|

Ajouter un favori pour commencer

En savoir plus
tele
11 décembre 2024Lecture 4 minutes

Une sanction de 50 millions d'euros : la CNIL frappe fort contre Orange

Rédigé par:Denise Lebeau-MariannaStéphanie Lapeyre-CastellaneTess Muckensturm

La CNIL a infligé une amende de 50 millions d’euros à Orange SA (« Orange ») pour des pratiques non conformes en matière de prospection commerciale et d’utilisation de cookies. Une sanction qui fait écho à la politique stricte de l’autorité dans ces domaines.

Notre éclairage en quelques points :

 

Les manquements reprochés à Orange

Publicités déguisées en courriels : Orange insérait des messages publicitaires dans les boîtes de réception de ses utilisateurs, prenant l’apparence de courriels privés, sans leur consentement, en violation de l’article L. 34-5 du Code des postes et des communications électroniques (CPCE).

Absence de prise en compte du retrait du consentement au dépôt de cookies : Sur le site orange.fr, des cookies continuaient à être lus et transmis à Orange et ses partenaires même après le retrait du consentement des utilisateurs, en violation de l’article 82 de la loi Informatique et Libertés (LIL).

 

La sanction prononcée

La CNIL a prononcé une amende de 50 millions d’euros à l’encontre de la société Orange, en prenant en compte :

  • La gravité des violations (caractère intrusif des messages publicitaires) ;
  • Le nombre d’utilisateurs impactés qui s’élevait à plus de 7,89 millions ;
  • La position d’Orange sur le marché ;
  • La négligence d’Orange (les règles applicables en matière de prospection commerciale et de gestion des cookies étant bien établies par la CNIL) ;
  • L’avantage financier tiré par Orange de ces pratiques.

Si la CNIL reconnait qu’Orange a remédié à son manquement en matière de prospection commerciale, elle lui a en revanche ordonné de mettre en conformité ses pratiques en matière de cookies dans un délai de trois mois, avec une astreinte de 100 000 € par jour de retard.

 

Les points clés à retenir

Proportionnalité de la sanction : Cette amende représente 0,11 % du chiffre d'affaires d'Orange, ce qui constitue une amende conséquente au regard des sanctions passées de la CNIL. Par exemple la sanction à l’encontre de Meta Ireland prononcée par la CNIL en 2021 pour manquement à l’article 82 de la LIL représentait 0.07% du chiffre d’affaires de la société. En 2023 la CNIL a prononcé à l’encontre de Canal+ une sanction représentant 0,032% de son chiffre d’affaires pour divers manquements dont un manquement à l’article 34-5 du CPCE.

Prospection par courrier électronique : Si laCNIL adopte une interprétation extensive de l’article L.34-5 du CPCE en ligne avec un arrêt de la CJUE du 25 novembre 2021[1] (en considérant que la simple utilisation de la boite électronique pour afficher un message de prospection suffit potentiellement à faire entrer cette opération dans le champ de cet article), c’est en réalité le format des messages en cause, prenant l’apparence de véritables courriels, qui est pointé du doigt. Le raisonnement de la CNIL dans cette délibération ne s’applique donc pas aux pratiques standards d’affichage de bannières publicitaires ou de fenêtres contextuelles, y compris celles réalisées sur une plateforme de messagerie (à condition néanmoins que cela reste en marge de la liste des courriels).

Responsable de traitement et consentement : La CNIL considère que la responsabilité d’obtenir le consentement des utilisateurs à la réception de messages publicitaires reposait sur Orange en tant que fournisseur de messagerie, et non pas sur l’annonceur, en raison (i) du rôle actif d’Orange dans l’affichage desdits messages et (ii) du fait qu’il s’agissait de la seule entité en contact direct avec les utilisateurs. La CNIL ne précise cependant pas clairement si ce consentement aurait dû être un consentement standard ou un consentement « partenaire ».

CNIL et cookies : La CNIL donne, dans cette délibération, des recommandations concrètes sur les solutions pouvant être mises en place pour garantir la prise en compte d’un retrait de consentement à la lecture/écrite de traceurs (§97). Elle rappelle également qu’il appartient à l’éditeur d’un site de s’assurer que ses partenaires, déposant des cookies tiers sur son site, se conforment au RGPD (et notamment s’agissant de la prise en compte par ces derniers de tout retrait du consentement d’un utilisateur).

Merci à notre stagiaire Tatiana El Hajj.

1CJUE, troisième chambre, 25 novembre 2021, StWL Städtische Werke Lauf a.d. Pegnitz Gmbh, C-102/20

Compétences connexes

TelecomsData, Privacy and Cybersecurity
Mentions légalesPolitique relative aux cookiesEsclavage modernePolitique de confidentialitéWhistleblowingPlan du site

DLA Piper est un cabinet d'avocats international exerçant ses activités par l'intermédiaire de diverses sociétés autonomes et distinctes. Pour plus d'informations sur ces sociétés et la structure de DLA Piper, veuillez consulter la page Mentions légales de ce site. Tous droits réservés. Publicité avocats.

© 2024 DLA Piper