Yahoo! a fêté la fin de l'année 2023 avec une amende de 10 millions d'euros, envoyée par la CNIL pour sa mauvaise gestion du consentement de l'utilisation des cookies sur son site principal yahoo.com et sur sa messagerie Yahoo! Mail.
En ce début janvier, la CNIL affiche la sanction qu'elle a prise envers Yahoo! en fin d'année dernière : 10 millions d'euros. Cette amende, l'autorité la justifie dans une délibération datée du 29 décembre 2023 concernant la gestion des cookies sur plusieurs sites de la multinationale entre 2019 et 2021.
La Commission explique avoir reçu 27 plaintes entre juin 2019 et octobre 2020, « dénonçant notamment le dépôt de cookies sur leur terminal avant toute action, la non-prise en compte de leur refus au dépôt de ces cookies ainsi que sur les modalités de refus de ces derniers à partir du domaine " yahoo.com " et du service de messagerie " Yahoo mail " ».
20 cookies déposés sans consentement
Suite à ces plaintes, la CNIL a effectué un contrôle en ligne le 7 octobre 2020 suivant deux scénarios. Elle a « constaté le dépôt d’au moins 20 cookies » poursuivant une finalité publicitaire lorsqu'elle s'est rendu sur le site yahoo.com « alors que la délégation n’avait effectué aucune action pour donner son consentement à l’inscription de ces cookies ».
L'autorité n'évoque pas le RGPD puisque celui-ci était entré en application un peu avant ce contrôle et qu'elle avait accordé, en septembre 2020, un délai de mise en conformité aux nouvelles règles. Mais, selon la CNIL, ce dépôt est de toute façon contraire à l’article 82 de la loi Informatique et Libertés qui « exige un consentement aux opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur » avec une exemption dont ne font pas partie les cookies à finalité publicitaire.
Yahoo! a fait part à la CNIL que les cookies déposés l'étaient par des entreprises tierces, mais l'autorité rappelle dans sa délibération que le Conseil d'État considère que c'est bien à l'éditeur du site de s'assurer que ses partenaires ne déposent pas de cookies sans le consentement de l'utilisateur.
Jouer sur la peur de perdre l'accès au service
Mais, lors de son contrôle, l'autorité a remarqué que Yahoo! ne faisait pas que déposer des cookies sans le consentement de l'utilisateur.
Lors d'un deuxième contrôle, effectué le 10 juin 2021, la CNIL a pu constater que, lors de la révocation du consentement général de l'utilisateur à partir de la page intitulée " Tableau de bord sur la vie privée et contrôles (visiteurs) ", « il apparait qu’avant que l’intéressé n’achève la procédure visant à retirer son consentement, une page surgissait suivie de la mention " Êtes-vous sûr ? Vous ne pourrez plus accéder à YAHOO ni aux autres produits Verizon Media " ».
Puis Yahoo! affichait un texte précisant « si vous révoquez votre consentement général, vous perdez l’accès à tous les produits Verizon Média, notamment le contenu de votre messagerie [...] ». Un chantage au consentement que la CNIL n'accepte pas.
Elle note que « ce n’est qu’à l’occasion du parcours dédié au retrait du consentement que la société porte à la connaissance de l’utilisateur le fait que l’utilisation de ses services est conditionnée à l’acceptation de certains cookies et quelles sont les conséquences d’un retrait du consentement ».
L'autorité « observe que si le fait de lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni, pratique qui est assimilable à un cookie wall, n’est pas en soi illégale, c’est à la condition que le consentement soit libre, ce qui implique que tant le refus du consentement que son retrait n’entrainent pas de préjudice pour l’utilisateur ». Elle relève aussi que l'absence d'alternative proposée par Yahoo! « affecte nécessairement le caractère libre du consentement ».
Elle considère que ces messages peuvent constituer « un obstacle sérieux pour l’utilisateur qui, pour retirer son consentement, doit notamment être prêt à renoncer à l’usage de son adresse électronique ».
10 millions d’euros d’amende et une décision publique
La CNIL justifie le montant de 10 millions d'euros de l'amende en expliquant que le dépôt de cookies sans le consentement de l'utilisateur est « une atteinte grave au droit pour les usagers de ses services de conserver la maîtrise de leurs données » et elle souligne la « particulière gravité » du manquement concernant la liberté de consentir.
Elle souligne aussi « le nombre important de personnes concernées, au nombre d’environ 5 millions de visiteurs uniques du domaine " yahoo.com " entre 2019 et 2020 ».
La CNIL a aussi décidé de « rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication ».
Comme d'habitude en pareille décision de la CNIL, Yahoo! peut faire un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.
Commentaires (12)
#1
#1.1
#2
Pourtant, elle autorise un cookie wall payant sous réserve de "tarif raisonnable" ? ( https://next.ink/1856/cookie-walls-en-absence-cadre-strict-cnil-fournit-criteres-devaluation/ )
L'obligation de payer n'est donc pas un préjudice financier ?
#2.1
Tu vas sur un site avec cookie wall payant (genre allociné). Si tu refuses, le préjudice est nul (hormis le fait de ne pas consulter le site). Et tu peux généralement aller voir ailleurs.
Si tu prends Yahoo, que tu refuses, tu n'accèdes pas à tes mails. Ce qui est autrement plus problématique et préjudiciable, car tu ne peux pas aller voir ailleurs (sauf à changer d'adresse e-mail ou à utiliser un outil tiers). MAIS ! Car il y a un mais ! A la lecture de la délibération, notamment le point 99 compléter par le point 103, on y apprend que le retrait du consentement bloque, non seulement l'accès au webmail, mais aussi à la messagerie par des outils tiers (= clients mails).
