50 millions d'euros, voilà le montant de l'amende infligée par la CNIL à Orange. Deux faits sont reprochés au géant français des télécoms : l'absence de consentement dans la diffusion de publicité "déguisée" en courriel et la gestion des cookies après le retrait du consentement.

50 millions d'euros, voilà une bien lourde amende pour Orange ©  Shutterstock / Dragos Asaftei
50 millions d'euros, voilà une bien lourde amende pour Orange © Shutterstock / Dragos Asaftei

Rendue mi-novembre, la décision de la CNIL fait mention « d’une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement ».

Des annonces subtilement affichées dans vos boites mails

Comme la Commission nationale informatique et libertés (CNIL) lors de son contrôle, vous n'êtes surement pas passé à côté de ces annonces si vous possédez une boite mail Orange et la consultez depuis l'interface web ! Des publicités se glissaient entre vos véritables correspondances électroniques, le tout sous une forme qui ne permettait pas réellement de les distinguer d'un courriel. Pour le dire autrement, dans ce dossier, Orange est accusé d'avoir diffusé des messages publicitaires sous la forme de mails légitimes dans la boite de réception de ses utilisateurs.

Voilà à peu de choses près à quoi ressemblait l'affichage publicitaire d'Orange © CNIL
Voilà à peu de choses près à quoi ressemblait l'affichage publicitaire d'Orange © CNIL

Une méthode qui s'apparente finalement à du spam publicitaire lorsque le consentement de l'utilisateur n'a pas été recueilli. Dans son communiqué paru ce 10 décembre, la CNIL : « a considéré que ces messages faisant la promotion de services ou de biens et qui ne sont pas envoyés par un utilisateur à un autre utilisateur, mais affichés dans un espace normalement réservé aux courriels privés en prenant l’apparence de véritables courriels, constituent de la prospection directe par courrier électronique. En conséquence, il est nécessaire de recueillir le consentement des personnes concernées en application de l’article L. 34 - 5 du CPCE ».

La Commission explique ainsi que, lors de ses contrôles en date des 7 et 12 juin 2023, l'apparence des messages publicitaires ne se distinguait que très peu des courriels légitimes avec « une couleur de fond légèrement grisée, une mention "annonce" apposée à droite, ainsi que par la présence d’une croix située du côté gauche et permettant de supprimer le message ». D'autre part, le nom de l'expéditeur, comme l'objet du message, apparaissaient quant à eux comme de véritables courriels, à la différence que ces courriels "déguisés" redirigeaient vers le site web de l'annonceur en question.

Le consentement sur le grill

Le problème dans ce dossier n'est pas tant l'apparence ou la façon d'afficher les publicités, mais tout simplement le consentement. Selon la CNIL, le consentement des utilisateurs n'a été recueilli à aucun moment, tandis que les paramètres de la boite mail ne permettaient pas non plus de s'opposer à l'affichage de ces annonces.

Le dossier ne s'arrête pas là puisque la CNIL a relevé une autre infraction, toujours rapport au consentement : « lorsque les utilisateurs du site orange.fr retiraient leur consentement au dépôt et à la lecture de cookies sur leur terminal, les cookies précédemment déposés continuaient à être lus ».

Une amende disproportionnée selon Orange

Orange n'a pas contesté les conclusions des contrôles sur son service mail et son site web. En revanche, l'opérateur se défend en invoquant diverses contraintes techniques, et explique avoir cru se conformer de bonne foi aux règles imposées par la CNIL. Elle déplore en outre le fait de ne pas avoir reçu d'avertissement ou de mise en demeure au préalable. L'opérateur évoque ainsi une amende de 50 millions d'euros qui lui parait « disproportionné, excessif et injustifié et témoigne d’une erreur manifeste d’appréciation ». De son côté, la Commission motive sa décision par le fait que plus de 7,8 millions d'utilisateurs ont vu les annonces dans leur boite mail. Pour information, Orange a modifié son service de messagerie depuis novembre 2023, avec un affichage de publicités qui, cette fois-ci, permet de distinguer clairement les annonces des courriels légitimes.

L'affaire ira sans doute jusqu'à un recours devant le Conseil d'État. Orange a en effet a fait savoir à l'AFP qu'il « conteste la sanction et le caractère totalement disproportionné de son montant, et tient à préciser que les faits reprochés ne visent ni une violation ni un défaut de sécurité, mais des pratiques usuelles du marché ne mettant en jeu aucune exploitation de données personnelles de ses clients ».

Sources : Cnil, Legifrance