La Commission Nationale de l’Informatique et des Libertés (CNIL) a imposé à Yahoo EMEA Limited une amende substantielle de 10 millions d’euros, suite à une série de manquements relatifs à la gestion des cookies. Yahoo, connue pour ses services web divers tels qu’un moteur de recherche et une messagerie électronique, a été l’objet de 27 plaintes concernant le non-respect du refus des cookies et les difficultés rencontrées pour retirer le consentement au dépôt de ces derniers.
Des contrôles effectués par la CNIL en octobre 2020 et juin 2021 sur le site web « Yahoo.com » et sur la messagerie « Yahoo! Mail » ont révélé des pratiques contraires à l’article 82 de la loi Informatique et Libertés. Ces constatations ont conduit à la sanction prononcée par la formation restreinte de la CNIL.
Les infractions relevées
L’un des manquements majeurs identifiés est le dépôt de cookies publicitaires sans consentement explicite des internautes. La CNIL a noté que sur le site « Yahoo.com », bien qu’aucun consentement ne soit exprimé, une vingtaine de cookies à finalités publicitaires étaient installés sur les terminaux des utilisateurs.
De plus, Yahoo a été reconnu coupable d’inciter les utilisateurs à ne pas retirer leur consentement. En effet, les utilisateurs de « Yahoo! Mail » souhaitant retirer leur consentement au dépôt de cookies étaient informés qu’ils perdraient l’accès à leurs services de messagerie, une pratique jugée contraire au principe de consentement libre.
La vie privée des utilisateurs en jeu
La formation restreinte de la CNIL a souligné l’importance de l’adresse de messagerie électronique dans la vie privée de l’utilisateur, celle-ci étant un vecteur d’échanges personnels et professionnels. La difficulté de remplacer une adresse email établie rend la décision de renoncer aux services de messagerie pour des raisons de consentement aux cookies particulièrement délicate.
La compétence de la CNIL affirmée
La CNIL a affirmé sa compétence matérielle et territoriale dans ce cas, soulignant son rôle dans le contrôle et la sanction des pratiques liées aux cookies en France. La directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés, et l’article 3 de cette même loi, justifient l’intervention de la CNIL, indépendamment du mécanisme de coopération du RGPD.
Cette sanction illustre la rigueur avec laquelle la CNIL entend faire respecter les réglementations en matière de données personnelles et de consentement des utilisateurs, confirmant son rôle clé dans la protection de la vie privée numérique.
Qu’est ce que la Formation Restreinte de la CNIL ?
La formation restreinte est un organe spécifique au sein de la Commission Nationale de l’Informatique et des Libertés (CNIL), l’autorité française de protection des données. Son rôle est crucial dans le processus de prise de décision de la CNIL, notamment en matière de sanctions.
Composition et Fonctionnement :
- La formation restreinte est composée de membres de la CNIL, y compris son président ou un membre qu’il délègue.
- Sa composition varie en fonction des dossiers examinés. Elle garantit ainsi impartialité et expertise adaptée à chaque cas.
Rôle et Attributions :
- Sanctions et Décisions : La formation restreinte est chargée de prononcer des sanctions à l’encontre d’entités qui violent les réglementations sur la protection des données. Ces sanctions peuvent inclure des avertissements, des mises en demeure, des amendes, ou d’autres mesures correctives.
- Examen des Dossiers : Elle examine les dossiers relatifs aux manquements en matière de protection des données. Cela peut être suite à des plaintes, des contrôles, ou des audits.
- Délibérations Indépendantes : La formation restreinte délibère de manière indépendante. Ses décisions sont prises après un examen approfondi des faits et dans le respect du droit à la défense des parties concernées.
- Publication des Décisions : Les décisions de la formation restreinte sont souvent rendues publiques, ce qui contribue à la transparence et à l’exemplarité des sanctions.
Importance dans le Paysage de la Protection des Données : La formation restreinte joue un rôle essentiel dans l’application et l’effectivité des réglementations en matière de protection des données. Par ses décisions, elle contribue à établir des normes, à sensibiliser et à encourager les organisations à se conformer aux lois sur la protection des données personnelles.
https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros
Articles connexes :
Les étapes de la procédure de sanction ordinaire(S’ouvre dans un nouvel onglet)
Non-conformité Google : Google est-il conforme au RGPD ?(S’ouvre dans un nouvel onglet)