Le Conseil d’État a rejeté le recours de Yahoo et confirmé l’amende de 10 millions d’euros infligée par la CNIL pour dépôt de cookies publicitaires sans consentement préalable et difficultés pour les utilisateurs à retirer ce consentement.
Yahoo a vu son recours rejeté par le Conseil d’État, qui a validé l’amende de 10 millions d’euros prononcée par la CNIL. Entre 2019 et 2020, près de cinq millions d’internautes français ont été concernés. La juridiction a rappelé que Yahoo, responsable du traitement, ne pouvait se décharger sur ses partenaires publicitaires et que la sanction tient compte de la durée et de la gravité des pratiques. Par ailleurs, le Conseil d’État a confirmé que la CNIL conserve sa compétence directe pour contrôler les cookies et appliquer la directive ePrivacy, indépendamment du mécanisme de guichet unique prévu par le RGPD. La décision montre que les régulateurs nationaux peuvent intervenir sur des plateformes étrangères et que le consentement des utilisateurs doit être obtenu et facilement révoqué. Et ça ne plaisante pas.
Confirmation de l’amende et responsabilité de Yahoo
La juridiction administrative a rejeté le recours de Yahoo et confirmé l’amende infligée par la CNIL. L’autorité avait sanctionné l’entreprise pour avoir déposé des cookies publicitaires sans obtenir de consentement préalable. La décision précise également que Yahoo a mis des obstacles à la suppression de ce consentement, ce qui a aggravé les manquements constatés. Selon les chiffres de la CNIL, près de cinq millions de comptes français ont été affectés entre 2019 et 2020.
Le Conseil d’État a rappelé que Yahoo ne pouvait se décharger de sa responsabilité sur ses partenaires publicitaires. La jurisprudence est claire : le responsable du traitement doit garantir la conformité des dispositifs qu’il utilise. La gravité des pratiques, leur durée et l’ampleur de l’impact sur les utilisateurs ont conduit à une sanction significative, conforme aux textes européens et à la directive ePrivacy. La CNIL indique sur son site officiel les modalités précises qui doivent être respectées pour obtenir un consentement effectif et permettre son retrait simple.
Yahoo avait tenté d’argumenter que la responsabilité pouvait être partagée avec ses partenaires publicitaires. Le Conseil d’État a rejeté cet argument. Les juges estiment que la collecte de données personnelles sur le territoire français engage la responsabilité directe de la société, même si les outils techniques appartiennent à des tiers.
Renforcement du contrôle national et portée pour les GAFAM
Le Conseil d’État a confirmé que la CNIL conserve sa compétence directe pour contrôler l’application des règles sur les cookies et sur la directive ePrivacy. Le mécanisme du guichet unique prévu par le RGPD ne limite pas l’autorité des régulateurs nationaux. Les décisions peuvent donc s’appliquer directement aux plateformes étrangères qui ciblent des utilisateurs français.
Cette confirmation clarifie la hiérarchie des contrôles. La CNIL peut intervenir indépendamment pour sanctionner les manquements, ce qui rappelle que le respect des règles locales sur la protection des données n’est pas optionnel. Pour les grandes plateformes américaines, cela signifie que les dispositifs de consentement doivent être conformes aux standards français et que le retrait doit être accessible à tout moment. Les utilisateurs doivent pouvoir contrôler leurs cookies sans rencontrer de blocages techniques ou de procédures complexes.
En pratique, cette décision intervient à un moment où les GAFAM intensifient leur collecte de données à des fins publicitaires. Les règles locales, qu’elles concernent la directive ePrivacy ou le RGPD, imposent que l’utilisateur soit informé et que son consentement soit librement exprimé. Qui sera le prochain à se mettre en travers du chemin de la CNIL ?
Source : Siècle Digital, Conseil d'État
