Conseil d'État
N° 494300
ECLI:FR:CECHR:2025:494300.20251007
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Alexandra Poirson, rapporteure
SARL MATUCHANSKY, POUPOT, VALDELIEVRE, RAMEIX, avocats
Lecture du mardi 7 octobre 2025
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un nouveau mémoire, enregistrés les 16 mai et 14 août 2024 et le 11 mars 2025 au secrétariat du contentieux du Conseil d'Etat, la société Yahoo EMEA Limited demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2023-024 du 29 décembre 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 10 millions d'euros ;
2°) à titre subsidiaire, de réformer cette délibération en réduisant le montant de l'amende qui lui a été infligée ;
3°) de surseoir à statuer et de saisir la Cour de justice de l'Union européenne de la question préjudicielle suivante : " Les dispositions de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002 modifiée (directive ePrivacy), combinées au considérant 173 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et aux dispositions de l'article 56 du même règlement doivent-elles s'interpréter comme imposant l'application du mécanisme du guichet unique au contrôle de l'application des dispositions de l'article 5 (3) de la directive ePrivacy en présence d'un traitement de données à caractère personnel transfrontalier entrant dans le champ d'application matériel du RGPD et de la directive ePrivacy ' ".
4°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Poirson, auditrice,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SARL Matuchansky, Poupot, Valdelièvre, Rameix, avocat de la société Yahoo Emea Limited ;
Vu la note en délibéré, enregistrée le 5 septembre 2025, présentée par la société Yahoo EMEA Limited ;
Considérant ce qui suit :
1. La société Yahoo EMEA Limited demande l'annulation de la délibération du 29 décembre 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 10 millions d'euros pour des manquements à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés tenant, d'une part, à des pratiques de lecture et d'écriture de données par le biais de cookies à des fins publicitaires sans recueil préalable du consentement et, d'autre part, à des modalités de retrait du consentement aux cookies, et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
En ce qui concerne la compétence matérielle de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. A ce titre, en particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre. "
4. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. "
5. Il résulte de l'économie générale de la loi du 6 janvier 1978 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du RGPD. Par suite, la circonstance que l'opération de dépôt et de lecture d'informations dans l'équipement terminal des utilisateurs en cause ne constitue pas un traitement de données à caractère personnel est sans incidence sur la compétence de la CNIL pour mettre en oeuvre ses prérogatives au titre de l'article 82 de la loi.
En ce qui concerne la compétence territoriale de la CNIL :
6. Aux termes du premier alinéa de l'article 3 de la loi du 6 janvier 1978 : " Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France. "
7. Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : " Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (...) ". Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel " effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union ", doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression " dans le cadre des activités d'un établissement " ne saurait recevoir une interprétation restrictive.
8. Il résulte de l'instruction que la société Yahoo France a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, qu'elle est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 cité au point 3 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.
9. Si la société requérante se prévaut, pour contester la compétence de la CNIL, des dispositions de l'article 56 du RGPD en vertu desquelles l'autorité compétente pour agir à l'égard d'un traitement transfrontalier, est l'autorité nationale de contrôle de l'établissement du responsable de traitement, c'est-à-dire en l'espèce l'autorité irlandaise, l'application du mécanisme dit de " guichet unique " n'a pas été prévue pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales en vertu de l'article 15 bis de cette directive. Dès lors qu'en l'espèce la décision attaquée a entendu assurer le respect des seules obligations de l'article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l'article 5 de la directive 2002/58/CE, cette argumentation peut être écartée, sans qu'il soit besoin de saisir à titre préjudiciel la Cour de justice de l'Union européenne en l'absence de tout doute raisonnable quant à l'interprétation des dispositions en cause du droit de l'Union européenne.
