Orange n’échappe pas à la sanction pécuniaire pour ses pratiques abusives d’inbox advertising – sans consentement de ses abonnés – mais gagne avec Canal+ sur le cumul des poursuites. Il n’y aura pas d’amende de l’Arcep ni de la DGCCRF, en plus des 50 millions d’euros infligés par la Cnil en 2024.
Grâce à une décision du Conseil constitutionnelle rendue le 25 juin 2026, le premier opérateur télécoms français – dirigé par Christel Heydemann (photo) – échappe au risque d’une double ou triple addition d’amendes pour ses mêmes anciennes pratiques d’affichage publicitaire automatisé dans Mail Orange, son service de messagerie électronique accessible via le webmail mail.orange.fr ou via l’application mobile du même nom. Et ce, sans le consentement préalable de ses abonnés et utilisateurs – victimes de ses spamming (pollupostage).
De la directive « ePrivacy » au CPCE
Cette affaire remonte aux premiers contrôles effectués à partir de mi-2023 par la Commission nationale de l’informatique et des libertés (Cnil). Mais l’affichage de publicités insérées – comme de « faux courriels » – dans les boîtes email des utilisateurs, sans leur consentement, était pratiqué depuis plusieurs années du temps de l’ancien directeur général d’Orange, Stéphane Richard. Et ce, jusqu’à ce qu’Orange abandonne fin 2023 ce format intrusif d’inbox advertising au profit d’un espace publicitaire en marge de la boîte de réception appelé « sticky » (car il « colle » à l’écran en étant visible en permanence, même lorsque l’utilisateur fait défiler la page).
Les anciens messages publicitaires en cause apparaissaient, eux, sous une forme qui s’apparentait à de véritables courriels, apparaissant au même emplacement que les messages personnels de l’utilisateur et d’apparence similaire. Le 14 novembre 2024, la Cnil a prononcé une sanction de 50 millions d’euros à l’encontre d’Orange sur le fondement l’article L. 34-5 du code des postes et des communications électroniques (CPCE), selon lequel « est interdite que la prospection directe au moyen de système automatisé de communications électroniques […], […] de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (1).
Ces dispositions transposent en droit français la (suite) directive européenne « ePrivacy » de 2002 régissant l’utilisation de systèmes automatisés d’appel et de communication sans intervention humaine, notamment de message électronique à des fins de prospection directe. Orange s’était défendu en invoquant « l’imprécision et l’imprévisibilité du cadre juridique applicable aux publicités insérées entre les courriels », dans le sens où il existait, selon l’opérateur télécoms, une « contrariété flagrante » entre les dispositions de l’article 13 de la directive ePrivacy (2) – ayant fait l’objet d’une interprétation par la Cour de justice de l’Union européenne (CJUE) – et celles de l’article L. 34-5 du CPCE (3) – seules à lui être directement applicables. Orange estimait que les conditions d’application définies par ces textes diffèraient : l’application du CPCE étant soumise, selon son article L. 34-5, à l’existence d’un traitement de données à caractère personnel, contrairement à la directive ePrivacy, dont l’article 13 aurait une portée plus générale. Mais la Cnil ne l’a pas entendu de cette oreille et a considéré qu’il n’existait aucune contrariété entre la directive ePrivacy et le CPCE, leurs articles respectifs devant être interprétés à la lumière des décisions rendues par la CJUE.
De plus, le gendarme des données personnelles a considéré que le premier critère défini par la CJUE est rempli, à savoir que les messages en cause avaient bien été diffusés aux utilisateurs du service Mail Orange au moyen de leur boîte de réception, ce qui impliquait l’utilisation de leur courrier électronique à des fins de prospection directe via des annonces publicitaires insérées entre les courriels reçus. Et ce, sans recueillir le consentement préalable des utilisateurs du webmail et/ou de l’application mobile. « La société [Orange] a commis un manquement à l’article L. 34-5 du CPCE […] caractérisé pour le passé », conclut la délibération de la Cnil.
2 manquements, 2 amendes : 50 M€ au total
Pour remédier à ce premier manquement, Orange – avec sa régie publicitaire Orange Advertising – s’était mis à partir de novembre 2023 en conformité avec le nouveau format « sticky » en dissociant les courriers électroniques reçus et les annonces publicitaires affichées. Devant la Cnil, Orange avait d’ailleurs indiqué que l’affichage de ces publicités inbox advertising était géré par son Tag Management System (TMS). Ce qui, aux yeux de la Cnil, démontrait que c’était à l’opérateur télécoms – « au même titre que les annonceurs » – de recueillir préalablement le consentement de ses utilisateurs et abonnés, avant de procéder aux opérations de prospection dans Mail Orange et d’inscrire des informations (cookies) sur leur terminal de communications électroniques ou d’accéder à celles-ci (lecture des cookies). Il était reproché en outre à Orange un deuxième manquement contrevenant à l’article 82 de la loi « Informatique et Libertés ». Ce deuxième manquement était de ne pas avoir empêché la lecture des cookies après le retrait du consentement, l’opérateur télécoms « regrett[ant] en tout état de cause le manque d’accompagnement de la Cnil s’agissant des actions à mettre en place après retrait du consentement ».
