Le Conseil d’État a rejeté, dans une décision publiée mardi 7 octobre, le recours formulé par Yahoo EMEA contre la sanction à une amende de 10 millions d'euros prononcée à son égard par la CNIL fin 2023.
Lors de contrôles réalisés entre 2019 et 2021 suite à des plaintes d'internautes, la CNIL avait constaté plusieurs manquements dans la façon dont Yahoo gérait les cookies et le consentement associé.
Sa décision dénonçait notamment des cookies déposés sans accord de l'internaute, mais aussi une incitation à ne pas retirer son consentement, au travers d'un message informant qu'un tel retrait compromettrait sa capacité à accéder aux services de Yahoo, dont la messagerie.
Dans son recours, la branche européenne de Yahoo, basée en Irlande, a tenté de faire valoir que la CNIL n'était pas compétente au regard du mécanisme de « guichet unique » prévu par le RGPD. L'entreprise a également tenté de récuser les manquements sanctionnés, ainsi que le montant de l'amende, jugé disproportionné.
Sur tous ces points, le Conseil d’État a donné raison à la CNIL. Comme il l'avait déjà fait dans un précédent recours porté par Google, il a estimé que la gestion des cookies relevait de la seule compétence des autorités nationales, soit la CNIL en France et non d'un traitement transfrontalier qui aurait pu entacher la procédure d'irrégularité.
Au sujet des cookies déposés sans consentement, le Conseil d’État remarque que ces derniers émanaient aussi bien de Yahoo que d'acteurs tiers, et retient qu'il appartient à Yahoo, en tant que responsable de traitement, « de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements ».
Sa décision rappelle également que si le « cookie wall », pratique qui consiste à conditionner l'accès à un service à l'acceptation des cookies, n'est pas en soi illégale, « c'est à la condition que le consentement soit libre, ce qui implique la possibilité de le retirer librement ». La juridiction administrative retient donc que la CNIL n'a pas commis de manquement en la sanctionnant.
Elle note au passage que « la circonstance, alléguée par la société requérante, que l'affichage des messages liant le consentement à l'accès aux services résultait d'une erreur technique et que l'accès demeurait possible indépendamment du retrait du consentement n'est pas de nature à atténuer l'effet fortement dissuasif de ces messages ».
Elle relève enfin que l'amende de 10 millions d'euros « ne revêt pas un caractère disproportionné » eu égard à la nature et à la gravité des manquements regardés comme établis et ce même si Yahoo a répondu aux sollicitations de la CNIL et procédé à une mise en conformité partielle après la première période de manquement constatée.
Commentaires (0)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousSignaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?