Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.


Le RGPD a renforcé la notion de consentement des personnes concernées au traitement de leurs données personnelles, véritable pilier de la protection des données personnelles. Même si le consentement de l’utilisateur était déjà l’un des critères de légalité d’un traitement de données personnelles avant le RGPD, sa définition a été renforcée pour constituer l’une des bases légales du traitement. (1)

C’est au nom de ce principe que la CNIL vient de condamner Orange à une amende de 50 millions d’euros pour d’une part, avoir envoyé des messages publicitaires à ses abonnés sans leur consentement et d’autre part, avoir poursuivi la lecture des cookies après le retrait de leur consentement. (2)


1. Prospection commerciale : manquement à l’obligation de recueillir le consentement des abonnés Orange

Lors de deux séries de contrôles en ligne réalisés en juin puis en juillet et novembre 2023 par les agents de la CNIL sur le service de messagerie d’Orange, ceux-ci ont constaté que des annonces publicitaires étaient affichées dans la boîte de réception des utilisateurs du service “Mail Orange”, sans leur consentement préalable. Ces publicités, qui ressemblaient à des emails ordinaires et s’affichaient entre les emails personnels des utilisateurs, entraient dans le champ d’application des règles sur la prospection directe.

Cette pratique est constitutive de manquements aux articles L.34-5 du code des postes et des communications électroniques (CPCE) et 82 de la loi Informatique et Libertés. (3)

L’interprétation de la CNIL se fonde sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 25 novembre 2021. Dans cet arrêt, la CJUE a précisé qu’en application de la directive e-privacy du 12 juillet 2002, l’utilisation de courriers électroniques à des fins de prospection directe n’est autorisée “qu’à condition que l’utilisateur ait été informé de manière claire et précise des modalités de diffusion d’une telle publicité, (…) et ait manifesté son consentement de manière spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires.” (4)

En outre, l’affichage de messages publicitaires entre les emails personnels s’apparente à une utilisation de la messagerie électronique pour la prospection.

La société Orange soutenait que ces messages publicitaires étaient techniquement distincts des emails des utilisateurs et que la responsabilité du recueil de leur consentement incombait aux annonceurs.

La CNIL a toutefois rejeté cet argument, soulignant que la société Orange, en tant que fournisseur du service de messagerie, avait la maîtrise directe de l’affichage des messages publicitaires. Orange était donc responsable de la conformité des pratiques de prospection commerciale (sans pour autant dégager les annonceurs de leur propre responsabilité en matière de conformité).


2. Cookies : manquement à l’obligation d’informer les abonnés et de cesser de lire les cookies après le retrait de leur consentement

En application de l’article 82 de la loi Informatique et Libertés, le dépôt de cookies sur le terminal d’un utilisateur est soumis à son information claire, complète et préalable et doit lui permettre de s’y opposer. (5)

Lors des contrôles opérés par la CNIL, il a été constaté que des cookies continuaient à être lus malgré le retrait du consentement des utilisateurs, dont des cookies à finalité publicitaire et statistique, transmis aux partenaires de la société Orange en violation des dispositions de la loi Informatique et Libertés. (6)

La société Orange invoquait la complexité technique de la gestion du retrait du consentement relatif aux cookies et soutenait que ces cookies n’étaient pas exploités. Elle s’est toutefois engagée à mettre en place des mesures correctives.

La CNIL a rappelé que le dépôt et l’exploitation des cookies sur un terminal sont soumis au consentement de l’utilisateur, consentement qui doit pouvoir être retiré à tout moment. Le retrait du consentement par l’utilisateur implique l’arrêt immédiat de toute lecture des cookies. Ces obligations s’étendent également aux cookies tiers, la société Orange étant responsable de la conformité de ses partenaires commerciaux.

La CNIL a rejeté l’argument d’Orange selon lequel les cookies n’étaient plus exploités. Selon la CNIL, la poursuite de la lecture des cookies après le retrait du consentement des utilisateurs constituait un manquement, quand bien même les données n’étaient pas effectivement exploitées.


3. Les critères retenus pour déterminer le montant de l’amende

Les critères retenus pour déterminer le montant de l’amende administrative sont particulièrement détaillés. Celle-ci est déterminée en prenant en compte les paramètres suivants :

    - La gravité des manquements : la CNIL a tout d’abord rappelé la nature, la gravité et la durée des manquements pour déterminer le montant de l’amende.

