Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Orange : 50 millions d’euros d’amende de la CNIL, les cris d’orfraie de l’opérateur

Orange : 50 millions d’euros d’amende de la CNIL, les cris d’orfraie de l’opérateur

Orange vient de prendre un coup de bâton à 50 millions d’euros de la CNIL pour deux manquements. Le premier sur le recueil du consentement pour de la prospection directe par courrier électronique, le second sur la gestion des cookies après retrait du consentement. De son côté, Orange met en avant « l’absence de cadre juridique clair », sans convaincre la CNIL.

Le 10 décembre à 09h38

Dans un communiqué (et la décision publiée sur Légifrance), la CNIL annonce que, le 14 novembre, elle a sanctionné Orange « d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement ».

Des publicités prenaient la forme de vrais courriels

C’est lors de contrôles que la Commission a découvert le pot aux roses : « entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels ». Pour sa formation restreinte, cet affichage nécessitait le recueil du consentement des utilisateurs.

Dans ce dossier, la Commission s’est appuyée sur un arrêt de la Cour de justice de l’Union européenne (CJUE) de novembre 2021. Le cœur du problème est que les messages publicitaires prenaient la forme de courriers électroniques légitimes dans la boite de réception :

La CNIL « a considéré que ces messages faisant la promotion de services ou de biens et qui ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique. En conséquence, il est nécessaire de recueillir le consentement des personnes concernées en application de l’article L. 34 - 5 du CPCE ».

La Commission ajoute que des « messages publicitaires dont l’apparence se rapproche de véritables courriels » ont été constatés lors de contrôles les 7 et 12 juin 2023. Les publicités ne se distinguaient des autres emails « que par une couleur de fond légèrement grisée, une mention " annonce " apposée à droite, ainsi que par la présence d’une croix située du côté gauche et permettant de supprimer le message ».

Pour se fondre dans le décor, « le nom de l’expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et que l’objet des messages s’apparentait également à ceux des autres courriels. Un clic sur ces entrées entraînait l’ouverture, dans un nouvel onglet du navigateur, d’une page du site web de l’annonceur ».

Le consentement aux abonnés absents

La CNIL ajoute que, toujours selon ses constatations, le consentement de l’utilisateur n’était à aucun moment recueilli (Orange ne conteste pas) : « ni au moment de la création du compte, ni au moment de la connexion audit compte, par exemple par l’intermédiaire d’une case à cocher ou d’un bouton poussoir – et qu’en outre, les réglages du compte de messagerie ne permettaient pas de s’opposer à cet affichage ». Or, il est obligatoire pour de la prospection directe par courrier électronique.

La Commission ajoute qu’Orange « a la maîtrise de l’affichage de ces publicités, dans la mesure où elle met à disposition des annonceurs susvisés des emplacements dédiés ». L’opérateur a d’ailleurs décidé d’abandonner ce format de publicités « dès le mois de novembre 2023 ».

Le fournisseur utilise à la place une mise en page « sticky », « permettant selon elle une différenciation nette et non équivoque des courriers électroniques reçus et des annonces publicitaires ». La CNIL confirme que ce nouveau format « permet de distinguer clairement ces annonces des autres courriers électroniques ». Orange ne tombe alors plus dans le cas d’une utilisation des emails à des fins de prospection directe au sens de l’article L. 34 - 5 du CPCE.

Retirer son consentement n’empêche pas la lecture des cookies

Ce n’est pas tout. Les contrôles ont aussi mis en lumière une pratique interdite : « lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus ».

Concernant la gestion des cookies, là encore des constatations ont permis de confirmer « que plusieurs dizaines de cookies, pourtant soumis au consentement de l’utilisateur, ont continué à être envoyés à travers des requêtes vers les domaines auxquels ils sont associés […] après retrait dudit consentement ».

Orange « a cru de bonne foi se conformer aux règles »

Orange ne conteste pas ce point, mais affirme « qu’aucun texte ni aucune jurisprudence ne précise clairement les modalités de prise en compte de retrait du consentement, ni n’impose d’obligation explicite de cesser toute opération de lecture ».

L’opérateur ajoute que, « dans la mesure où, selon elle, ces cookies ne font plus l’objet d’aucune exploitation après ledit retrait (aucun préjudice n’étant dès lors caractérisé pour l’utilisateur), elle a cru de bonne foi se conformer aux règles en vigueur ».

