Délibération SAN-2023-024 du 29 décembre 2023

Délibération de la formation restreinte n°SAN-2023-024 du 29 décembre 2023 concernant la société YAHOO EMEA LIMITED

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Alexandre LINDEN, président, M. Philippe-Pierre CABOURDIN, vice-président, MM. Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n°2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n°2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision n° 2020-127C du 14 août 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à la vérification de la conformité à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 des traitements accessibles à partir du domaine " yahoo.com " ;

Vu les décisions n° 2020-254C du 14 août 2020 et n° 2021-123C du 4 janvier 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par les sociétés VERIZON France et OATH BRANDS (France) SAS ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 10 juillet 2023 ;

Vu le rapport de M. François PELLEGRINI, commissaire rapporteur, notifié à la société YAHOO EMEA LIMITED le 11 août 2023 ;

Vu les observations écrites versées par la société YAHOO EMEA LIMITED le 29 septembre 2023 ;

Vu la réponse du rapporteur à ces observations notifiée à la société YAHOO EMEA LIMITED le 25 octobre 2023 ;

Vu les nouvelles observations écrites versées par la société YAHOO EMEA LIMITED le 28 novembre 2023 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 21 décembre 2023 ;

Vu les autres pièces du dossier ;

Étaient présents lors de la séance de la formation restreinte :

- M. François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société YAHOO EMEA LIMITED :

[…]

La société YAHOO EMEA LIMITED ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. Le groupe VERIZON, dont la société mère VERIZON COMMUNICATIONS INC. est située aux Etats-Unis, est composée de plusieurs branches, dont une branche " média ", dirigée pour l’Europe par la filiale VERIZON MEDIA NETHERLANDS B.V, située aux Pays-Bas. Cette société dispose de plusieurs filiales, dont les sociétés VERIZON MEDIA EMEA LIMITED et OATH HOLDING (France) SAS. La société OATH HOLDING (France) SAS détient la société OATH BRANDS (FRANCE), qui est l’appellation, depuis 2018, de la société YAHOO! FRANCE, créée en 2002.

2. La société VERIZON COMMUNICATIONS Inc. dispose également d’une branche VERIZON BUSINESS, qui propose des services de télécommunication à destination de professionnels dont fait notamment partie la société VERIZON FRANCE.

3. Après le rachat du groupe VERIZON MEDIA par la société américaine APOLLO GLOBAL MANAGEMENT, la société VERIZON MEDIA EMEA LIMITED est devenue la société YAHOO EMEA LIMITED (ci-après " la société ").

4. Le chiffre d’affaires de la société YAHOO EMEA LIMITED s’élevait à […] euros pour l’année 2022 et à […] pour l’année 2021. Elle employait […] personnes au 26 août 2021.

5. Entre le 12 juin 2019 et le 2 octobre 2020, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie par vingt-sept plaignants dénonçant notamment le dépôt de cookies sur leur terminal avant toute action, la non-prise en compte de leur refus au dépôt de ces cookies ainsi que sur les modalités de refus de ces derniers à partir du domaine " yahoo.com " et du service de messagerie " Yahoo mail ".

6. À la suite de ces plaintes, une délégation de la Commission a, le 7 octobre 2020, effectué un premier contrôle en ligne sur le site web " yahoo.com " et sur le service de messagerie " Yahoo mail ", en application de la décision n° 2020-254C du 14 août 2020 de la présidente de la CNIL.

7. Au cours de ce contrôle, la délégation a reproduit d’une part, le parcours d’un utilisateur se rendant sur le domaine " yahoo.com ", lequel permet d’accéder au moteur de recherche Yahoo ! et d’autre part, le parcours d’un utilisateur qui s’inscrit au service de messagerie " Yahoo Mail ".

8. Le 10 juin 2021, un second contrôle en ligne ayant le même objet que celui effectué le 7 octobre 2020 a été réalisé par la délégation de la CNIL.

9. Par courrier du 3 juin 2021, en application de l’article 19-III de la loi Informatique et Libertés, la société OATH BRANDS (FRANCE) a été convoquée à une audition le 23 juin 2021. L’ensemble de ces opérations de contrôle ont donné lieu à des échanges entre la délégation et les sociétés contrôlées portant particulièrement sur la finalité des cookies dont le dépôt avait été constaté à l’occasion des contrôles en ligne, sur leurs activités et sur la gouvernance des traitements de données à caractère personnel.

10. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 10 juillet 2023, désigné M. François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019.

11. Le rapporteur a, le 11 août 2023, fait notifier à la société un rapport proposant à la formation restreinte de prononcer une amende administrative pour un manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés ") qu’il estimait constitué en l’espèce. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

12. Le 5 septembre 2023, la société a sollicité un délai complémentaire pour présenter ses observations en réponse.

13. Le 18 septembre 2023, le président de la formation restreinte a décidé de lui accorder un délai supplémentaire de sept jours.

14. Le 29 septembre 2023, la société a produit ses observations en réponse au rapport de sanction.

15. Le 25 octobre 2023, le rapporteur a adressé sa réponse aux observations de la société.

16. Le 28 novembre 2023, la société a produit de nouvelles observations en réponse à celles du rapporteur.

17. Le 30 novembre 2023, le rapporteur a informé la société et le président de la formation restreinte de la clôture de l’instruction. Le même jour, le président de la formation restreinte a adressé une convocation à la séance de la formation restreinte du 21 décembre 2023.

18. Le rapporteur et la société YAHOO EMEA LIMITED ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur la compétence de la CNIL

Sur la compétence matérielle de la CNIL

19. Le traitement objet de la présente procédure est relatif au dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de la navigation sur le site " yahoo.com " et l’utilisation du service " Yahoo Mail ".

20. Ce traitement est effectué dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, il entre dans le champ d’application matériel de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la directive " ePrivacy ").

21. L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de la loi relatif aux droits et obligations propres aux traitements dans le secteur des communications électroniques.

22. Aux termes de l’article 16 de la loi Informatique et Libertés, " la formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi ". Selon l’article 20, paragraphe III, de cette même loi, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l'informatique et des libertés […] peut saisir la formation restreinte ".

23. Le rapporteur considère que la CNIL est matériellement compétente pour contrôler et, le cas échéant, sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par la société VERIZON MEDIA EMEA LIMITED, devenue la société YAHOO EMEA LIMITED, dans les terminaux des utilisateurs du domaine " yahoo.com " et de la messagerie " Yahoo Mail " résidant en France, ce que ne conteste pas cette dernière.

24. En défense, les sociétés n’ont pas fait d’observations sur la compétence matérielle de la CNIL.

25. La formation restreinte rappelle que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable : " il n’a pas été prévu l’application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] " (CE, 28 janvier 2022, 10ème et 9ème chambres réunies, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, au recueil). Le Conseil d’État a réaffirmé cette position dans un arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux Tables).

26. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler et engager une procédure de sanction concernant les traitements mis en œuvre par la société relevant du champ d’application de la directive " ePrivacy ", sous réserve que le traitement se rattache à sa compétence territoriale.

Sur la compétence territoriale de la CNIL

27. La règle d’application territoriale des exigences figurant à l’article 82 de la loi Informatique et Libertés est fixée à l’article 3, paragraphe I, de la même loi, qui dispose : " sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ".

28. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de la navigation sur le site " yahoo.com " et l’utilisation du service " Yahoo Mail ", est effectué dans le " cadre des activités " de la société OATH BRANDS (FRANCE), devenue YAHOO France, laquelle constitue " l’établissement " sur le territoire français de la société YAHOO EMEA LIMITED, ce que cette dernière conteste en défense à deux titres.

29. S’agissant de la notion d’établissement, la société YAHOO EMEA LIMITED soutient que la société YAHOO FRANCE est une entité juridique distincte, dont elle n’est pas actionnaire, et que celle-ci ne peut être regardée comme son établissement au sens de la décision Weltimmo de la Cour de justice de l’Union européenne (ci-après " la Cour de justice " ou " la CJUE ") (1er octobre 2015, C-230/14). Elle relève à cet égard que le site " yahoo.com " n’est pas exclusivement ou principalement tourné vers le territoire français, que YAHOO FRANCE ne la représente pas pour recouvrer les créances résultant du site " yahoo.com ", ni dans les procédures administratives et judiciaires relatives aux traitements de données à caractère personnel. Elle souligne qu’en tout état de cause, la CNIL aurait pu communiquer les plaintes à l’autorité irlandaise.

30. En premier lieu, la formation restreinte rappelle que, de façon constante, la CJUE considère que la notion d’établissement doit être appréciée de façon souple et qu’à cette fin, il convient d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question.

31. A cet égard, la Cour de justice a relevé que " le considérant 19 de la directive 95/46 précise que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable " et que " la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante " (CJUE, 13 mai 2014, Google Spain, C-131/12, point 48).

32. Dans le même sens, la Cour de justice a précisé que " la notion d’établissement, au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ", le critère de stabilité de l’installation étant examiné au regard de la présence de " moyens humains et techniques nécessaires à la fourniture de services concrets en question " (CJUE, 1er octobre 2015, Weltimmo, C 230/14, points 30 et 31).

33. L’appréciation de l’existence d’un " établissement sur le territoire français " au sens du I de l’article 3 de la loi Informatique et Libertés procède donc d’une appréciation souple et casuistique.

34. En deuxième lieu, la formation restreinte relève, comme l’indique le rapport sans être contesté sur ces points par la société YAHOO EMEA LIMITED, qu’il ressort des statuts de la société OATH BRANDS (FRANCE), devenue la société YAHOO FRANCE, que son siège social est implanté au 50-52 boulevard Haussmann à Paris (75009) et qu’elle a pour objet : " la promotion sur le marché français des produits et solutions publicitaires de YAHOO, ce qui comprend notamment les missions suivantes : / - prospecter et développer de nouveaux clients ; / - maintenir et entretenir les relations clients ; / identifier et comprendre les tendances du marché ; / fournir auprès des clients des informations spécifiques à l’industrie ; / et plus généralement, toutes opérations financières, commerciales, industrielles, mobilières, immobilières, pouvant se rattacher directement ou indirectement à l’objet social et à tous objets similaires ou connexes susceptibles d’en faciliter l’extension et le développement ".

35. Par ailleurs, lors de son audition à la CNIL le 23 juin 2021, la société OATH BRANDS (FRANCE) a indiqué qu’" un contrat de prestation a été conclu entre les sociétés OATH BRANDS (FRANCE) SAS et VERIZON MEDIA EMEA ltd., lequel prévoit que la première agit en tant que prestataire de services pour le compte de la seconde afin de promouvoir les produits commercialisés par la société VERIZON MEDIA EMEA ltd. auprès de ses clients français. (…) ".

36. En outre, et comme cela a été indiqué au point 1, la société OATH BRANDS (FRANCE) est intégralement et directement détenue par une holding dont le capital social est lui-même intégralement et directement détenue par la société VERIZON MEDIA NETHERLANDS BV, laquelle détient directement, par ailleurs, la totalité du capital social de la société VERIZON MEDIA EMEA LIMITED.

37. Enfin, comme l’a indiqué la société OATH BRANDS (FRANCE) lors de son audition à la CNIL le 23 juin 2021, la présidence de cette dernière est directement exercée par la société VERIZON MEDIA NETHERLANDS BV, société mère de la société VERIZON MEDIA EMEA LIMITED, devenue la société YAHOO EMEA LIMITED, responsable du traitement.

38. Du reste, il a également été précisé lors de cette audition que " la société OATH BRANDS (FRANCE) refacture ses coûts de fonctionnement à la société VERIZON MEDIA EMEA LTD avec une marge " et que la personne " en charge de la branche commerciale de la société OATH BRANDS (FRANCE), à savoir la promotion des produits publicitaires fournis et vendus par la société VERIZON MEDIA EMEA LTD. (…) rend compte [à cette dernière] ".

39. En dernier lieu, la formation restreinte indique que dans sa décision Société Google LLC et Société Google Ireland Limited (CE, 28 janvier 2022, n° 449209, au Recueil), le Conseil d’État a exclu l’application du mécanisme du guichet unique pour des opérations de lecture et d’écriture dans un terminal. Ainsi, la CNIL n’aurait, en tout état de cause, pas pu communiquer les plaintes qu’elle a reçues à son homologue irlandaise.

40. Ainsi, la formation restreinte estime que la société OATH BRANDS (FRANCE), devenue la société YAHOO France, constitue un établissement, au sens de l’article 3 de la loi Informatiques et Libertés, de la société VERIZON MEDIA EMEA LIMITED, devenue la société YAHOO EMEA LIMITED,

41. S’agissant de l’existence d’un traitement effectué dans le cadre des activités de cet établissement, la société YAHOO EMEA LIMITED soutient que le traitement en cause n’intervient pas dans le cadre des activités de YAHOO FRANCE. Elle indique à cet égard que YAHOO FRANCE n’est impliquée ni dans le traitement, ni dans la conception ou la gestion du traitement de données qu’elle effectue et ne la représente pas dans ces tâches. Elle ajoute que YAHOO FRANCE n’est pas le fournisseur du site " yahoo.com " et n’est pas impliquée dans les relations avec ses utilisateurs français. Elle précise que YAHOO FRANCE n’est pas non plus impliquée dans la vente d’espaces publicitaires sur le site " yahoo.com ", son rôle se limitant à promouvoir les services Yahoo aux annonceurs. Elle en déduit que l’activité de YAHOO FRANCE n’est pas nécessaire au traitement des données qu’elle effectue, de sorte qu’il n’existe pas de liens inextricables entre leurs deux activités, et se réfère sur ce point aux décisions du Conseil d’État Google Inc. (CE, 27 mars 2020, n° 399922, au Recueil) et Amazon Europe Core S.A.R.L.

