Sur Yahoo Mail, le consentement, c’est de la science-fiction selon la Cnil
Yahoo n’est plus la vedette du Web qu’il fût par le passé. En France, l’entreprise ne compte plus qu’une poignée de collaborateurs depuis le dernier PSE d’août 2023. Cela n’empêche pas la firme d’être soumise à la réglementation sur la vie privée.
Rien n’interdit non plus à la Cnil, le gendarme français des données personnelles, de prononcer une sanction contre Yahoo. Et c’est justement ce que vient de faire l’autorité en condamnant Yahoo EMEA Limited.
Vous prendrez bien des cookies pour la route
Car oui, la Cnil est “matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par les sociétés sur les terminaux des internautes situés en France.” Elle ne manque pas de le souligner.
Ce n’est pas le mécanisme de guichet unique du RGPD qui s’applique dans l’affaire opposant Yahoo à la Cnil, mais la directive ePrivacy. Car c’est pour son utilisation non conforme des cookies que l’entreprise écope d’une amende de 10 millions d’euros.
Si Yahoo espérait échapper au couperet pour des histoires de compétences, c’est manqué. “Le recours aux cookies est effectué dans le « cadre des activités » de la société YAHOO FRANCE qui constitue « l’établissement » sur le territoire français de la société YAHOO EMEA LIMITED”, a tranché la formation restreinte.
Mais quels sont les griefs à l’origine de ce réquisitoire en compétence ? Les libertés – ironie puisque celles-ci enfreignent la loi Informatique et Libertés – prises donc par la firme en matière d’utilisation des cookies et de consentement.
publicité
Pas de cookies pub sans consentement explicite
Illustration avec le dépôt de cookies pour les visiteurs du site Yahoo.com. Certes, le service en ligne affichait bien le bandeau requis pour recueillir un consentement. Lors du contrôle en octobre 2020, les internautes pouvaient s’y opposer.
Du moins en théorie puisque même en l’absence de tout consentement, les visiteurs français héritaient d’une “vingtaine de cookies poursuivant des finalités publicitaires.” Qu’ils le veuillent ou non, ces traceurs étaient tout de même déposés sur leurs terminaux.
Yahoo enfreint ainsi l’article 82 de la loi Informatique et Libertés. En effet, “les cookies à vocation publicitaire ne peuvent être déposés que lorsque qu’un consentement explicite n’a été donné”, rappelle l’autorité.
Sur la messagerie Yahoo Mail, la pratique varie un peu, mais l’esprit reste le même. L’utilisateur se voyait forcé la main. Impossible de retirer son consentement sous peine de ne plus pouvoir accéder aux services proposés par la société et dès lors de perdre l’accès à sa messagerie.
Pas de cookies ? Alors plus de messagerie
Certes, lier l’utilisation d’un service à l’inscription de cookies non strictement nécessaires au service fourni n’est pas en soi illégal. A une condition cependant. Le consentement doit être libre, c’est-à-dire ne pas entraîner de préjudice pour l’utilisateur.
Avec pour seule alternative de renoncer à l’usage de sa messagerie électronique, difficile de considérer le consentement recueilli par Yahoo comme libre. Pire, une adresse de messagerie électronique constitue un élément de la vie privée de son utilisateur.
“Ainsi, à mesure qu’il utilise son adresse de messagerie, l’utilisateur ne peut plus la remplacer par n’importe quel service similaire aussi facilement qu’il l’aurait fait initialement”, analyse la formation restreinte de la Cnil. La conséquence : c’est une sanction financière, alourdie du fait de facteurs aggravants.
“Pour déterminer le montant de l’amende, la formation restreinte a tenu compte de ce que la société ne respectait pas le choix des internautes en matière de cookies et qu’elle mettait en place des mesures pour les dissuader de retirer leur consentement au dépôt de cookies.”