Sur la procédure de sanction :
10. Il résulte de l'instruction que les contrôles en ligne du 7 octobre 2020 et du 10 juin 2021, destinés à vérifier le respect des dispositions de la loi du 6 janvier 1978 par les traitements accessibles à partir du domaine " yahoo.com ", ont été suivis d'une audition de Yahoo France le 23 juin 2021 et d'échanges entre la délégation et les sociétés contrôlées, qui se sont poursuivis par écrit jusqu'au 25 octobre 2021. Par une décision du 10 juillet 2023, la présidente de la CNIL a désigné un rapporteur qui, le 11 août 2023, a notifié à la société le rapport prévu par l'article 22 de la loi du 6 janvier 1978 proposant à la formation restreinte de prononcer une amende administrative pour un manquement à l'article 82 de cette loi. Par la délibération attaquée du 29 décembre 2023, la formation restreinte a prononcé cette sanction.
11. Si la société requérante soutient que la durée de la procédure aurait porté atteinte aux droits de la défense et au principe de sécurité juridique, d'une part, aucune disposition ne limite la durée d'instruction devant la CNIL et, d'autre part et en tout état de cause, il ne s'est écoulé qu'un peu plus de cinq mois entre la désignation du rapporteur et l'intervention de la décision attaquée, de sorte que la durée de la procédure de sanction proprement dite a été brève.
12. Par ailleurs, d'une part, la société requérante ne peut utilement soutenir que le rapporteur désigné aurait dû procéder à des mesures complémentaires d'investigation par rapport à la phase de contrôle préalable, de tels contrôles ultérieurs étant, en tout état de cause, sans incidence sur la matérialité des faits déjà constatés. D'autre part, si la société requérante estime qu'auraient dû lui être communiqués les fichiers HAR, c'est-à-dire les fichiers archives retraçant les requêtes réalisées par les enquêteurs de la CNIL et les réponses reçues, ainsi que les vingt-sept plaintes reçues par la CNIL relatives aux manquements ayant fait l'objet de la sanction, ces éléments n'ont, en tout état de cause, pas servi à établir les manquements sanctionnés.
13. Il résulte de tout ce qui précède que le moyen tiré de ce que la CNIL aurait pris sa délibération au terme d'une procédure entachée d'irrégularité doit être écarté.
Sur les manquements sanctionnés :
En ce qui concerne le dépôt de cookies sur les terminaux des utilisateurs en l'absence de consentement préalable :
14. En premier lieu, il résulte de l'instruction, et n'est pas sérieusement contesté, qu'un certain nombre de cookies ont été déposés directement par la société requérante sur les terminaux des utilisateurs sans leur consentement préalable, en méconnaissance des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 4.
15. En second lieu, s'agissant des cookies déposés par des tiers, les éditeurs de site qui autorisent le dépôt et l'utilisation de cookies par des tiers à l'occasion de la visite de leur site sont considérés comme responsables de traitement mais ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis les cookies. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements. C'est donc à bon droit que la formation restreinte a, pour retenir un manquement aux dispositions de l'article 82 de la loi du 6 janvier 1978, apprécié les démarches effectuées par Yahoo EMEA Limited, en tant que responsable de traitement, auprès de ses partenaires pour s'assurer du respect, par ceux-ci, de leurs obligations et considéré que ces démarches, qui n'avaient d'ailleurs été mises en oeuvre qu'après le premier contrôle des services de la CNIL le 7 octobre 2020, n'avaient pas été suffisamment diligentes.
16. Il en résulte que la formation restreinte de la CNIL a pu, à bon droit, considérer comme établi le manquement tiré du dépôt de cookies sans consentement préalable.
En ce qui concerne les obstacles au retrait, par l'utilisateur, de son consentement :
17. Il résulte de l'instruction que, s'il est constant que l'utilisateur des services proposés par Yahoo était invité à exprimer son choix s'agissant des cookies et que des boutons lui permettaient de retirer son consentement, il est apparu lors des deux contrôles en ligne effectués en 2020 et 2021, ainsi que l'a relevé la formation restreinte, que le parcours sur le domaine " Yahoo ", indépendamment de la création ou non d'un compte " Yahoo Mail ", conduisait, avant de pouvoir retirer le consentement au dépôt de cookies sur le terminal, à l'affichage d'un message indiquant que ce retrait aurait pour conséquence l'impossibilité d'accéder aux produits et services proposés par la société Verizon Media (Yahoo EMEA Limited). Or, si le fait de lier l'utilisation d'un service à l'inscription de cookies non strictement nécessaires au service fourni, pratique qui est assimilable à un " cookies wall ", n'est pas en soi illégale, c'est à la condition que le consentement soit libre, ce qui implique la possibilité de le retirer librement.