Orange renvoie la balle à ses partenaires et à la CNIL

Orange met aussi sur le tapis des « contraintes techniques liées à la prise en compte du retrait du consentement », notamment sur les domaines tiers. La société affirme que ses partenaires « proposent peu de solutions permettant de s’assurer de la bonne gestion du retrait du consentement et qu’il s’agit d’une pratique de marché généralisée ». Orange regrette aussi le manque d’accompagnement de la CNIL, mais s’engage à prendre des mesures correctives.

La CNIL balaye les arguments d’un revers de la main. Elle rappelle que « les éditeurs de site qui autorisent le dépôt et l'utilisation […] de "cookies" par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement ».

Quant au manque de précisions sur les modalités techniques, la CNIL rappelle que dans sa recommandation du 17 septembre 2020, elle indique que « pour que le retrait du consentement soit effectif, il peut être nécessaire de mettre en place des solutions spécifiques pour garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés ». Par exemple en modifiant la durée de vie des cookies ou en s’assurant de leur suppression « à l’aide d’un script exécuté localement sur le terminal ».

Une sanction « dissuasive et proportionnée »

La rapporteure propose à la CNIL de prononcer une amende administrative sur les publicités et une injonction sous-astreinte pour s’assurer de la mise en conformité en matière de cookies. Orange se défend en faisant « valoir l’absence de cadre juridique clair s’agissant des deux manquements relevés, lesquels ne reposent, selon elle, sur aucune obligation légale claire et précise ». Pour Orange, « une sanction caractériserait une violation du principe de légalité des délits et des peines ».

De plus, le montant proposé par la rapporteure apparait, selon Orange, « disproportionné, excessif et injustifié et témoigne d’une erreur manifeste d’appréciation ». Pour le FAI, « un rappel à l’ordre, une mise en demeure ou un avertissement public aurait pu constituer une mesure correctrice efficace et adéquate ». Orange ne s’oppose cependant pas à la publicité de la sanction (c’est-à-dire au fait de la rendre publique).

La formation restreinte de la CNIL « considère qu’une amende administrative d’un montant de cinquante millions d’euros apparait dissuasive et proportionnée ». Pour justifier sa décision, la CNIL rappelle qu’Orange a une part de marché de 39,5 % sur le fixe et de 34 % sur le mobile. Le FAI se positionne donc « au premier rang du marché français dans ces deux domaines ». Le nombre de clients potentiellement touché est donc important.

Sur l’astreinte, et bien qu’Orange « ait indiqué qu’elle allait déployer, à compter du 9 septembre 2024, des mesures permettant de remédier au manquement à l’article 82 de la loi Informatique et Libertés, la formation restreinte relève qu’au jour de la séance, elle n’a pas justifié de l’évolution de ses pratiques ». Une injonction apparait donc comme nécessaire pour la CNIL, d’un montant de 100 000 euros par jour de retard.

Recours devant le Conseil d’État

À l’AFP, Orange « conteste la sanction et le caractère totalement disproportionné de son montant, et tient à préciser que les faits reprochés ne visent ni une violation ni un défaut de sécurité, mais des pratiques usuelles du marché ne mettant en jeu aucune exploitation de données personnelles de ses clients ».

La sanction est, pour Orange, incompréhensible car la société « n’a fait l’objet d’aucun avertissement ou de mise en demeure au préalable sur ce sujet ». L’opérateur entend donc « exercer un recours contre cette décision devant le Conseil d’État ».

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
En fait ca ne serait pas plus simple pour eux de ne plus utiliser de cookie du tout ?
L'empreinte devrait suffira à identifier les utilisateurs uniques.
votre avatar
Attention, quand on parle de cookie traceur, c'est un abus de langage simplificateur. Cela ne concerne pas que les cookies, mais tous les moyens de tracer un utilisateur, y compris la génération d'une empreinte.

https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite

La question du consentement reste donc entière malgré tout.
votre avatar
La sanction est, pour Orange, incompréhensible car la société « n’a fait l’objet d’aucun avertissement ou de mise en demeure au préalable sur ce sujet »
On est vraiment dans du deux poids deux mesures par rapport à la news d'hier.
Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
votre avatar
Je ne vois pas la dichotomie entre les deux positions.
votre avatar
Heu... tu ne vois pas la différence entre punir et notifier dans le but de corriger un manquement ?

Je suppose donc que l'Arcom (ex HADOPI) peut arrêter d'envoyer des avertissements et couper ton accès internet dés la première infraction constatée ? oui ? non ?
votre avatar
Je suppose donc que l'Arcom (ex HADOPI) peut arrêter d'envoyer des avertissements et couper ton accès internet dés la première infraction constatée ? oui ? non ?
Non. Le Conseil Constitutionnel a déjà dit qu'une telle sanction était inconstitutionnelle.

