Blog Données personnelles

La société Yahoo Emea Limited sanctionnée par la CNIL

Dans sa décision rendue le 29 décembre 2023, la Commission nationale de l’Informatique et des Libertés (« CNIL ») sanctionne la société Yahoo Emea Limited à une amende de 10 millions d’euros en raison de deux manquements.

Le premier manquement relevé par la Commission porte sur le non respect des règles relatives au dépôt des cookies. La société a procédé au dépôt de cookies sur le terminal des utilisateurs alors même que ces derniers n’avaient pas exprimé leur consentement. En effet, selon l’article 82 de la loi Informatique et Libertés, il est nécessaire d’obtenir le consentement préalable des utilisateurs pour les opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur, ce qui comprend le dépôt de cookies. Cependant, il est également précisé que deux (2) exemptions au consentement existent : lorsque le traceur a pour seule finalité de « permettre ou de faciliter la communication électronique » ou lorsque le traceur s’avère « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. » C’est ainsi que la CNIL lors des contrôles qu’elle opère, vérifie la finalité des cookies déposés sur les terminaux des utilisateurs de Yahoo.com sans leur consentement, et constate que certains des traceurs déposés poursuivent seulement une finalité publicitaire.

Le second manquement reproché concerne les obstacles mis en place sur le service de messagerie électronique « Yahoo ! Mail », lorsque les utilisateurs de ce service souhaitent retirer leur consentement au dépôt des cookies. En effet, lorsque ces derniers souhaitent retirer leur consentement, plusieurs messages s’affichent alors leur indiquant qu’ils ne pourront plus accéder aux services de la société, et perdront notamment leur accès au service de messagerie électronique « Yahoo ! Mail ». Cette pratique, communément appelée cookie wall, c’est-à-dire le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires à l’utilisation de ce dernier, n’est pas illégale en soi. Cependant, la CNIL insiste sur le fait que cela n’est pas illégal, à la condition que cela n’entraine pas de préjudice pour l’utilisateur. Or, celui-ci n’était pas informé lorsqu’il donnait son consentement, que le retrait de ce dernier entrainerait la perte d’accès aux services fournis par la société. S’ensuit alors la caractérisation pour la CNIL, d’un préjudice pour l’utilisateur tenant à la perte d’accès au service fourni, notamment en raison de l’absence d’alternative, même payante, prévue par la société.

En outre, pour caractériser ce préjudice, la CNIL constate que l’utilisateur se retrouve en réalité « captif du service de messagerie en cause, qui constitue un élément de sa vie privée, familiale et éventuellement professionnelle » et que ce faisant, il était devenu impossible pour l’utilisateur de remplacer « Yahoo ! Mail » par un autre service de messagerie électronique. Cela signifie donc que les utilisateurs qui ne souhaitent pas changer d’adresse électronique se retrouvent dans l’obligation de renoncer au retrait de leur consentement.

Dans ces conditions, la CNIL a constaté que cela constituait un préjudice pour l’utilisateur et qu’était alors méconnu, une seconde fois, l’article 82 de la loi Informatique et Libertés, lequel posant une condition de consentement préalable, implique corrélativement une obligation de prévoir une possibilité de retrait du consentement.

Ainsi, pour l’ensemble de ces motifs, la CNIL condamne la société Yahoo Emea Limited au paiement d’une amende d’un montant de dix millions d’euros.

Jeanne BOSSI MALAFOSSE, associée et Florian BUSSINET, stagiaire