Clôture de l'injonction prononcée à l'encontre de la société ORANGE

Contexte et Décision de la CNIL

En novembre 2024, la formation restreinte de la CNIL, organe chargé des sanctions, avait infligé à la société ORANGE une amende de 50 millions d'euros. Cette sanction faisait suite à des contrôles qui avaient révélé deux manquements majeurs : l'affichage de publicités sous forme de courriels sans consentement préalable des utilisateurs, et la poursuite de la lecture de traceurs (cookies) même après le retrait du consentement des utilisateurs. Ces pratiques violaient respectivement l'article L. 34-5 du code des postes et des communications électroniques et l'article 82 de la loi Informatique et Libertés.

En réponse à ces manquements, ORANGE avait pris des mesures pour cesser l'affichage des publicités non consenties. Cependant, la CNIL avait également émis une injonction pour que la société cesse toute opération de lecture des traceurs après le retrait du consentement, sous peine d'une astreinte de 100 000 euros par jour de retard.

Mesures Correctives et Clôture de l'Injonction

ORANGE a démontré avoir mis en place des mesures correctives efficaces dans les délais impartis. La société a notamment utilisé un script pour supprimer les traceurs liés au domaine '.orange.fr' en cas de retrait du consentement. Concernant les traceurs déposés par des partenaires (cookies tiers), ORANGE a pris des mesures pour empêcher toute opération de lecture ou d'écriture après le retrait du consentement, bien que la suppression de ces traceurs du navigateur ne soit pas techniquement possible pour ORANGE.

La formation restreinte de la CNIL a reconnu que les opérations de lecture réalisées en dehors du site orange.fr dépassaient la responsabilité d'ORANGE et relevaient de celle de ses partenaires. ORANGE a contacté ces partenaires pour qu'ils mettent en place des mesures permettant de respecter le retrait du consentement des utilisateurs.

Dans ces conditions, la CNIL a décidé de ne pas liquider l'astreinte et de clore l'injonction.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Assurez-vous que toutes les opérations de traitement de données respectent le consentement des utilisateurs.

- Mettez en place des scripts automatisés pour gérer le retrait du consentement et la suppression des traceurs.

- Collaborez avec vos partenaires pour garantir la conformité des opérations de traitement de données effectuées par des tiers.

- Effectuez régulièrement des audits internes pour vérifier la conformité des pratiques de traitement des données.

- Formez vos équipes sur les obligations légales en matière de protection des données et de respect du consentement.