La Commission Nationale de l’Informatique et des Libertés (CNIL) a frappé fort en infligeant une amende historique de 10 millions d’euros à Yahoo! EMEA Limited le 29 décembre 2023. La sanction découle de multiples manquements relatifs au respect des choix des utilisateurs en matière de cookies sur son site, Yahoo.com, ainsi que dans sa messagerie électronique Yahoo! Mail.

De nombreuses plaintes adressées

Près de 27 plaintes ont été adressées à la CNIL concernant Yahoo! EMEA Limited, éditeur de services web divers tels qu’un moteur de recherche et une messagerie électronique. Ces plaintes soulignaient le non-respect des préférences de refus de cookies et les difficultés rencontrées par les utilisateurs pour retirer leur consentement au dépôt de cookies.

Ces plaintes ont mené, entre octobre 2020 et juin 2021, à des contrôles en ligne approfondis sur Yahoo.com et Yahoo! Mail par la CNIL.

Cet article pourrait également vous intéresser : Plaintes CNIL : 100% des plaintes sont traitées ! Comprendre l’impact des vérifications systématiques. 

Les manquements identifiés et sanctionnés par la CNIL

Dépôt de cookies sans consentement explicite

Lors des contrôles réalisés, la CNIL a découvert qu’après le refus exprimé par un utilisateur sur Yahoo.com quant aux dépôt de cookies, une vingtaine de cookies à des fins publicitaires étaient tout de même déposés sur son terminal. Un flagrant manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, selon la formation restreinte de la CNIL.

Dissuasion du retrait de consentement

La CNIL a également pointé du doigt la politique de Yahoo! Mail. Lorsqu’un utilisateur voulait retirer son consentement au dépôt de cookies, la société a averti que cela entraînerait une perte d’accès aux services et à la messagerie. La formation restreinte souligne que lier l’utilisation d’un service à l’acceptation de cookies non essentiels n’est pas illégal, tant que le consentement est libre. Or, Yahoo! n’a pas offert d’alternative, restreignant ainsi la liberté de retrait du consentement.

Email, vie privée et obligations

La CNIL a rappelé que l’adresse e-mail est un élément essentiel de la vie privée, utilisée pour des échanges personnels et professionnels. En restreignant l’accès à la messagerie comme seule option de retrait de consentement, Yahoo! a violé le principe de libre exercice du retrait du consentement.

Compétence de la CNIL

La CNIL a affirmé sa compétence matérielle et territoriale pour contrôler et sanctionner les sociétés déposant des cookies sur les terminaux en France. Malgré le mécanisme de « guichet unique » du RGPD, la directive « ePrivacy » transposée à l’article 82 de la loi Informatique et Libertés donne à la CNIL une compétence exclusive sur ces affaires. La formation restreinte a également souligné la compétence territoriale basée sur les activités de Yahoo! France en tant qu’établissement de Yahoo! EMEA Limited en France.

Cette amende historique envoie un message fort sur le respect des choix des utilisateurs en matière de confidentialité en ligne, soulignant que les entreprises doivent se conformer strictement aux lois sur la protection des données.