La société Orange, l’un des principaux opérateurs de télécommunication dans le monde, fournit une gamme étendue de services incluant la téléphonie fixe et mobile ainsi que l’accès à internet. La société met également à disposition de ses clients, par le biais de l’une de ses filiales « Orange Portails », un service de messagerie électronique dénommé « Mail Orange », accessible depuis le site web orange.fr.
À partir de juin 2023, plusieurs missions de contrôles ont été menées par une délégation de la CNIL, l’une d’entre elle ciblant les traitements mis en œuvre dans le cadre du service Mail Orange : SAN 2024-019 du 14 novembre 2024
La délégation a constaté que des annonces publicitaires ayant l’apparence de véritables messages électroniques étaient insérées dans la boîte de réception, entre les courriels reçus par les utilisateurs du service Mail Orange, sans qu’ils y aient consenti :
« 60. Etaient en effet insérées, entre les courriels reçus, des entrées ne se distinguant des autres courriels que par une couleur de fond légèrement grisée (les courriels reçus apparaissant sur un fond blanc), une mention " annonce " apposée à droite (à la place de l’heure et du jour de réception), ainsi que par la présence d’une croix située du côté gauche et permettant de supprimer le message (à la place de la case à cocher permettant traditionnellement de sélectionner un courriel). La formation restreinte relève que le nom de l’expéditeur apparaissait dans les mêmes formes que ceux des véritables courriels et que l’objet des messages s’apparentait également à ceux des autres courriels. Un clic sur ces entrées entraînait l’ouverture, dans un nouvel onglet du navigateur, d’une page du site web de l’annonceur. »
La CNIL a qualifié cette pratique d’« utilisation de courrier électronique à des fins de prospection directe au sens de l’article L. 34-5 du CPCE », en s’appuyant sur une décision de la CJUE du 25 novembre 2021 (C-102/20), qui avait statué sur des messages prenant la forme de courriels et retenu que :
« 42. Ainsi contrairement aux bannières publicitaires ou aux fenêtres contextuelles, qui apparaissent en marge de la liste des messages privés ou séparément de ceux-ci, l’apparition des messages publicitaires en cause au principal dans la liste des courriers électroniques privés de l’utilisateur entrave l’accès à ces courriers d’une manière analogue à celle utilisée pour les courriels non sollicités (appelés également " spam ") dans la mesure où une telle démarche requiert la même prise de décision de la part de l’abonné en ce qui concerne le traitement de ces messages.
43. Par ailleurs, ainsi que l’a relevé M. l’avocat général, au point 55 de ses conclusion, dans la mesure où les messages publicitaires occupent des lignes de la boîte de réception qui sont normalement réservées aux courriels privés et en raison de leur ressemblance avec ces derniers, il existe un risque de confusion entre ces deux catégories de messages pouvant conduire l’utilisateur qui cliquerait sur la ligne correspondant au message publicitaire à être redirigé contre sa volonté vers un site Internet présentant la publicité en cause, au lieu de continuer la consultation de ses courriels privés.
44. Or, ainsi que l’a observé la Commission, si des entrées publicitaires de quelque nature que ce soit apparaissent dans la boîte de réception de la messagerie Internet, à savoir dans la rubrique dans laquelle l’ensemble des courriers électroniques adressés à l’utilisateur s’affichent, il y a lieu de considérer que cette boîte de réception constitue le moyen par lequel les messages publicitaires concernés sont communiqués à cet utilisateur, ce qui implique l’utilisation de son courrier électronique à des fins de prospection directe, au sens de l’article 13, paragraphe 1, de la directive 2002/58. »
La formation restreinte a relevé que les annonces publicitaires apparaissant dans le service Mail Orange, présentaient « de très fortes similitudes avec celles examinées par la CJUE dans son arrêt (dans les deux cas : publicités insérées entre les courriels privés reçus par l’utilisateur, date remplacée par la mention "annonce", texte de l’annonce apparaissant sur fond grisé, présence d’un texte destiné à la promotion d’un produit dans la rubrique "objet", redirection de l’utilisateur qui clique sur le message vers le site de l’annonceur, risque de confusion compte tenu de l’emplacement des messages et de leur ressemblance avec de véritables courriels ».
Elle a ensuite relevé que les messages poursuivaient un but commercial, de sorte qu’ils caractérisaient une utilisation de courrier électronique à des fins de prospection directe, et qu’il appartenait en conséquence à la société Orange de ne pas afficher ces messages publicitaires sans avoir recueilli préalablement le consentement des utilisateurs.
Les moyens de défense invoqués par Orange sont écartés par la CNIL (Orange relevait notamment la divergence entre les dispositions de l’article 13 de la directive e-Privacy invoquée par la CJUE dans la décision du 25 novembre 2021 et l’article L. 34-5 du CPCE, et mettait en avant son statut de fournisseur de messagerie et non d’annonceur).
La CNIL conclut :
« 76. Il ressort de l’ensemble de ces éléments qu’en procédant à l’affichage, dans la boîte de réception des utilisateurs de son service de messagerie électronique "Mail Orange", de messages publicitaires insérés entre les courriels reçus, sans recueillir le consentement préalable desdits utilisateurs, la société a commis un manquement à l’article L. 34-5 du CPCE. »
La formation restreinte de la CNIL a en effet relevé que la société Orange maitrisait les publicités en procédant à leur affichage et en commercialisant ces espaces auprès des annonceurs, ce qui les distinguait des messages adressés directement par les annonceurs en utilisant l’adresse électronique de l’utilisateur.
Malgré la cessation de cette pratique par Orange depuis novembre 2023, et la mise en place d’un nouveau format de publicité permettant de distinguer clairement les annonces des véritables courriels, la CNIL a considéré que cette mise en conformité n’était intervenue qu’après les opérations de contrôle et les échanges avec la délégation, et non de façon autonome.
En conséquence, la CNIL condamne Orange à payer une amende de 50 millions d’euros, cette sanction tenant compte de plusieurs facteurs, notamment le nombre élevé de personnes concernées (près de 7,9 millions), la position dominante d’Orange sur le marché français et l’avantage financier tiré de cette pratique.