18. La formation restreinte a relevé qu'aucune information n'était délivrée, au moment de la souscription des services Yahoo, quant au caractère indissociable de l'expression du consentement et de la fourniture de ces services, ce caractère indissociable n'étant révélé que lorsque l'utilisateur s'engageait dans un parcours de retrait du consentement. Or, un important préjudice peut résulter, pour l'utilisateur, de la fin de l'accès aux services et en particulier à " Yahoo Mail " et à l'adresse de messagerie, qui constitue un élément important de la vie privée, familiale et éventuellement professionnelle. La circonstance, alléguée par la société requérante, que l'affichage des messages liant le consentement à l'accès aux services résultait d'une erreur technique et que l'accès demeurait possible indépendamment du retrait du consentement n'est pas de nature à atténuer l'effet fortement dissuasif de ces messages. Par suite, la formation restreinte n'a pas commis d'erreur d'appréciation en regardant comme établi le manquement tenant à l'existence d'un obstacle au retrait, par l'utilisateur, de son consentement au dépôt ou à la lecture, sur son terminal, de traceurs de connexion.
19. Si la société requérante soutient, à cet égard, que la CNIL ne pouvait faire usage de son pouvoir de sanction alors que le premier contrôle en ligne avait eu lieu durant la période qu'elle avait laissée aux opérateurs pour se mettre en conformité avec les nouvelles lignes directrices relatives aux " cookies et autres traceurs " qu'elle avait adoptées par sa délibération du 17 septembre 2020, un obstacle au retrait, par l'utilisateur, de son consentement au dépôt de cookies était déjà considéré comme un manquement avant l'intervention de ces lignes directrices.
Sur le montant de l'amende :
20. Aux termes du paragraphe 2 de l'article 83 du RGPD : " Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : (...) / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées; (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ". Aux termes du III de l'article 20 de la loi du 6 janvier 1978, dans sa rédaction applicable au litige : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : (...) 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ; (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 (...) ".
21. Il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société requérante, la formation restreinte de la CNIL a tenu compte, sur le premier volet du manquement, de la portée des opérations de dépôt de cookies sans consentement par une quinzaine de sociétés spécialisées dans la publicité personnalisée, et sur le second volet du manquement, de sa particulière gravité, en tant qu'il touche aux conditions de retrait du consentement, lequel est intrinsèquement lié à la liberté de consentir. Elle a également tenu compte de la durée du manquement, respectivement de 4 mois sur le premier volet et de 9 mois sur le second, en dépit de ce qu'une erreur matérielle entache le paragraphe 119 de la décision attaquée s'agissant de cette dernière durée. Enfin, elle a retenu que 5 millions de visiteurs uniques avaient visité le domaine " yahoo.com " entre 2019 et 2020.
22. La société requérante soutient que la CNIL ne pouvait lui infliger d'amende administrative sans retenir de faute intentionnelle ou de négligence de sa part. Il ressort toutefois des termes de la décision attaquée et de la nature des manquements que ceux-ci résultent à tout le moins d'une négligence de la part de Yahoo EMEA Limited, ce qui n'est pas contesté.
23. Eu égard à la nature et à la gravité des manquements regardés comme établis et en dépit de l'attitude coopérative de la société requérante, qui a répondu aux sollicitations de la CNIL, et de la mise en conformité partielle intervenue après la fin de la période retenue au titre du premier manquement, la sanction de 10 millions d'euros prononcée à son encontre ne revêt pas un caractère disproportionné. Sont sans incidence à cet égard le délai écoulé entre la constatation des manquements et l'engagement de la procédure de sanction, la hausse du chiffre d'affaires constatée entre l'exercice clos en 2021 et celui pris comme référence pour déterminer le plafond de la sanction en application des dispositions de l'article 20 de la loi du 6 janvier 1978 citées au point 20 ainsi que la circonstance que d'autres entreprises se seraient vu infliger des sanctions d'un montant différent pour des manquements de même nature.
