Surligner les termes recherchés

Délibération SAN-2025-007 du 11 septembre 2025

Commission Nationale de l’Informatique et des Libertés

Etat juridique : En vigueur

Date de publication sur Légifrance : Jeudi 18 septembre 2025

Délibération de la formation restreinte n°SAN-2025-007 du 11 septembre 2025 relative à l’injonction prononcée à l’encontre de la société ORANGE SA par la délibération n°SAN-2024-019 du 14 novembre 2024

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mme Isabelle LATOURNARIE-WILLEMS et M. Bertrand DU MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu le code des postes et des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la délibération n° SAN-2024-019 du 14 novembre 2024 adoptée par la formation restreinte à l’encontre de la société ORANGE SA ;

Vu les éléments transmis par la société ORANGE SA les 28 février et 7 mars 2025 ;

Vu les autres pièces du dossier ;

Après en avoir délibéré lors de la séance du 10 juillet 2025, a adopté la décision suivante :

I. FAITS ET PROCÉDURE

1. Par décision du 14 novembre 2024, signifiée à la société ORANGE SA (ci-après, la société ou la société ORANGE) le 9 décembre 2024, la formation restreinte a enjoint à cette dernière de mettre en œuvre des mesures permettant d’assurer le caractère effectif du retrait du consentement des utilisateurs aux opérations de lecture et/ou d’écriture d’informations sur leur terminal . Cette injonction était assortie d’une astreinte de cent mille (100 000) euros par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai.

2. Le 28 février 2025, dans le délai fixé par la délibération, la société a adressé à la formation restreinte des éléments en vue de justifier sa mise en conformité, en présentant les mesures mises en œuvre. Celles-ci ont consisté, s’agissant des cookies liés au domaine orange.fr , d’une part à étendre le périmètre du script cookie monster afin d’effacer l’ensemble des cookies devant être supprimés en cas de retrait du consentement et, d’autre part, à modifier le fonctionnement du site web orange.fr et de ses sous-domaines, afin que les cookies devant être effacés soient déposés sur le domaine .orange.fr , ce qui permet au script d’avoir son plein effet. S’agissant des cookies déposés par les partenaires de la société ( cookies tiers ), la société indique avoir procédé à la désactivation complète des requêtes à des domaines tiers depuis le site web www.orange.fr en cas de retrait du consentement.

3. Le 7 mars 2025, la société a complété les éléments précédemment transmis en communiquant à la formation restreinte des résultats d’analyses permettant d’attester que les cookies déposés par la société Orange soumis au consentement étaient effectivement supprimés après retrait dudit consentement.

II. MOTIFS DE LA DECISION

4. En premier lieu, s’agissant des cookies liés au domaine orange.fr , la formation restreinte relève qu’il ressort des éléments fournis par la société que les modifications apportées permettent effectivement d’assurer, après retrait du consentement de l’utilisateur, la suppression des cookies précédemment déposés et, ainsi, leur absence de lecture.

5. En second lieu, s’agissant des cookies tiers, la formation restreinte observe que les mesures mises en œuvre, à savoir l’arrêt de réalisation de nouvelles requêtes à des domaines tiers depuis le site web www.orange.fr , une fois le consentement de l’utilisateur retiré, permettent d’empêcher toute opération de lecture ou d’écriture sur ce site web depuis ces domaines tiers. Ces mesures permettent ainsi de respecter le retrait du consentement sur ledit site, dont la société est l’éditrice.

6. La formation restreinte entend néanmoins relever qu’en l’absence de suppression de ces cookies tiers, le suivi de la navigation de l’utilisateur pourra se poursuivre sur les sites tiers utilisant le même cookie et permettre de relier cette navigation au fait que l’utilisateur a, à un moment donné, navigué sur le site orange.fr , malgré le retrait de son consentement. Les activités ultérieures de l’utilisateur sur le site orange.fr ne pourront en revanche plus être suivies par les domaines tiers.

7. La formation restreinte considère qu’en l’état actuel de la doctrine et de la jurisprudence du Conseil d’Etat (CE, 9ème/10ème CR, 6 juin 2018, Editions Croque Futur, n° 412589, Rec.), les opérations de lecture visées au paragraphe précédent, qui ne sont pas effectuées à partir du site web orange.fr , excèdent la responsabilité de la société ORANGE – qui n’a pas la maîtrise technique des cookies tiers et ne peut donc les supprimer – et relèvent de celle de ses partenaires, lesquels devraient mettre en place des mesures permettant à la société ORANGE de les informer du retrait du consentement de l'utilisateur afin qu’ils puissent en tirer les conséquences. La formation restreinte relève en outre que, dans le cadre de l’instruction, la société ORANGE a justifié avoir contacté ses partenaires afin qu’ils mettent en œuvre des mesures permettant de respecter le retrait du consentement des utilisateurs.

8. Au vu de l’ensemble de ce qui précède, il y a lieu de clôturer l’injonction, en considérant que la société a à ce jour mis en œuvre les mesures permettant de garantir le caractère effectif du retrait du consentement s’agissant des opérations effectuées à partir du site web www.orange.fr .

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- de dire n’y avoir lieu à liquidation de l’astreinte ;

- de rendre publique, sur le site de la CNIL et sur le site de Légifrance, la présente délibération qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans, le point de départ étant la publication de la délibération n° SAN-2024-019 du 14 novembre 2024.

Le président

Philippe-Pierre CABOURDIN

Retourner en haut de la page