42. Enfin, la société YAHOO EMEA LIMITED relève que l’interprétation large de la notion " dans le cadre des activités " retenue dans la décision Google Spain SL et Google Inc. se justifiait par les circonstances propres au cas d’espèce, afin d’éviter toute atteinte à la protection des utilisateurs résidant dans l’Union européenne, risque qui ne se présente pas en l’espèce dès lors qu’elle a son siège et son établissement principal dans un État membre.

43. En premier lieu, la formation restreinte relève que le Conseil d’État, dans sa décision AMAZON EUROPE CORE, a rappelé qu’" il résulte de la jurisprudence de la Cour de justice de l’Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par cette directive [la directive " ePrivacy "], consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site " (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, aux Tables).

44. Le Conseil d’Etat a également considéré, dans cette décision, que tel était le cas lorsque les activités de l’établissement du responsable de traitement consistent en la promotion et la commercialisation d’outils publicitaires contrôlés et exploités par le responsable de traitement fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site exploité par le responsable de traitement (point 15 de la décision précitée). Ainsi, le fait que la société YAHOO FRANCE ne soit impliquée ni dans le traitement en cause ni directement dans la vente d’espaces publicitaires est sans incidence sur le fait que le traitement effectué par la société YAHOO EMEA LIMITED puisse s’inscrire dans le cadre des activités de cet établissement.

45. En deuxième lieu, la formation restreinte souligne, comme l’indique le rapport, que la société YAHOO EMEA LIMITED commercialise des espaces publicitaires et des plateformes technologiques disponibles sur ce domaine. Elle précise aussi que la société YAHOO France est, quant à elle, chargée de promouvoir les produits vendus par cette société sur le marché français.

46. Ainsi, au cours de son audition du 23 juin 2021, la société YAHOO FRANCE a indiqué que " l’essentiel des salariés [de la société] travaillent à la promotion des produits vendus par la société VERIZON MEDIA EMEA Ltd. située en Irlande, qui édite les sites " yahoo.com " disponibles dans la région EMEA et notamment le site " fr.yahoo.com ". Elle a aussi précisé que ces produits, " commercialisés par la société VERIZON MEDIA EMEA Ltd. sont essentiellement des produits publicitaires et des plateformes technologiques permettant la diffusion d’annonces sur Internet ". " Promus par la société OATH BRANDS (FRANCE) SAS ", ces produits " sont présents sur le site " fr.yahoo.com " ou d’autres sites de clients partenaires qui utilisent la SSP de VERIZON MEDIA EMEA Ltd. " Il ressort de cette audition que parmi ces plateformes technologiques figurent des outils de publicité programmatique appelés " Supply Side Platform " (plateforme pour l’offre) et " Demand Supply Platform " (plateforme pour la demande).

47. Or, ces plateformes technologiques dont YAHOO FRANCE assure la promotion exploitent le dépôt de cookies dans leur fonctionnement. En effet, le dépôt de cookies est nécessaire pour assurer la traçabilité de la navigation de l’utilisateur au cours du temps et leur lecture à partir d’une page où un annonceur achète un espace publicitaire l’est pour pouvoir lui proposer un ensemble d’annonces personnalisées sur la base de cette navigation.

48. Ainsi, le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de de la navigation sur le site " yahoo.com " et l’utilisation du service " Yahoo Mail ", est effectué dans le cadre des activités de la société YAHOO FRANCE.

49. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis.

50. Il en résulte que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive " ePrivacy ".

B. Sur la détermination du responsable de traitement

51. La formation restreinte relève que le paragraphe 7 de l’article 4 du RGPD, qui s’applique en raison du renvoi fait par l’article 2 de la directive " ePrivacy " à l’ancienne directive 95/46/CE à laquelle s’est substitué le RGPD, prévoit que le responsable de traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".

52. En l’espèce, la formation restreinte relève, sans que cela ait été contesté par la société, que la politique de confidentialité, dans ses versions disponibles au jour des contrôles, indique que " Nous avons recours à des cookies et à d’autres technologies lorsque vous consultez nos Produits et que vous vous servez d’applications et de sites Web tiers utilisant nos Services " étant précisé que le terme " Nous " est défini en début de la politique de confidentialité comme faisant référence à la société VERIZON MEDIA EMEA LIMITED. En outre, cette dernière a, dans son courrier du 2 juillet 2021, indiqué qu’elle " détermine les finalités et les moyens des traitements de données personnelles relatifs à la publicité ciblée sur tous les domaines qui ont été visités lors des vérifications " et qu’à cette occasion, elle a communiqué à la délégation de contrôle la finalité des cookies dont le dépôt avait été constaté au cours des contrôles en ligne.

53. Par ailleurs, tant la société YAHOO FRANCE que la société VERIZON FRANCE ont indiqué à la délégation que la responsabilité de traitement s’agissant du site " yahoo.com " et de la messagerie " Yahoo Mail ", incombait à la société VERIZON MEDIA EMEA LIMITED.

54. Ainsi, la formation restreinte considère, sans que cela ait été contesté par la société, que la société YAHOO EMEA LIMITED agit en qualité de responsable du traitement en cause, en ce qu’elle détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du domaine " yahoo.com " et de la messagerie " Yahoo Mail ".

C. Sur le grief tiré de l’irrégularité de la procédure

55. La société fait valoir la longueur de la présente procédure, le dernier contrôle de la CNIL puis la désignation du rapporteur datant respectivement d’octobre 2021 et de juillet 2023. Elle considère que la période de temps écoulée entre ces deux étapes procédurales a porté atteinte aux droits de la défense et constitue une violation du droit à une bonne administration, de manière impartiale et équitable, et dans un délai raisonnable, tel que consacré par l'article 41 de la Charte des droits fondamentaux de l’Union européenne.

56. En outre, la société conteste la méthodologie suivie par la délégation de la CNIL lors de son contrôle en ligne n° 2020-127/1 dans la mesure où l’une des captures d’écran reproduites en page 14 du procès-verbal ne correspond pas à celle à laquelle le procès-verbal fait référence et qui est annexée en pièce n° 25.

