 10 millions d’euros.

Les critères pris en compte pour moduler la sanction, relatifs aux manquements, sont les suivants :

🔹 Tout d’abord, nous notons que CNIL insiste à plusieurs reprise sur la gravité des manquements : tout d’abord les traitements effectués à l’insu des utilisateurs, y compris en laissant penser grâce au panneau de paramétrage des cookies qu’il était possible de refuser leur dépôt, mais également la « pression » pesant sur les utilisateurs pour les décourager de retirer leur consentement.

🔹 Au sujet des personnes concernées, la CNIL a retenu le chiffre de 5 millions (qui correspond aux visiteurs uniques du domaine yahoo.com entre 2019 et 2020, période de réception des plaintes).

🔹 Quant à la période de violation retenue, elle est fixée, pour les deux manquements cumulés, entre le le 12 juin 2019 (date de la première plainte reçue) et le 7 juillet 2021 (date du retrait par Yahoo de son message décourageant les utilisateurs à retirer leur consentement) (soit au total 21 mois).

La CNIL considère bien l’amélioration des pratiques de Yahoo en termes de gestion des données personnelles, telles que communiquées par cette dernière, à partir de juillet 2021. Ces améliorations ne peuvent toutefois pas affecter l’appréciation des manquements constatés jusqu’à cette date.

Enfin, on note que la CNIL, répondant à une remarque de la société, prend le temps de préciser qu’en dépit de la coopération de Yahoo de façon discontinue avec la CNIL depuis le début de la procédure, cela ne constitue pas une circonstance atténuante – tout au plus, cela permet de ne pas retenir à son égard un manquement supplémentaire de non-coopération avec les services de la CNIL. Cette coopération est donc neutre quant au calcul de l’amende.

Attention, cette amende ne correspond pas ici au maximum applicable. En effet, le chiffre d’affaires annuel retenu de Yahoo EMEA étant suppérieur à 500 millions d’euros, c’est le plafond de 2 % de ce chiffre d’affaires qui s’applique, non celui de 10 millions d’euros.

🛎️ En bref, les éléments-clés à à retenir de cette seconde partie de l’étude… 🛎️

🟣 Les cookiespeuvent remplir un rôle fonctionnel très pratique pour l’utilisateur, mais aussi servir desintérêts publicitaires.

🟣 Dans ce dernier cas, la directive ePrivacy et l’article 82 de la LIL imposent d’obtenir un consentement préalable de l’utilisateur avant l’usage de ces cookies.

🟣 Le RGPD et la jurisprudence posent des conditions strictes à l’obtention de ce consentement, et notamment le fait qu’il soit libre de toute contrainte.

🟣 Yahoo, via deux pratiquesliées aux cookies, a failli à respecter ces conditions liées au consentement et s’est placée dans une situation de violation de la loi.

🟣 Yahoo EMEA a été retenue comme responsable de traitement dans cette affaire, y compris, de façon assez classique, concernant les cookiesdéposés par destiers.

🟣 La sanction de 10 millions d’euros anotammentpris en compte la gravité des manquements, pouvant concerner les 5 millions d’utilisateurs retenus.