24. Il résulte de tout ce qui précède que la société Yahoo EMEA Limited n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Sa requête doit par suite être rejetée, y compris ses conclusions tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la société Yahoo EMEA Limited est rejetée
Article 2 : La présente décision sera notifiée à la société Yahoo EMEA Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 5 septembre 2025 où siégeaient : M. Pierre Collin, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et Mme Alexandra Poirson, auditrice-rapporteure.
Rendu le 7 octobre 2025.
Le président :
Signé : M. Pierre Collin
La rapporteure :
Signé : Mme Alexandra Poirson
La secrétaire :
Signé : Mme Magali Méaulle
N° 494300
ECLI:FR:CECHR:2025:494300.20251007
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Alexandra Poirson, rapporteure
SARL MATUCHANSKY, POUPOT, VALDELIEVRE, RAMEIX, avocats
Lecture du mardi 7 octobre 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et un nouveau mémoire, enregistrés les 16 mai et 14 août 2024 et le 11 mars 2025 au secrétariat du contentieux du Conseil d'Etat, la société Yahoo EMEA Limited demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2023-024 du 29 décembre 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 10 millions d'euros ;
2°) à titre subsidiaire, de réformer cette délibération en réduisant le montant de l'amende qui lui a été infligée ;
3°) de surseoir à statuer et de saisir la Cour de justice de l'Union européenne de la question préjudicielle suivante : " Les dispositions de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002 modifiée (directive ePrivacy), combinées au considérant 173 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et aux dispositions de l'article 56 du même règlement doivent-elles s'interpréter comme imposant l'application du mécanisme du guichet unique au contrôle de l'application des dispositions de l'article 5 (3) de la directive ePrivacy en présence d'un traitement de données à caractère personnel transfrontalier entrant dans le champ d'application matériel du RGPD et de la directive ePrivacy ' ".
4°) de mettre à la charge de l'Etat la somme de 10 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Poirson, auditrice,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SARL Matuchansky, Poupot, Valdelièvre, Rameix, avocat de la société Yahoo Emea Limited ;
Vu la note en délibéré, enregistrée le 5 septembre 2025, présentée par la société Yahoo EMEA Limited ;
Considérant ce qui suit :
1. La société Yahoo EMEA Limited demande l'annulation de la délibération du 29 décembre 2023 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 10 millions d'euros pour des manquements à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés tenant, d'une part, à des pratiques de lecture et d'écriture de données par le biais de cookies à des fins publicitaires sans recueil préalable du consentement et, d'autre part, à des modalités de retrait du consentement aux cookies, et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
En ce qui concerne la compétence matérielle de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. A ce titre, en particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre. "
4. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. "
5. Il résulte de l'économie générale de la loi du 6 janvier 1978 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du RGPD. Par suite, la circonstance que l'opération de dépôt et de lecture d'informations dans l'équipement terminal des utilisateurs en cause ne constitue pas un traitement de données à caractère personnel est sans incidence sur la compétence de la CNIL pour mettre en oeuvre ses prérogatives au titre de l'article 82 de la loi.