57. La formation restreinte considère, tout d’abord, qu’il ne lui revient pas d’apprécier le délai écoulé entre d’une part la décision de la présidente ordonnant un contrôle et d’autre part, la décision par laquelle elle désigne un rapporteur et saisit la formation restreinte. En outre, la procédure de sanction menée depuis la désignation du rapporteur et la saisine de la formation par la présidente de la CNIL, datés respectivement des 10 et 11 juillet 2023, s’est déroulée en moins de six mois et donc dans des conditions respectueuses des droits de la défense, en termes de délai raisonnable.

58. Ensuite, la formation restreinte note que le procès-verbal de contrôle ne contient aucune erreur dans la mesure où en page 14 de celui-ci figurent deux captures d’écran reproduites l’une en-dessous de l'autre, séparées par la mention " Constatons l’affichage suivant " et que le renvoi fait par le procès-verbal à la pièce n° 25 annexée au procès-verbal ne correspond qu’à la seconde capture d’écran. La première capture d’écran, dont fait état la société en défense, ne renvoie quant à elle à aucune annexe. Outre l'absence d’irrégularité entachant la procédure de contrôle et par voie de conséquence la procédure suivie devant la formation restreinte, cette dernière note que la présentation du procès-verbal et de ses annexes n’a jamais été contestée par la société après notification des documents par la délégation de la CNIL.

59. Par suite, le grief tiré de l’irrégularité de la procédure doit être écarté.

D. Sur les manquements aux dispositions de l’article 82 de la loi Informatique et Libertés

60. Aux termes de l’article 82 de la loi Informatique et Libertés : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".

61. L’article 7(3) du RGPD dispose que : La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

En ce qui concerne le dépôt de cookies sur le terminal de l’utilisateur en l’absence de consentement préalable

62. Le rapporteur soutient que lors de la mission de contrôle en ligne réalisée le 7 octobre 2020 dont les résultats ont été consignés dans les procès-verbaux nos 2020-127/1 et 2020-127/2, la délégation de la CNIL a constaté le dépôt d’au moins 20 cookies poursuivant une finalité nécessitant que l’utilisateur ait préalablement donné son consentement, alors que la délégation n’avait effectué aucune action pour donner son consentement à l’inscription de ces cookies.

63. En défense, la société soutient qu’elle ne peut être sanctionnée pour les manquements constatés lors du contrôle en ligne du 7 octobre 2020 dans la mesure où ce contrôle a été réalisé seulement quelques jours après la publication des lignes directrices du 1er octobre 2020, ce qui ne lui a pas laissé un temps suffisant pour en prendre connaissance et adapter son traitement. Elle souligne que ces manquements ont été commis pendant la période transitoire de six mois, du 1er octobre 2020 au 1er avril 2021, durant laquelle la CNIL avait déclaré qu’aucune mission de contrôle ni action répressive ne serait engagée, à l’exception d’atteinte particulièrement grave au respect de la vie privée.

64. La société conteste, en outre, la méthodologie suivie par la délégation de la CNIL lors du contrôle en ligne réalisé le 7 octobre 2020 pour refuser le dépôt de tous les cookies. Elle relève qu’une des captures d’écran réalisées par la délégation au cours de ce contrôle, qui est reproduite dans le procès-verbal, ne correspond pas à la pièce annexée au procès-verbal.

65. Elle indique, par ailleurs, que le rapporteur lui reproche, à tort, l’inscription de 103 cookies lors du contrôle en ligne du 7 octobre 2020, dès lors que la délégation naviguait sur le domaine d’un site tiers, et non sur le domaine " yahoo.com ". Elle ajoute qu’un grand nombre de cookies déposés sont strictement nécessaires à la fourniture de ses services et étaient donc exemptés de consentement tandis que d’autres ont été déposés par des tiers, alors qu’elle a mis en œuvre tous les moyens permettant de s’assurer que ses partenaires ne déposent pas de cookies sur son site sans se conformer à la législation applicable. Elle précise également qu’après avoir a reçu notification du procès-verbal de constatations en ligne du 7 octobre 2020, elle a immédiatement pris des mesures supplémentaires, notamment auprès de ses partenaires, pour s’assurer que le consentement soit obtenu avant le dépôt de cookies publicitaires. Elle relève que ces mesures ont démontré leur efficacité puisqu’aucun nouveau cookie déposé sans consentement préalable n’a été observé lors du second contrôle en ligne, réalisé le 10 juin 2021.

66. En premier lieu, s’agissant du cadre juridique applicable, la formation restreinte souligne que la CNIL a expressément indiqué dans un communiqué du 29 septembre 2020 que si elle laissait aux organismes un délai pour se mettre en conformité avec ses lignes directrices du 17 septembre 2020, elle continuerait de poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en application du RGPD, éclairées par sa recommandation du 5 décembre 2013. Or, la formation restreinte rappelle que si les recommandations en matière de cookies ont évolué, les pratiques reprochées à la société ont continuellement été considérées comme non conformes par la CNIL et que cette position demeure inchangée.

67. En deuxième lieu, s’agissant des parcours reproduits par la délégation de contrôle, la formation restreinte relève qu’il ressort du procès-verbal de contrôle en ligne effectué le 7 octobre 2020 que lors d’un premier scénario, celle-ci a constaté qu’au moins 20 cookies poursuivant une finalité publicitaire avaient été déposés sur son terminal alors qu’elle n’avait pas exprimé son consentement. Elle observe qu’à l’occasion de son parcours, lorsque la délégation s’est rendue sur la page " yahoo.com ", celle-ci a constaté l’affichage d’une fenêtre portant la mention " Vos données. Votre expérience " relative à l’utilisation de cookies par la société laquelle comportait un bouton " J’accepte " et un bouton " Gérer les paramètres ".

68. Après avoir cliqué sur le bouton " Gérer les paramètres ", la délégation a constaté l’apparition d’une interface permettant de paramétrer le dépôt de cookies, par finalités ou par partenaires grâce à des boutons poussoirs, lesquels étaient désactivés par défaut. La délégation n’a activé aucun de ces boutons puis a cliqué sur le bouton " Enregistrer et continuer " afin de poursuivre sa navigation. La formation restreinte constate qu’au cours de ce premier scénario de contrôle, la délégation de la CNIL a relevé le dépôt de 26 cookies, dont il ressort, au regard des informations transmises par la société au cours de l’instruction, que 7 d’entre eux poursuivaient une finalité publicitaire.

69. La formation restreinte note qu’au cours d’un second scénario, entamé après l’effacement des cookies au sein de son navigateur, la délégation a navigué sur le domaine " yahoo.com ", afin de créer un compte de messagerie " Yahoo mail ". Comme lors du premier scénario, elle n’a pas exprimé son consentement au dépôt de cookies. La formation restreinte observe, ainsi qu’il ressort des pièces du dossier, qu’à mi-parcours, la délégation a constaté le dépôt de 26 cookies dont 12 poursuivaient une finalité publicitaire, selon les informations fournies par la société au cours de l’instruction. Elle relève qu’une fois son parcours de création de compte terminé, la délégation a constaté la présence de 47 cookies sur son terminal, dont 8 poursuivaient une finalité publicitaire, s’ajoutant donc aux 12 précédemment constatés. Au total, la délégation a constaté dans ce scénario le dépôt de 20 cookies à finalité publicitaire.

