La Commission nationale de l'informatique et des libertés (Cnil) rend publique une amende de 50 millions d'euros infligée à Orange. Entre les e-mails des utilisateurs du service de messagerie Mail Orange, la Cnil pointe du doigt l'affichage sans consentement d'annonces publicitaires prenant la forme d'e-mails.

Le montant de l'amende tient compte du fait que plus de 7,8 millions de personnes ont vu s'afficher de telles publicités dans leur boîte de réception. Dans un espace normalement réservé aux e-mails privés, la pratique est assimilée à une prospection directe par e-mail. « Il est nécessaire de recueillir le consentement des personnes concernées », écrit la Cnil.

La Cnil souligne par ailleurs qu'Orange a tiré un « avantage financier certain » avec sa pratique décriée qui a cessé en novembre 2023. L'adoption d'un nouveau format d'annonces publicitaires permet de « distinguer clairement les annonces des véritables courriels ».

En trompe-l'œil ?

Des contrôles de la Cnil avaient eu lieu les 7 et 12 juin 2023. Pour les annonces publicitaires problématiques, il a notamment été constaté que « le nom de l'expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et que l'objet des messages s'apparentait également à ceux des autres courriels ».

Il y avait toutefois une couleur de fond légèrement grisée au lieu d'un fond blanc, une mention Annonce à droite, ainsi qu'une croix à gauche pour une suppression. Un clic entraînait l'ouverture d'une page du site web de l'annonceur dans un nouvel onglet du navigateur. La Cnil propose la maquette ci-dessous :

mail-orange-publicites-non-consenties-cnil

Dans un autre registre, les contrôles de la Cnil ont en outre permis de constater une mauvaise gestion des cookies à la suite du retrait de consentement sur le site orange.fr. « Les cookies précédemment déposés continuaient à être lus. »

Orange n'est pas d'accord

Orange conteste la sanction et « le caractère totalement disproportionné du montant » de l'amende. Le groupe va exercer un recours devant le Conseil d'État.

« Les faits reprochés ne visent ni une violation ni un défaut de sécurité, mais des pratiques usuelles du marché ne mettant en jeu aucune exploitation de données personnelles de ses clients », tient à préciser Orange dans une réaction (AFP ; Le Parsien).

N.B. : Source images : Cnil.