En ce qui concerne la compétence territoriale de la CNIL :
6. Aux termes du premier alinéa de l'article 3 de la loi du 6 janvier 1978 : " Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l'article 3 de ce règlement, l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France. "
7. Le paragraphe 1 de l'article 4 de la directive 95/46/CE disposait que : " Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : / a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre (...) ". Il résulte de la jurisprudence de la Cour de justice de l'Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16) qu'au vu de l'objectif poursuivi par cette directive, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, d'une part, l'établissement sur le territoire d'un État membre suppose l'exercice effectif et réel d'une activité au moyen d'une installation stable et, d'autre part, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la Cour de justice du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du RGPD, qui prévoit que ce règlement s'applique au traitement des données à caractère personnel " effectué dans le cadre des activités d'un établissement d'un responsable de traitement ou d'un sous-traitant sur le territoire de l'Union ", doit être interprété de la même façon. Il résulte enfin de la jurisprudence de la Cour de justice de l'Union européenne que l'expression " dans le cadre des activités d'un établissement " ne saurait recevoir une interprétation restrictive.
8. Il résulte de l'instruction que la société Yahoo France a pour objet d'assurer la promotion, sur le marché français, des produits et solutions publicitaires de Yahoo EMEA Limited, qu'elle est liée à cette dernière par un contrat de prestation pour de la prospection destinée à ses clients français et que ces deux sociétés sont détenues par une même société holding. La société Yahoo France constitue ainsi un établissement de Yahoo EMEA Limited et les traitements en cause peuvent être regardés comme effectués dans le cadre de l'activité de cet établissement, au sens et pour l'application de l'article 3 de la loi du 6 janvier 1978 cité au point 3 dans l'interprétation qu'il convient de lui donner en vertu de ce qui précède, alors même que Yahoo France n'assure pas, en sus de leur promotion, la commercialisation des produits et solutions publicitaires de Yahoo EMEA Limited. La CNIL pouvait ainsi compétemment exercer ses prérogatives à l'égard de la société Yahoo EMEA Limited à raison de ces traitements.
9. Si la société requérante se prévaut, pour contester la compétence de la CNIL, des dispositions de l'article 56 du RGPD en vertu desquelles l'autorité compétente pour agir à l'égard d'un traitement transfrontalier, est l'autorité nationale de contrôle de l'établissement du responsable de traitement, c'est-à-dire en l'espèce l'autorité irlandaise, l'application du mécanisme dit de " guichet unique " n'a pas été prévue pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales en vertu de l'article 15 bis de cette directive. Dès lors qu'en l'espèce la décision attaquée a entendu assurer le respect des seules obligations de l'article 82 de la loi du 6 janvier 1978 transposant les exigences du paragraphe 3 de l'article 5 de la directive 2002/58/CE, cette argumentation peut être écartée, sans qu'il soit besoin de saisir à titre préjudiciel la Cour de justice de l'Union européenne en l'absence de tout doute raisonnable quant à l'interprétation des dispositions en cause du droit de l'Union européenne.
Sur la procédure de sanction :
10. Il résulte de l'instruction que les contrôles en ligne du 7 octobre 2020 et du 10 juin 2021, destinés à vérifier le respect des dispositions de la loi du 6 janvier 1978 par les traitements accessibles à partir du domaine " yahoo.com ", ont été suivis d'une audition de Yahoo France le 23 juin 2021 et d'échanges entre la délégation et les sociétés contrôlées, qui se sont poursuivis par écrit jusqu'au 25 octobre 2021. Par une décision du 10 juillet 2023, la présidente de la CNIL a désigné un rapporteur qui, le 11 août 2023, a notifié à la société le rapport prévu par l'article 22 de la loi du 6 janvier 1978 proposant à la formation restreinte de prononcer une amende administrative pour un manquement à l'article 82 de cette loi. Par la délibération attaquée du 29 décembre 2023, la formation restreinte a prononcé cette sanction.
11. Si la société requérante soutient que la durée de la procédure aurait porté atteinte aux droits de la défense et au principe de sécurité juridique, d'une part, aucune disposition ne limite la durée d'instruction devant la CNIL et, d'autre part et en tout état de cause, il ne s'est écoulé qu'un peu plus de cinq mois entre la désignation du rapporteur et l'intervention de la décision attaquée, de sorte que la durée de la procédure de sanction proprement dite a été brève.