70. Elle considère donc que, contrairement à ce que soutient la société, la méthodologie suivie par la délégation de contrôle établit clairement qu’au moins 20 cookies poursuivant une finalité publicitaire ont été inscrits sur son terminal, sans consentement préalable.

71. La formation restreinte relève ensuite que dans sa réponse aux observations de la société, le rapporteur a écarté du périmètre du manquement les 103 cookies dont le dépôt avait été constaté par la délégation à partir d’une page n’appartenant pas aux domaines sous la responsabilité de la société. Enfin, elle observe que l’ensemble des pièces versées au dossier fait apparaitre, sans la moindre ambiguïté, que la délégation de contrôle n’a jamais exprimé son consentement au dépôt de cookies par quelque action que ce soit.

72. En second lieu, la formation restreinte rappelle que l’article 82 de la loi Informatique et Libertés exige un consentement aux opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur mais prévoit des cas dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque celui-ci a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

73. En l’espèce, les cookies à finalité publicitaire n’étant ni des traceurs ayant pour finalité de permettre ou faciliter la communication par voie électronique, ni n’étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, ceux-ci ne peuvent être déposés ou lus sur le terminal de la personne, conformément à l’article 82 de la loi Informatique et Libertés, tant qu’elle n’a pas fourni son consentement.

74. Or, la formation restreinte observe qu’au cours des deux scénarios suivis par la délégation, de nombreux cookies nécessitant un consentement préalable ont été déposés sur son terminal sans qu’elle ait préalablement exprimé son accord.

75. Quand bien même la formation restreinte relève que la société a effectivement mis en place une interface permettant aux utilisateurs d’exprimer leur choix quant à l’inscription de cookies dans leur terminal par l’intermédiaire de boutons poussoirs, cela n’a pas empêché le dépôt de cookies alors même que la délégation n’a activé aucun de ces boutons. Elle considère que l’ineffectivité de cette interface emporte de graves conséquences pour l’utilisateur qui n’aura autorisé le dépôt d’aucun cookie puisque ce dernier ne peut pas raisonnablement penser que son choix ne sera pas respecté par la société.

76. En dernier lieu, s’agissant de la circonstance selon laquelle les cookies déposés sans consentement l’ont été par des tiers, la formation rappelle que le Conseil d’État a jugé (CE, 6 juin 2018, Editions Croque Futur, n° 412589, au Recueil), qu’au titre des obligations qui pèsent sur l'éditeur d’un site sur lequel sont déposés des " cookies tiers ", figurent celle de s'assurer auprès de ses partenaires, d’une part, qu'ils n'émettent pas, par l'intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements. Le Conseil d’État a en particulier jugé que " les éditeurs de site qui autorisent le dépôt et l’utilisation de tels "cookies " par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le "cookie ", notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des "cookies" qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements ".

77. En outre, comme elle l’a indiqué dans sa délibération SAN-2021-013 du 27 juillet 2021, la formation restreinte relève que si les recommandations émises par la formation plénière de la CNIL en matière de cookies ont évolué pour tenir compte des évolutions induites par le RGPD en matière de consentement notamment, ces évolutions n’ont pas d’incidence dans le cas d’espèce et il a continuellement été considéré, comme l’indiquait l’article 3 de la délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, que "lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II précité [actuel article 82 de la loi du 6 janvier 1978]".

78. Cette délibération précisait qu’il en est ainsi "des éditeurs de sites internet (ou des éditeurs d'application mobile par exemple) et de leurs partenaires (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d'audience...). En effet, dans la mesure où les éditeurs de site constituent souvent l'unique point de contact des internautes et que le dépôt de cookies de tiers est tributaire de la navigation sur leur site, il leur appartient de procéder, seuls ou conjointement avec leurs partenaires, à l'information préalable et au recueil du consentement, explicités à l'article 2 de la présente recommandation ".

79. La formation restreinte souligne d’ailleurs qu’elle a, à plusieurs reprises, adopté des sanctions pécuniaires à l’encontre d’éditeurs de site pour des faits relatifs aux opérations de lecture et / ou d’écriture d’informations, y compris par des tiers, dans le terminal des utilisateurs visitant leur site, notamment dans la délibération n° SAN-2020-009 du 18 novembre 2020 et dans la délibération n° SAN-2020-013 du 7 décembre 2020.

80. En l’espèce, la société soutient qu’elle a déployé tous les moyens permettant de s’assurer que ses partenaires ne déposent pas de cookies par l’intermédiaire du site " yahoo.com " sans se conformer à la réglementation applicable. Elle se prévaut à cet égard d’un document intitulé " Pratiques, améliorations et gouvernance mises en œuvre […] en matière de cookies ".

81. Ce document fait d’abord état d’un programme de gestion et d’intégrations de ses partenaires, prévoyant notamment que ceux-ci " peuvent uniquement s’appuyer sur le consentement collecté via la plateforme de gestion du consentement de Yahoo EMEA (" CMP "), sur les sites détenus et opérés par Yahoo EMEA, pour pouvoir déposer ou accéder à des informations sur les terminaux des utilisateurs ".

82. Il est également précisé que " Yahoo EMEA a envoyé des enquêtes à ses partenaires afin de comprendre comment ils géraient les signaux de consentement de Yahoo EMEA lorsque Yahoo EMEA a estimé qu'il existait une ambiguïté potentielle ou une mauvaise interprétation des signaux qu'ils recevaient de Yahoo EMEA. Yahoo EMEA a exclu tous les partenaires des sites qu’elle détient et opère dès lors que Yahoo EMEA avait un motif raisonnable laissant penser que les pratiques de ces partenaires n'étaient pas conformes aux politiques et procédures de Yahoo EMEA. " Ce document fait ensuite état de diverses améliorations relatives aux pratiques en matière de cookies, dont la réévaluation des systèmes de publicité, un renforcement de la gouvernance, la mise en place d’un contrôle plus formel et fréquent des sites détenus et opérés par Yahoo.

83. La formation restreinte relève que, si l’ensemble de ces mesures ont abouti à ce que les partenaires de la société ne déposent plus de cookies sans le consentement de l’utilisateur, comme cela ressort du contrôle en ligne du 10 juin 2021, elles n’ont été déployées qu’après le premier contrôle en ligne du 7 octobre 2020, comme cela est d’ailleurs indiqué par la société dans ses écritures.