Voilà ce que c'est quand on fait des Càlc¹ !

¹ Comparaison à la con.
votre avatar
Pourtant "je ne vois pas la dichotomie entre les deux positions" (c) tm. :lapin:
votre avatar
Je repête quoi la 1er action empecherait de facto l'existance ou l'application de la seconde.

Là on ne parle pas n'on plus d'une petite structure avec aucun service juridique.

Et le service juridique d'Orange est très bien garni.
votre avatar
Là on ne parle pas n'on plus d'une petite structure avec aucun service juridique.
Si les actions de la CNIL dépendent de la taille de la structure, on est par définition dans le 2 poids 2 mesures. non ?
votre avatar
Outlook fait de même :mad:
votre avatar
Des pubs pour un produit Microsoft ?

En lisant l'arrêt de la CJUE, c'est bien tous les messages publicitaires ressemblant à des messages de type mail qui sont concernés, pas seulement ceux qui viennent du gestionnaire du service mail.

Donc, tous les webmail qui pratiquent cela doivent obtenir le consentement de l'utilisateur.
votre avatar
Si c'est de la pub pour Microsoft, alors l'intérêt légitime est discutable.
c'est absolument dégueulasse, mais la Cnil autorise ces pratiques : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
votre avatar
Pub actuelle pour PURINA, c'est pas très Microsoft :mdr:
votre avatar
Outlook ajoute un petit encadré "publicité", peut-être que ça suffit à sortir le truc de la catégorie "email de prospection", vu que la décision insiste sur le fait que c'est l'impossibilité de distinguer entre email et pub qui motive la sanction.
votre avatar
Non. La CJUE s'est prononcée sur un cas identique où il y avait "annonce" (en allemand) pour faire la différence.

Il faut donc faire de la pub "à côté" de la gestion des mails.
votre avatar
Ok, je ne m'étais pas farci le document de la CJUE. Maintenant c'est fait. ^^"
votre avatar
Si on parle du 'outlook" qui a remplacer "courrier". C'est indiqué dans les CGU...
C'est pour ça que j'ai installer thunderbird.
votre avatar
Il y a bien une notion d'apréciation pour prendre en compte la "bonne foi" présenté par Orange.
votre avatar
"La société affirme que ses partenaires « proposent peu de solutions permettant de s’assurer de la bonne gestion du retrait du consentement et qu’il s’agit d’une pratique de marché généralisée »."

On accepte de faire du pognon avec des partenaires de merde, mais dès que ça sent le roussi, on pleure que c'est des partenaires de merde. Et que dire de ces sites qui ont des centaines de "partenaires" dans la liste des cookies, partenaires qu'ils ne connaissent probablement même pas
votre avatar
Orange « a cru de bonne foi se conformer aux règles »", par contre la sanction semble lui passer au travers de la gorge. L'amende, elle, ne glisse pas de bonne foi hein, sans doute qu'Orange y est allergique...
votre avatar
Cette actu fait tout de même écho à la précédente parlant du faible nombre de sanctions de la CNIL. J'avais retrouvé il y a quelques temps un article qui comparait avec les pratiques des autres APD européennes. La CNIL sanctionne moins, mais les montants moyens de ses amendes seraient plus élevés que son homologue espagnole par exemple qui sanction plus pour moins cher.
votre avatar
mais des pratiques usuelles du marché ne mettant en jeu aucune exploitation de données personnelles de ses clients
Car les pratiques du marché sont illégales, pas de chances c'est tombé sur vous. Les autres suivront, espérons le.
votre avatar
La sanction est, pour Orange, incompréhensible car la société « n’a fait l’objet d’aucun avertissement ou de mise en demeure au préalable sur ce sujet ». L’opérateur entend donc « exercer un recours contre cette décision devant le Conseil d’État ».
En même temps, est-ce qu'ils ont demandé son avis à la CNIL avant de mettre ces systèmes en place ?
Non ? Bon, ben ils ont joué, ils ont perdu, point.

Orange : 50 millions d’euros d’amende de la CNIL, les cris d’orfraie de l’opérateur

  • Des publicités prenaient la forme de vrais courriels

  • Le consentement aux abonnés absents

  • Retirer son consentement n’empêche pas la lecture des cookies

  • Orange « a cru de bonne foi se conformer aux règles »

  • Orange renvoie la balle à ses partenaires et à la CNIL

  • Une sanction « dissuasive et proportionnée »

  • Recours devant le Conseil d’État

Fermer