12. Par ailleurs, d'une part, la société requérante ne peut utilement soutenir que le rapporteur désigné aurait dû procéder à des mesures complémentaires d'investigation par rapport à la phase de contrôle préalable, de tels contrôles ultérieurs étant, en tout état de cause, sans incidence sur la matérialité des faits déjà constatés. D'autre part, si la société requérante estime qu'auraient dû lui être communiqués les fichiers HAR, c'est-à-dire les fichiers archives retraçant les requêtes réalisées par les enquêteurs de la CNIL et les réponses reçues, ainsi que les vingt-sept plaintes reçues par la CNIL relatives aux manquements ayant fait l'objet de la sanction, ces éléments n'ont, en tout état de cause, pas servi à établir les manquements sanctionnés.
13. Il résulte de tout ce qui précède que le moyen tiré de ce que la CNIL aurait pris sa délibération au terme d'une procédure entachée d'irrégularité doit être écarté.
Sur les manquements sanctionnés :
En ce qui concerne le dépôt de cookies sur les terminaux des utilisateurs en l'absence de consentement préalable :
14. En premier lieu, il résulte de l'instruction, et n'est pas sérieusement contesté, qu'un certain nombre de cookies ont été déposés directement par la société requérante sur les terminaux des utilisateurs sans leur consentement préalable, en méconnaissance des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 4.
15. En second lieu, s'agissant des cookies déposés par des tiers, les éditeurs de site qui autorisent le dépôt et l'utilisation de cookies par des tiers à l'occasion de la visite de leur site sont considérés comme responsables de traitement mais ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis les cookies. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements. C'est donc à bon droit que la formation restreinte a, pour retenir un manquement aux dispositions de l'article 82 de la loi du 6 janvier 1978, apprécié les démarches effectuées par Yahoo EMEA Limited, en tant que responsable de traitement, auprès de ses partenaires pour s'assurer du respect, par ceux-ci, de leurs obligations et considéré que ces démarches, qui n'avaient d'ailleurs été mises en oeuvre qu'après le premier contrôle des services de la CNIL le 7 octobre 2020, n'avaient pas été suffisamment diligentes.
16. Il en résulte que la formation restreinte de la CNIL a pu, à bon droit, considérer comme établi le manquement tiré du dépôt de cookies sans consentement préalable.
En ce qui concerne les obstacles au retrait, par l'utilisateur, de son consentement :
17. Il résulte de l'instruction que, s'il est constant que l'utilisateur des services proposés par Yahoo était invité à exprimer son choix s'agissant des cookies et que des boutons lui permettaient de retirer son consentement, il est apparu lors des deux contrôles en ligne effectués en 2020 et 2021, ainsi que l'a relevé la formation restreinte, que le parcours sur le domaine " Yahoo ", indépendamment de la création ou non d'un compte " Yahoo Mail ", conduisait, avant de pouvoir retirer le consentement au dépôt de cookies sur le terminal, à l'affichage d'un message indiquant que ce retrait aurait pour conséquence l'impossibilité d'accéder aux produits et services proposés par la société Verizon Media (Yahoo EMEA Limited). Or, si le fait de lier l'utilisation d'un service à l'inscription de cookies non strictement nécessaires au service fourni, pratique qui est assimilable à un " cookies wall ", n'est pas en soi illégale, c'est à la condition que le consentement soit libre, ce qui implique la possibilité de le retirer librement.
18. La formation restreinte a relevé qu'aucune information n'était délivrée, au moment de la souscription des services Yahoo, quant au caractère indissociable de l'expression du consentement et de la fourniture de ces services, ce caractère indissociable n'étant révélé que lorsque l'utilisateur s'engageait dans un parcours de retrait du consentement. Or, un important préjudice peut résulter, pour l'utilisateur, de la fin de l'accès aux services et en particulier à " Yahoo Mail " et à l'adresse de messagerie, qui constitue un élément important de la vie privée, familiale et éventuellement professionnelle. La circonstance, alléguée par la société requérante, que l'affichage des messages liant le consentement à l'accès aux services résultait d'une erreur technique et que l'accès demeurait possible indépendamment du retrait du consentement n'est pas de nature à atténuer l'effet fortement dissuasif de ces messages. Par suite, la formation restreinte n'a pas commis d'erreur d'appréciation en regardant comme établi le manquement tenant à l'existence d'un obstacle au retrait, par l'utilisateur, de son consentement au dépôt ou à la lecture, sur son terminal, de traceurs de connexion.