84. Elle considère que ces mesures sont sans incidence sur le fait que la société a permis, au moins jusqu’en octobre 2020, le dépôt de cookies soumis au recueil préalable du consentement des utilisateurs sans l’accord de ces derniers, en violation de l’article 82 de la " Loi Informatique et Libertés ".

85. Dans ces conditions, la formation restreinte considère que la société YAHOO EMEA LIMITED a méconnu les dispositions de l’article 82 de la loi Informatique et Libertés.

En ce qui concerne l’obstacle au retrait, par l’utilisateur, de son consentement aux cookies

86. Le rapporteur relève qu’au cours des contrôles en ligne des 7 octobre 2020 et 10 juin 2021, lorsque la délégation a souhaité retirer son consentement au dépôt des cookies, les messages affichées par la société dans le cadre du retrait du consentement l’incitaient à ne pas retirer son consentement, sous peine de perdre définitivement l’accès à leur messagerie électronique " Yahoo mail ".

87. La société soutient quant à elle que ni la directive ePrivacy, ni le RGPD, ni l’article 82 de la loi Informatique et Libertés n’encadrent de manière précise la révocation du consentement au dépôt de cookies. Elle ajoute que les utilisateurs français avaient la possibilité de refuser le dépôt des cookies sans devoir renoncer à l’accès et aux produits Yahoo. Elle précise à cet égard qu’il était également possible pour les utilisateurs de révoquer leur consentement via la page principale du " Tableau de bord " Yahoo. La société souligne que, par parallélisme avec la pratique des " cookie wall ", aucun consensus n’existe pour considérer cette pratique comme illégale, qu’en tout état de cause, il existait des alternatives au service " Yahoo Mail " et que les personnes concernées pouvaient demander la portabilité de leurs données conformément à l’article 20 du RGPD.

88. La formation restreinte considère, en premier lieu, s’agissant du cadre juridique applicable en matière de retrait du consentement, que si l’article 82 de la loi Informatique et Libertés conditionne le dépôt de cookies au consentement de l’abonné ou de l’utilisateur, il offre nécessairement, de manière corrélative, le droit à l’intéressé de retirer son consentement et de revenir ainsi sur son choix d’accepter que des cookies soient déposés sur son terminal.

89. La formation restreinte rappelle que la directive " ePrivacy " prévoit en son article 2 (f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD.

90. Ainsi, depuis l’entrée en application du RGPD, le " consentement " prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

91. À cet égard, le considérant 42 de ce Règlement prévoit que : " le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ".

92. La formation restreinte observe en outre que le dernier alinéa de l’article 2 de la recommandation de la CNIL issue de la délibération n° 2013-378 du 5 décembre 2013 rappelait déjà que " les personnes ayant donné leur consentement au dépôt ou à la lecture de certains cookies doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que la personne puisse retirer son consentement aussi facilement qu’elle a pu le donner ". Ensuite, dans sa délibération n° 2019-093 du 4 juillet 2019, la CNIL a maintenu ce rappel à l’article 2, indiquant " qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner ".

93. Il convient également de préciser que saisi d’un recours pour excès de pouvoir formé contre ces lignes directrices, le Conseil d’État a jugé que " la CNIL qui, en indiquant qu’il devait "être aussi facile de refuser ou de retirer son consentement que de le donner", s’est bornée à caractériser les conditions du refus de l’utilisateur, sans définir de modalités techniques particulières d’expression d’un tel refus, n’a entaché sa délibération d’aucune méconnaissance des règles applicables en la matière " (CE, 19 juin 2020, n° 434684, aux Tables). Ainsi, cette disposition des lignes directrices, qui ne fait que rappeler les règles légales, n’a pas été réformée par le Conseil d’État.

94. Enfin, les lignes directrices du 17 septembre 2020 issues de la délibération n° 2020-091 n’ont fait que reprendre ce principe, en indiquant en leur point 31 qu’" il doit être aussi simple de retirer son consentement que de le donner. Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer simplement et à tout moment ". Il ne s'agit donc pas d'une orientation nouvelle qu'auraient fixée ces lignes directrices.

95. En deuxième lieu, la formation restreinte relève que tant lors du contrôle en ligne du 7 octobre 2020 que lors de celui du 10 juin 2021, la délégation de la CNIL a constaté l’affichage, au cours du parcours de retrait du consentement, de messages destinés à informer l’utilisateur des conséquences de son choix sur l’utilisation des services Yahoo.

96. A cet égard, il ressort du premier contrôle réalisé le 7 octobre 2020 pour les besoins duquel la délégation avait créé un compte " Yahoo mail ", que lorsque la délégation a suivi le parcours lui permettant de retirer son consentement elle s’est vu afficher une fenêtre indiquant que le responsable du traitement " stock[e] des cookies (ou une technologie similaire) sur [l’]appareil de l’utilisateur " ainsi qu’une mention précisant : " Vous devez les accepter pour pouvoir utiliser les produits Verizon Média. Si vous les désactivez, vous révoquez votre consentement et ne pourrez plus accéder aux produits Verizon Média, notamment Yahoo Mail, Yahoo News, Huffington Post, etc. ".

97. La formation restreinte relève également qu’après avoir cliqué sur le lien intitulé " En savoir plus " en bas de cette fenêtre, la délégation de la CNIL est arrivée sur une nouvelle page contenant un article répondant à une question dont le libellé indique " Que se passe-t-il si je retire mon accord relatif aux cookies depuis le tableau de bord sur la vie privée ? " et que la réponse à cette question précisait que si " les utilisateurs de l’Union européenne peuvent retirer cet accord relatif aux cookies pour leur compte depuis le tableau de bord sur la vie privée ", " le retrait de cet accord entraînera le blocage de l’accès à nos produits et à d’autres sites et applications Verizon Media ".

98. S’agissant du second contrôle en ligne du 10 juin 2021, au cours duquel la délégation de contrôle a navigué sur le domaine " yahoo " sans créer de compte, la formation restreinte constate également que si un internaute pouvait révoquer son consentement général à partir de la page intitulée " Tableau de bord sur la vie privée et contrôles (visiteurs) ", il apparait qu’avant que l’intéressé n’achève la procédure visant à retirer son consentement, une page surgissait suivie de la mention " Etes-vous sûr ? Vous ne pourrez plus accéder à YAHOO ni aux autres produits Verizon Media ".