Elle a ainsi pris en compte le caractère intrusif de la pratique en cause (insertion de messages publicitaires au milieu des messages personnels des utilisateurs), le nombre d’utilisateurs affectés (Orange est le premier opérateur en France sur les marchés de l’internet et de la téléphonie mobile - la messagerie Orange serait utilisée par environ 8 millions d’abonnés) et la durée des pratiques incriminées.

Le manquement relatif à la lecture des cookie sur le terminal des utilisateurs après le retrait de leur consentement concernerait toute personne visitant le site web orange.fr à savoir 23,5 millions de visiteurs uniques par mois, dont environ 21.000 demandes de retrait de consentement par mois.

L’absence de consentement des utilisateurs pour la prospection commerciale et l’utilisation non conforme des cookies portent atteinte à des droits fondamentaux.

    - La position de la société sur le marché : Orange est l’un des principaux opérateurs de télécommunications dans le monde et l’opérateur historique de télécommunications en France.

Les règles relatives au consentement des utilisateurs sont applicables depuis plusieurs années. Par ailleurs, compte tenu de sa position sur le marché et des moyens dont elle dispose, Orange aurait dû être particulièrement vigilante et rigoureuse pour assurer sa conformité.

    - La coopération de la société avec les agents de la CNIL et les mesures correctives mises en oeuvre : bien qu’Orange ait cessé l’affichage des messages litigieux et adopté un nouveau format pour la prospection commerciale, la CNIL a estimé que ces actions tardives prises après les opérations de contrôle, et non de manière autonome, ne suffisaient pas à réduire la sanction.

    - La dissuasion : selon la CJUE, il y a lieu de retenir, pour déterminer la base de calcul du maximum de l’amende encourue, le chiffre d’affaires mondial de la société, même si les manquements sont limités à un périmètre géographique restreint. En outre, le montant de l’amende doit refléter l’importance de la protection des données personnelles et être dissuasifs pour commettre de futures infractions.

La société Orange a réalisé un chiffre d’affaires de 44,1 milliards d’euros en 2023, pour un résultat net de 2,9 milliards d’euros. Compte tenu de la responsabilité de la société, de ses capacités financières et des critères de l’article 83 du RGPD, la CNIL a fixé l’amende à 50 millions d’euros, montant qu’elle juge fois dissuasif et proportionné.  

      L’activité de prospection commerciale est strictement encadrée : d’une part les inscriptions ne peuvent être réalisées que sur la base du consentement effectif des personnes (“opt-in”), d’autre part les formulaires d’inscription doivent respecter un format très clair (7). La conformité à la règlementation incombe en premier lieu aux annonceurs, mais s’étend également à toute la chaîne des intervenants, sous-traitants, dans l’opération de prospection. Il convient donc de s’assurer que les contrats entre tous ces intervenants sont rédigés avec soin.

N’hésitez pas à nous contacter pour un accompagnement à la mise en conformité de vos opérations de marketing en ligne.

* * * * * * * * * * *


(1) Le consentement est défini aux articles 4 et 7 du RGPD. Il doit être “libre, spécifique, éclairé et univoque.”

(2) Délibération SAN-2024-019 du 14 novembre 2024

(3) L’article L.34-5 du CPCE transpose en droit français les règles relatives à l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine et de courrier électroniques à des fins de prospection directe définies par la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive “ePrivacy”)

(4) CJUE 3é ch., 25 novembre 2021 StWL Städtische Werke Lauf a.d. Pegnitz GmbH, aff. C-102/20

(5) A l’exception des cookies ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et des cookies strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

(6) Voir notre article sur les lignes directrices de la CNIL en matière de cookies

(7) Voir à ce sujet notre article “Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2025

Go back to News and Publications

Mots clés :

advertising (1) ai (15) arcep (3) arcom (7) artificial intelligence (6) audiovisual (1) blockchain (5) children (3) cjeu (2) cloud computing (2) cnil (12) communication (8) compliance (13) confidentiality (1) consumers (1) contract (3) cookies (4) copyright (3) cross-border data transfers (4) cybercrime (2) cybersquatting (1) data privacy (9) data privacy framework (2) database (1) domain names (2) dpf (2) drones (1) e-commerce (9) employee (2) encryption (1) eu (8) europe (6) france (8) gdpr (21) general data protection regulation (5) indexing (2) information technology (3) intellectual property (7) internet (27) ip (4) liability (4) nft (3) privacy (6) privacy shield (2) regulation (1) robotics (5) safe harbor (2) search engines (2) security (3) singapore (3) social media (3) software (3) tax (1) trademark (1) uas (1) unmanned aircraft (1) us (2) video game (2)