Cookies : la CNIL sanctionne Yahoo! d’une amende de 10 millions d’euros

18 janvier 2024

Le 29 décembre 2023, la CNIL a sanctionné la société YAHOO EMEA LIMITED d’une amende de 10 millions d’euros pour ne pas avoir respecté le choix des internautes qui refusaient les cookies sur son site « Yahoo.com » et ne pas avoir permis aux utilisateurs de sa messagerie « Yahoo! Mail » de librement retirer leur consentement aux cookies.

Le contexte

La société YAHOO EMEA LIMITED édite plusieurs services web tels qu’un moteur de recherche et une messagerie électronique. La CNIL a été saisie de 27 plaintes dénonçant la non-prise en compte du refus des cookies et les obstacles rencontrés pour retirer le consentement au dépôt de cookies. En octobre 2020 et juin 2021, la CNIL a effectué plusieurs contrôles en ligne sur le site web « Yahoo.com » et sur la messagerie électronique « Yahoo! Mail ».

Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société YAHOO EMEA LIMITED avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.

Pour déterminer le montant de l’amende, la formation restreinte a tenu compte de ce que la société ne respectait pas le choix des internautes en matière de cookies et qu’elle mettait en place des mesures pour les dissuader de retirer leur consentement au dépôt de cookies.  

Les manquements sanctionnés

Des cookies déposés sans accord de l’internaute

Tout d’abord, lors du contrôle d’octobre 2020, la CNIL a constaté que lorsqu’un internaute se rendait sur le site « Yahoo.com », le bandeau cookies affiché donnait accès à une page composée de nombreux boutons destinés à recueillir le consentement au dépôt de cookies. Or, la CNIL a relevé que malgré l’absence de tout consentement exprimé, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute.

La formation restreinte a considéré que la société YAHOO EMEA LIMITED avait manqué à ses obligations au titre de l’article 82 de la loi Informatique et Libertés, dans la mesure où les cookies à vocation publicitaire ne peuvent être déposés que lorsque qu’un consentement explicite n’a été donné.

Une incitation à ne pas retirer son consentement

Ensuite, la formation restreinte a relevé que lorsqu’un utilisateur de la messagerie « Yahoo! Mail » souhaitait retirer le consentement qu’il avait donné au dépôt de cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie.

La formation restreinte a rappelé que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni n’est pas en soi illégal, c’est à la condition que le consentement soit libre. Cela implique que le refus du consentement ou son retrait n’entraînent pas de préjudice pour l’utilisateur. Or, dans ce cas, la société ne proposait pas une alternative aux utilisateurs souhaitant retirer leur consentement : la seule possibilité offerte à l’utilisateur était de renoncer à l’usage de sa messagerie électronique.

La formation restreinte a considéré que, dans ces conditions, le retrait du consentement ne pouvait pas s’exercer librement.

La formation restreinte a souligné qu’une adresse de messagerie électronique constituait pourtant un élément de la vie privée de son utilisateur, dans la mesure où elle lui permet d’échanger avec d’autres personnes, de développer son réseau et d’archiver des conversations personnelles ou professionnelles importantes. Ainsi, à mesure qu’il utilise son adresse de messagerie, l’utilisateur ne peut plus la remplacer par n’importe quel service similaire aussi facilement qu’il l’aurait fait initialement.

Une compétence de la CNIL

La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés. 

La formation restreinte a considéré que la CNIL est également territorialement compétente en application de l’article 3 de la loi Informatique et Libertés car le recours aux cookies est effectué dans le « cadre des activités » de la société YAHOO FRANCE qui constitue « l’établissement » sur le territoire français de la société YAHOO EMEA LIMITED.