99. Cette alerte était accompagnée d’un texte précisant " si vous révoquez votre consentement général, vous perdez l’accès à tous les produits Verizon Média, notamment le contenu de votre messagerie, aussi bien par le biais des services de Verizon Media que par les outils tiers susceptibles d’accéder aux services de Verizon Media. Votre compte sera considéré comme inactif et sera supprimé au bout de 12 mois d’inactivité. Veuillez noter qu’aucun contenu lié à votre compte, comme vos informations d’inscription ou le contenu de votre messagerie, ne sera effacé tant que votre compte n’aura pas été supprimé. Vous continuerez à recevoir des mails dans votre compte mais vous ne pourrez plus y accéder. Si vous souhaitez réutiliser un produit Verizon Média, vous devrez à nouveau fournir votre consentement général avant de pouvoir y accéder. Si vous souhaitez effectuer d’autres activités dans le tableau de bord sur la vie privée (comme télécharger un résumé de vos données) ou dans d’autres produits Verizon Média, veuillez le faire avant de révoquer votre consentement ". En bas de cette fenêtre figurait deux boutons, l’un intitulé " Retour " et l’autre " Révoquer mon consentement général ".

100. La formation restreinte constate qu’à l’occasion des parcours suivis par la délégation, l’utilisateur est invité à exprimer son choix s’agissant de l’inscription de cookies sur son terminal. Elle observe toutefois que lors de ces parcours, la société ne délivre aucune information à l’utilisateur s’agissant du fait que l’inscription de certains cookies, quelle que soient leurs finalités, est indissociable de la fourniture des services Yahoo, dont le service de messagerie électronique. Elle observe que ce n’est qu’à l’occasion du parcours dédié au retrait du consentement que la société porte à la connaissance de l’utilisateur le fait que l’utilisation de ses services est conditionnée à l’acceptation de certains cookies et quelles sont les conséquences d’un retrait du consentement.

101. La formation restreinte observe que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni, pratique qui est assimilable à un cookie wall, n’est pas en soi illégale, c’est à la condition que le consentement soit libre, ce qui implique que tant le refus du consentement que son retrait n’entrainent pas de préjudice pour l’utilisateur.

102. La formation restreinte souligne sur ce point que dans sa décision Meta (C 252/21, 4 juillet 2023), la CJUE apporte un éclairage sur les conditions dans lesquelles le consentement donné par l’utilisateur d’un service et donc, corrélativement, son retrait, peut être considéré comme libre. Ainsi, au point 150 de sa décision, la Cour indique que les " utilisateurs doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation du service offert par l’opérateur du réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données. "

103. Or, en l’espèce, le retrait de consentement ne peut se faire sans préjudice pour l’utilisateur puisqu’il ne peut plus utiliser le service de messagerie. A supposer même que la société puisse valablement se prévaloir du fait qu’elle aurait mis en place un " cookie wall ", et outre le fait que la société n’informe pas correctement les utilisateurs au moment de la création d’un compte ou de leur arrivée sur la page " Yahoo.com " de ce que l’utilisation de ses services est indissociable du dépôt de cookies, il apparait que la société ne propose pas d’alternative aux utilisateurs souhaitant retirer leur consentement, par exemple en fournissant un service de messagerie électronique payante.

104. La formation restreinte relève que l’absence d’alternative proposé par la société affecte nécessairement le caractère libre du retrait du consentement. En effet, l’utilisateur du service " Yahoo Mail " peut, grâce à ce service, échanger avec d’autres personnes au moyen de son adresse électronique, développer son réseau et son carnet d’adresse virtuel et archiver des conversations personnelles ou professionnelles importantes. Dès lors, à mesure qu’il utilise son adresse de messagerie, l’utilisateur se trouve captif du service de messagerie en cause, qui constitue un élément de sa vie privée, familiale, éventuellement professionnelle et qu’il ne peut, dès lors qu’il a commencé à l’utiliser, plus remplacer par n’importe quel service similaire aussi facilement qu’il l’aurait fait initialement. Les utilisateurs ne souhaitant pas changer d’adresse électronique et renoncer au contenu de la messagerie sont dès lors conduits à renoncer au retrait de leur consentement puisque la société ne propose aucune alternative.

105. La formation restreinte observe ensuite que malgré la présence de boutons permettant le retrait du consentement, ces messages sont susceptibles de constituer un obstacle sérieux pour l’utilisateur qui, pour retirer son consentement, doit notamment être prêt à renoncer à l’usage de son adresse électronique, ce qui conduit à entraver sa possibilité de correspondre avec autrui. Un tel renoncement constitue, selon la formation restreinte, un préjudice au sens du considérant 42 du RGPD précité en l’absence, comme rappelé aux paragraphes précédents, d’alternative proposée par la société. Dans ces circonstances, la formation restreinte considère que le retrait du consentement à l’inscription de cookies n’est pas libre.

106. En troisième lieu, la formation restreinte relève également, que si la société indique qu’il existait d’autres méthodes permettant aux utilisateurs de retirer leur consentement, via le " Tableau de bord sur la vie privée Yahoo " et l’onglet " Consentement général ", elle ne fournit aucun élément en ce sens. La formation restreinte observe que lors des parcours utilisateurs qu’elle a suivis, la délégation a systématiquement cliqué sur les boutons et les onglets comportant des intitulés intuitifs tel que " Votre compte ", puis " Consentement général " ou encore, " En savoir plus ". Ainsi, les parcours suivis par la délégation lors des deux contrôles en ligne sont ceux que les utilisateurs sont les plus susceptibles de suivre lorsqu’ils souhaitent retirer leur consentement.

107. En dernier lieu, la formation estime que la circonstance, avancée par la société, selon laquelle les utilisateurs ne souhaitant plus recourir au service de messagerie Yahoo pouvaient exercer leur droit à la portabilité tel que prévu par l’article 20 du RGPD ne permet en aucun cas d’empêcher le dépôt de cookies sur le terminal, ce qui est pourtant l’objet du droit au retrait du consentement. Au demeurant, il ne résulte pas de l’instruction que la société proposait cette solution à ces utilisateurs lorsqu’ils souhaitaient retirer leur consentement.

108. Dans ces conditions, la formation restreinte considère qu'en faisant obstacle au retrait, par l’utilisateur, de son consentement, la société a méconnu ses obligations au regard de l’article 82 de la loi Informatique et Libertés.

III. Sur les mesures correctrices et la publicité

109. Aux termes du III de l’article 20 de la loi Informatique et Libertés :

110. " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : (…) 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. "

111. L’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi Informatique et Libertés, prévoit quant à lui que : " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

A. Sur le prononcé d’une amende administrative

112. En défense, la société YAHOO EMEA LIMITED soutient que compte tenu de l’ensemble des circonstances de l’affaire, et plus particulièrement de ses efforts continus et proactifs en matière de protection des données, l’amende administrative proposée par le rapporteur doit être minorée et ne peut, en tout état de cause, atteindre le plafond légal. Elle indique que le délai d’instruction a eu un impact négatif important sur le montant de l’amende, qui est aujourd’hui déterminé au regard de son chiffre d’affaires de 2022, lequel est nettement supérieur à celui de l’année 2020 qui aurait été pris en compte si la formation restreinte avait examiné l’affaire en 2021. Elle ajoute que plusieurs des facteurs mentionnés au paragraphe 2 de l’article 83 du RGPD justifient de minorer le montant de l’amende administrative. À ce titre, elle précise que l’amende infligée doit correspondre à celle prononcée dans des affaires similaires, conformément aux principes de non-discrimination et d’égalité de traitement. La société ajoute que la CNIL doit, pour déterminer le montant de l’amende administrative, tenir compte de la gravité relative des manquements, du nombre de personnes concernées par ceux-ci, de leur durée, des mesures prises à la suite du premier contrôle en ligne et de sa coopération avec ses services.

