Contexte : une sanction historique pour un géant des télécommunications  

Le 14 novembre 2024, la CNIL a infligé une amende record de 50 millions d’euros à ORANGE, principal opérateur de télécommunications en France. Cette sanction découle de deux manquements distincts à la réglementation sur les données personnelles : l’affichage de publicités dans les boîtes mail des utilisateurs sans leur consentement et une gestion non conforme des cookies sur son site web.

Après la sanction de Free en 2022, cette nouvelle amende record à l’encontre d’un autre opérateur français marque un tournant dans la surveillance des pratiques des acteurs majeurs des télécommunications.

On vous explique les détails de cette affaire dans notre article :

Objet de la sanction : publicités et cookies hors des clous  

 1. Publicités déguisées dans les boîtes mail  

ORANGE exploitait son service de messagerie électronique, Mail Orange, pour insérer des annonces publicitaires entre les courriels des utilisateurs. Ces annonces, qui ressemblaient visuellement à de vrais messages électroniques, étaient affichées sans que les utilisateurs aient donné leur accord explicite.  

L’intégration de ces publicités dans un espace privé a été perçue par la CNIL comme une méthode intrusive de prospection commerciale, nécessitant un consentement préalable.  

 2. Cookies ignorants le retrait de consentement  

Sur le site orange.fr, les cookies continuaient à être lus même après que les utilisateurs avaient retiré leur consentement. Cette pratique contrevient à la loi Informatique et Libertés, qui impose de respecter pleinement la volonté exprimée par les utilisateurs.  

Les manquements reprochés par la CNIL  

 1. Non-respect du consentement pour la prospection commerciale

La CNIL a jugé qu’ORANGE n’avait pas respecté l’obligation de recueillir le consentement explicite avant d’afficher des annonces publicitaires dans les boîtes de réception des utilisateurs. Ces messages promotionnels, qui imitaient la présentation des courriels, constituaient une prospection commerciale déguisée.  C’est un manquement à l’article L.34-5 du CPCE. 

 Ce qui aurait dû être fait : Avant d’afficher ces annonces, ORANGE aurait dû informer les utilisateurs et obtenir leur consentement explicite. Une signalisation claire pour distinguer les publicités des courriels privés aurait également été nécessaire.  

Cet article pourrait vous intéresser : Publicité ciblée : Linkedin écope d’une sanction de 310 000 000€

 2. Lecture illégale des cookies  

Même après le retrait du consentement par les utilisateurs, les cookies déjà déposés sur leurs terminaux continuaient à être lus, en violation de l’article 82 de la loi Informatique et Libertés.  

Ce qui aurait dû être fait : ORANGE aurait dû configurer ses systèmes pour bloquer immédiatement la lecture des cookies après le retrait du consentement. 

 Comment éviter ce type de sanction ?  

Pour prévenir de telles sanctions, les entreprises doivent :  

1. Recueillir un consentement clair et explicite pour toute prospection commerciale, même sous des formes innovantes comme l’affichage dans les boîtes mail.  

2. Assurer une gestion rigoureuse des cookies, en garantissant qu’aucune lecture ne se fait sans autorisation active des utilisateurs.  

3. Auditer régulièrement leurs pratiques pour s’assurer de leur conformité avec la réglementation en vigueur.  

4. Mettre en place des outils techniques fiables permettant de respecter automatiquement les choix des utilisateurs.  

Cet article pourrait vous intéresser : La CNIL publie la liste des organismes contrôlés en 2023

 Conclusion : une sanction exemplaire  

L’amende infligée à ORANGE rappelle que même les grandes entreprises ne sont pas au dessus des règles. Le non-respect des droits des utilisateurs peut non seulement entraîner des sanctions financières lourdes, mais aussi ternir la réputation d’une marque.  

Pour les entreprises, cette affaire constitue un avertissement clair : il est urgent de mettre en place des pratiques conformes, transparentes et respectueuses des droits des utilisateurs en matière de données personnelles.