19. Si la société requérante soutient, à cet égard, que la CNIL ne pouvait faire usage de son pouvoir de sanction alors que le premier contrôle en ligne avait eu lieu durant la période qu'elle avait laissée aux opérateurs pour se mettre en conformité avec les nouvelles lignes directrices relatives aux " cookies et autres traceurs " qu'elle avait adoptées par sa délibération du 17 septembre 2020, un obstacle au retrait, par l'utilisateur, de son consentement au dépôt de cookies était déjà considéré comme un manquement avant l'intervention de ces lignes directrices.
Sur le montant de l'amende :
20. Aux termes du paragraphe 2 de l'article 83 du RGPD : " Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants : (...) / c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées; (...) / f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ". Aux termes du III de l'article 20 de la loi du 6 janvier 1978, dans sa rédaction applicable au litige : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : (...) 2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 euros par jour de retard à compter de la date fixée par la formation restreinte ; (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83 (...) ".
21. Il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société requérante, la formation restreinte de la CNIL a tenu compte, sur le premier volet du manquement, de la portée des opérations de dépôt de cookies sans consentement par une quinzaine de sociétés spécialisées dans la publicité personnalisée, et sur le second volet du manquement, de sa particulière gravité, en tant qu'il touche aux conditions de retrait du consentement, lequel est intrinsèquement lié à la liberté de consentir. Elle a également tenu compte de la durée du manquement, respectivement de 4 mois sur le premier volet et de 9 mois sur le second, en dépit de ce qu'une erreur matérielle entache le paragraphe 119 de la décision attaquée s'agissant de cette dernière durée. Enfin, elle a retenu que 5 millions de visiteurs uniques avaient visité le domaine " yahoo.com " entre 2019 et 2020.
22. La société requérante soutient que la CNIL ne pouvait lui infliger d'amende administrative sans retenir de faute intentionnelle ou de négligence de sa part. Il ressort toutefois des termes de la décision attaquée et de la nature des manquements que ceux-ci résultent à tout le moins d'une négligence de la part de Yahoo EMEA Limited, ce qui n'est pas contesté.
23. Eu égard à la nature et à la gravité des manquements regardés comme établis et en dépit de l'attitude coopérative de la société requérante, qui a répondu aux sollicitations de la CNIL, et de la mise en conformité partielle intervenue après la fin de la période retenue au titre du premier manquement, la sanction de 10 millions d'euros prononcée à son encontre ne revêt pas un caractère disproportionné. Sont sans incidence à cet égard le délai écoulé entre la constatation des manquements et l'engagement de la procédure de sanction, la hausse du chiffre d'affaires constatée entre l'exercice clos en 2021 et celui pris comme référence pour déterminer le plafond de la sanction en application des dispositions de l'article 20 de la loi du 6 janvier 1978 citées au point 20 ainsi que la circonstance que d'autres entreprises se seraient vu infliger des sanctions d'un montant différent pour des manquements de même nature.
24. Il résulte de tout ce qui précède que la société Yahoo EMEA Limited n'est pas fondée à demander l'annulation de la délibération qu'elle attaque. Sa requête doit par suite être rejetée, y compris ses conclusions tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la société Yahoo EMEA Limited est rejetée
Article 2 : La présente décision sera notifiée à la société Yahoo EMEA Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 5 septembre 2025 où siégeaient : M. Pierre Collin, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et Mme Alexandra Poirson, auditrice-rapporteure.
Rendu le 7 octobre 2025.
Le président :
Signé : M. Pierre Collin
La rapporteure :
Signé : Mme Alexandra Poirson
La secrétaire :
Signé : Mme Magali Méaulle