113. La formation restreinte rappelle que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement ou à 10 millions d’euros. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.

114. En premier lieu, en ce qui concerne le prononcé d’une amende administrative, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la nature et du nombre de personnes concernées par ce dernier.

115. S’agissant de la nature du premier volet du manquement, la formation restreinte relève que le responsable de traitement a porté une atteinte grave au droit pour les usagers de ses services de conserver la maîtrise de leurs données, en les traitant à leur insu, en contrariété avec le principe même fixé par l’article 82 de la loi Informatique et Libertés qui conditionne une telle action au consentement exprès de l’utilisateur.

116. S’agissant de la portée des opérations de lecture et d’écriture, la formation restreinte relève que le manquement se traduit par le dépôt de cookies par une quinzaine de sociétés spécialisées dans la publicité personnalisée dont le but est de suivre sa navigation sur le web afin que lui soit affichée ultérieurement de la publicité correspondant à son comportement.

117. S’agissant du second volet du manquement, la formation restreinte souligne sa particulière gravité, les conditions de retrait du consentement étant intrinsèquement liées à la liberté de consentir. Or, en l’espèce, ses modalités conduisent à faire pression sur les utilisateurs pour les dissuader de retirer leur consentement au dépôt de cookies, en leur laissant croire qu’ils pourraient ne plus pouvoir se servir des services de Yahoo. La formation restreinte estime que la violation de l’article 82 de la loi Informatique et Libertés est d’autant plus sérieuse qu’il s’agit pour les usagers d’une renonciation, notamment, à l’utilisation de leur messagerie et leur adresse électronique qui constituent des éléments importants de leur vie privée, familiale, éventuellement professionnelle.

118. Enfin, la formation restreinte rappelle que les deux volets du manquement ont été continuellement considérées comme non conformes par la CNIL, notamment dans la première recommandation du 5 décembre 2013.

119. S’agissant de la durée du manquement, pour le premier volet, la formation restreinte estime qu’il a perduré au moins quatre mois, entre le premier contrôle en ligne du 7 octobre 2020 et la finalisation, le 12 février 2021, de la première mesure de réévaluation de la pratique de la société pour s’assurer que les tiers respectent la législation en matière de cookies. Pour le second volet, qui a été constaté tant lors du premier contrôle en ligne qu’à l’occasion du second, le 10 juin 2021, la durée du manquement a couru au moins jusqu’au 7 juillet 2021, date à laquelle la société a supprimé l’onglet " Consentement général " et le texte qui l’accompagnait. La formation restreinte estime donc qu’il a perduré au moins 21 mois.

120. La formation restreinte souligne le nombre important de personnes concernées, au nombre d’environ 5 millions de visiteurs uniques du domaine " yahoo.com " entre 2019 et 2020.

121. En deuxième lieu, la formation restreinte note que la société a collaboré avec les services de la CNIL et qu’elle a répondu à toutes les demandes d’information dans les délais impartis. Ce faisant, les sociétés ont respecté les obligations issues de l’article 18 de la loi Informatique et Libertés, sans que cela soit, pour autant, constitutif d’une circonstance atténuante au sens du f) de l’article 83 du RGPD, dès lors que la société ne démontre pas que sa collaboration avec la CNIL a permis de remédier à la violation identifiée et d’en atténuer les effets négatifs.

122. En troisième lieu, la formation restreinte relève que les améliorations relatives aux pratiques en matière de cookies de la société, synthétisées dans le document intitulé " Pratiques, amélioration et gouvernance mises en œuvre par Yahoo EMEA en matière de cookies ", ont été finalisées entre février et juillet 2021, si bien qu’elles ne peuvent utilement être prises en compte s’agissant des pratiques identifiées antérieurement, lors du premier contrôle en ligne qui s’est déroulé en octobre 2020 et de la pratique constatée lors du second contrôle en ligne de juin 2021. Par ailleurs et en tout état de cause, comme l’a indiqué le rapporteur dans sa réponse aux observations de la société, l’actualisation du processus de protection des données des utilisateurs des services Yahoo s’inscrit dans la gestion courante de la société, qui doit s’assurer que son activité numérique s’effectue dans la légalité et, plus particulièrement, respecte la loi Informatique et Libertés.

123. En quatrième lieu, la formation restreinte souligne, que la société ne peut utilement comparer sa situation à celles d’autres entreprises ayant été sanctionnées pour des manquements à l’article 82 de la loi Informatique et Libertés dans la mesure où le montant d’une amende doit être déterminé au cas par cas.

124. En dernier lieu, l’amende administrative proposée doit être calculée compte tenu du chiffre d’affaires annuel mondial de l’exercice précédent, conformément à ce qu’exige l’article 20 de la loi Informatique et Libertés. La circonstance que le plafond légal de la sanction encourue par la société aurait, compte tenu de l’augmentation de son chiffre d’affaires entre 2020 et 2022, été moins élevé si les pratiques en cause avaient été examinées en 2021 est sans incidence sur ce point.

125. Il résulte de tout ce qui précède et des critères dont il a été dûment tenu compte par la formation restreinte, au vu du montant maximum encouru établi sur la base de 2 % du chiffre d’affaires, qu’il est justifié de prononcer une amende administrative à hauteur de dix millions (10 000 000) d’euros.

B. Sur la publicité de la décision

126. La société YAHOO EMEA LIMITED soutient qu’une telle mesure est disproportionnée pour les mêmes motifs que ceux relatifs à l’infliction d’une amende administrative.

127. La formation restreinte considère toutefois que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées. Elle estime notamment que cette mesure permettra d’alerter les utilisateurs, dans la mesure où les cookies litigieux étaient déposés à leur insu, de la nature des manquements en cause.

128. Enfin, la formation restreinte considère que la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

prononcer à l’encontre de la société YAHOO EMEA LIMITED une amende administrative d’un montant de dix millions (10 000 000) d’euros pour manquement à l’article 82 de la loi Informatique et Libertés ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ;

• adresser cette décision à la société YAHOO FRANCE en vue de son exécution.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.

Retourner en haut de la page