De ce fait, le retrait du consentement présente un préjudice important pour l'utilisateur (l'obligation de changer d'adresse e-mail) puisque l'absence de consentement bloque complètement l'accès au service de messagerie, et que Yahoo ne propose aucune alternative (comme payer pour le service).
#2.2
Ma femme a toujours son e-mail personnelle dessus. C’est compliqué de changer son adresse de messagerie principale et historique. Ça demande du temps et un certain investissement. De nombreuses fois je lui ai conseillé de le faire mais les conseilleurs ne sont pas les payeurs. Nous avons fait des tentatives : toutes ont échoué lamentablement, en partie parce qu’elle s’en fout un peu (sauf quand le service merde), en partie parce que Yahoo! ne facilite pas non plus cette opération.
Yahoo! À toujours mis des barrières plus ou moins importantes à l’utilisation de leur service en dehors de la consultation en ligne. En tout cas &u moins constaté lors de ces tentatives de migration. Je crois me rappeler de certaines difficultés à paramétrer Mail sur son Mac et son iPhone, ou bien des redirections vers une autre adresse mail, le temps de la faire migrer. Rien de comparable avec d’autres acteurs du marché. Une vraie merde.
Sans aucun doute parce que c’est tout leur business modèle qui repose entièrement là dessus - abreuver de publicité lors de l’accès à et durant la consultation des mails.
Ce modèle est entendable, (pub contre service) mais retenir captif des clients par le seul volet technique, est une sorte d’aveux d’impuissance qui ne les honore pas.
#3
#3.1
Si non réponse ou que tu es renvoyé sur le site que tu décris, dans ce cas tu peux le signaler à la CNIL.
#3.2
J'ai recherché il y a peu de trouver en vain de refaire une plainte chez eux mais ils te font tourner de faq en explication. Impossible de trouver. J'ai lâché l'affaire.
Du coup, je n'attends plus rien de leur part.
edit: non, je ne vais pas contacter le dpo de Facebook vu qu'il s'agit juste d'un non respect de la loi. C'est à la cnil de traiter cela selon moi.
#3.3
Ce n'est pas comme ça que fonctionne le RGPD, il responsabilise toute la chaîne, y compris les personnes pour leur permettre d'exercer leurs droits.
La base de départ pour adresser une plainte à la CNIL se trouve sur cette page. Accessible depuis Particuliers => Exercer mes droits => Déposer une plainte.
Le site rappelle d'abord, et ça c'est réglementaire, que tu dois faire la démarche auprès de l'organisme concerné pour l'exercice de tes droits. Dedans tu as un embranchement.
Admettons que tu as contacté le DPO de Facebook : tu vas donc dans Internet => Réseau social => Suppression de mes données. Tu indiques que la réponse n'est pas satisfaisante. Dès lors tu es redirigé vers le site pour déposer la plainte.
Le site permet de se connecter avec France Connect pour info.
Ensuite, tu formalises celle-ci avec tous les éléments nécessaires.
Et voilà.
Par contre oui, ce sont des organismes qui peuvent mettre beaucoup de temps à les traiter. Personnellement je n'ai pas eu de retour sur celle que j'ai envoyée contre HMD Global il y a quelques mois. (edit : en fait c'était l'année dernière... rien d'étonnant hélas)
Cela pourrait être intéressant que Next fasse un petit tuto pour expliquer l'exercice de ses droits du RGPD, comme il avait été fait pour la CADA.
#3.4
J'ai eu un cas similaire, sur une problématique tout autre, mais où la CNIL est compétente. J'ai posé une question, ils ont répondu à côté en me redirigeant vers la FAQ. Quand je leur ai fait remarqué que cela ne répondait pas à ma question, ils m'ont encore rediriger vers la FAQ (et vers la même entrée !!). Et je passe sur le délai total pour les échanges, qui s'élève en mois.
Pour les plus curieux, ma question portait sur la décomposition du numéro de sécurité social au sein d'une application de santé, non pas pour en extraire des informations, mais pour déterminer s'il s'agit d'un numéro de sécu de la personne ou du numéro de sécu assuré (cas des enfants par exemple, qui sont sur le numéro de sécu d'un parent). L'idée, dans le cadre de l'application, c'était que si la date de naissance du patient ne correspondait pas à celle présente dans le numéro de sécu, alors on avait affaire à un numéro assuré et on pouvait le squizer (car dans notre applicatif, le NIR est utilisé à des fins d'identitovigilence, et non à des fins de paiement/remboursement). Le NIR étant d'usage très réglementé, je posais donc la question auprès de l'autorité compétente pour savoir si cet usage était toléré ou non, sachant que normalement, l'extraction d'information du NIR est interdit et qu'on ne décomposait pas le NIR pour en extraire des informations, mais pour les vérifier.
A chaque fois, j'ai été redirigé vers l'entrée de la FAQ indiquant le champ des applications autorisé à utiliser le NIR...
#3.5
En attendant qu'ils traitent ma demande, je demandais à KDP d'expliquer en parallèle, tout ce que j'ai eu comme réponse c'était "voir les conditions d'utilisation" (qui ne mentionnaient aucunement cette raison de rejet).
Je pense que ces cas sont simplement représentatifs de l'état de nos services d'une manière générale et de la considération pour l'utilisateur final : plus d'humain, pas de moyens, que des bots aux réponses pré-mâchées, aucune efficacité.
Là dessus, la CNIL n'y fait pas exception et c'est comme toujours une question de moyens.
D'un certain point de vue, vivement les chatbots GPT généralisés. Eux au moins, ils répondent et savent analyser la demande.
#4
2€ par utilisateurs, ça doit être plutôt rentable pour eux au final.