L’opérateur écope d’une amende de 50 millions d’euros, assortie d’une astreinte, pour deux manquements à la réglementation relative à la protection des données personnelles.
Afficher des publicités dans une messagerie requiert le consentement de l’utilisateur. C’est peu ou prou ce qui vaut à Orange une douloureuse de la part de la Cnil. Le régulateur a mené en juin 2023 une mission de contrôle en ligne visant le service Mail Orange. L’enquête a constaté que s’affichait dans la boîte de réception des « messages publicitaires dont l’apparence se rapproche de véritables courriels », entre les véritables courriels. Et ce sans recueillir au préalable le consentement de l’utilisateur quant à ce que la rapporteure de la Cnil estime être de la « prospection directe », au titre du Code des Postes et des Communications Electroniques.
Le fournisseur de messagerie responsable
Ce qui permet à la Cnil de clarifier un point précédemment débattu par la CJUE en 2021, dans une affaire opposant deux sociétés allemandes. Le gendarme des données personnelles considère que Orange « ne se contente pas d’assurer l’acheminement d’un message […] mais commercialise auprès des annonceurs des espaces dédiés, qu’il détermine souverainement et dont il maîtrise l’affichage, au sein de la boîte de courrier électronique des utilisateurs », concluant dans le cas présent à la responsabilité du fournisseur de services de messagerie électronique.
L’autorité conclut ainsi à la responsabilité du fournisseur de messagerie, contrairement au cas où celui-ci ne se contente que d’acheminer des courriers électroniques adressés par un annonceur à un prospect. A noter toutefois que dès novembre 2023 Orange a fait évoluer son interface de sorte que les publicités soient distinguées des courriels légitimes.
Des cookies toujours lus
Mais ce n’était pas la seule procédure qui ciblait l’opérateur, également épinglé pour un manquement quant à sa gestion des cookies. A la suite d’un contrôle mené en juillet 2023 sur le portail Orange, la Cnil a observé que le fournisseur de services permettait bien à ses utilisateurs de retirer leur consentement quant à l’inscription et à la lecture de cookies sur leur terminal.
Cependant, quand bien même l’utilisateur avait retiré son consentement, certains cookies continuaient d’être lus par l’opérateur et ses partenaires. Y compris des cookies publicitaires. « La formation restreinte relève que, par ces opérations de lecture, les valeurs des cookies ne restent pas bornées au terminal de l’utilisateur mais sont transportées jusqu’aux serveurs du système d’information de la société ORANGE et de ses partenaires » écrit le régulateur.
Orange écope donc d’une amende de 50 millions d’euros, justifiée par l’ampleur des manquements : plus de 7,8 millions de personnes ayant vu s’afficher les publicités en cause dans leur boîte de réception, explique la Cnil. La douloureuse est assortie d’une astreinte journalière de 100 000 euros par jour de retard, liquidable à l’issue d’un délai de trois mois, de mettre en œuvre les moyens techniques nécessaires au respect du retrait du consentement des utilisateurs quant aux cookies.