La QPC gagnante du duo Orange-Canal+
Outre la Cnil, dont les amendes administratives pour chaque manquement (pour Orange, il y a en avait donc deux) peuvent aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent (20 millions d’euros ou 4 % de ce chiffre d’affaires dans certains cas), l’Arcep (4) et la DGCCRF (5) pouvaient elles aussi entrer dans la danse des sanctions. L’Arcep aurait pu infliger à Orange jusqu’à 3 % du chiffre d’affaires hors taxes du dernier exercice clos, tandis que la DGCCRF pouvait y aller aussi de sa sanction pécuniaire pouvant aller jusqu’à 375.000 euros pour une personne morale comme Orange.
L’opérateur télécoms historique avait saisi le contentieux du Conseil d’Etat en janvier 2026 pour contester la sanction de 50 millions d’euros infligée par la Cnil, et avait demandé en outre à cette plus haute juridiction administrative de transmettre au Conseil constitutionnel une QPC. Cette question prioritaire de constitutionnalité, envoyée le 17 avril 2026 par le Conseil d’Etat (6) au Conseil constitutionnel, visait à contester les dispositions de l’article L. 34-5 du CPCE, qui, en cas de manquements, habilite la Cnil, l’Arcep et la DGCCRF à infliger chacune des sanctions pécuniaires – et en l’occurrence dans cette affaire de sanctionner financièrement tout manquement à l’interdiction de prospection directe sans consentement préalable de l’utilisateur.
Orange reprochait à ces dispositions de « méconnaître le principe de nécessité des délits et des peines, et en particulier le principe”non bis in idem” ». Dans sa décision du 29 juin 2026, le Conseil constitutionnel a rappelé qu’il résulte de l’article 8 de la Déclaration des droits de l’homme et du citoyen de 1789 – applicable à toute sanction ayant le caractère d’une punition – qu’une même personne ne peut faire l’objet de plusieurs poursuites tendant à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux. « Les dispositions contestées tendent à réprimer de mêmes faits qualifiés de manière identique, par des sanctions de même nature, aux fins de protéger les mêmes intérêts sociaux. Elles méconnaissent donc le principe de nécessité des peines. Par conséquent, sans qu’il soit besoin d’examiner l’autre grief, ces dispositions doivent être déclarées contraires à la Constitution », décide le Conseil constitutionnel (7). Orange a même été soutenu dans cette procédure « QPC » par Canal+, qui intervenait volontairement car le groupe audiovisuel de la chaîne cryptée appartenant à Vincent Bolloré avait également un intérêt à contester le cumul de sanctions possible – ayant été elle aussi sanctionnée par la Cnil dans d’autres affaires. Le groupe Canal+, dirigé par Maxime Saada (photo ci-dessous), avait écopé de 600.000 euros d’amende infligée par la Cnil, par délibération du 12 octobre 2023 publiée au Journal Officiel. Le gendarme des données personnelles a condamné Canal+ pour manquements aux articles 7 du RGPD et L. 34-5 du CPCE. La délibération elle-même a été caviardée au niveau du nom de Canal+, conformément à la décision de la Cnil qui avait prévu que « [sa délibération] ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication » (8) – soit depuis octobre 2025.
Mais l’affaire « Canal+ » n’est pas terminée pour autant : contre la délibération de la Cnil, la chaîne cryptée avait saisi le Conseil d’Etat, lequel a sursis à statuer le 5 mai 2025 sur la requête de la société Canal+ jusqu’à ce que la Cour de justice de l’Union européenne (CJUE) se soit prononcée sur deux QPC (9), lesquelles portent principalement sur l’interprétation du consentement au sens du RGPD et de la directive ePrivacy – notamment la validité d’un consentement donné à un premier collecteur – tel qu’un fournisseur d’accès à Internet (FAI) – pour une catégorie de destinataires (« partenaires »). L’association Alliance Digitale, le groupement Geste et les syndicats professionnels DMA France et CPA ont vu leurs interventions acceptées, « justifi[a]nt d’un intérêt suffisant à l’annulation de la décision attaquée ». Les procédures préjudicielles devant la CJUE prennent généralement entre 12 et 18 mois (parfois plus). Avec un renvoi en mai 2025, un arrêt de la CJUE dans cette affaire « Canal+ » pourrait bientôt intervenir.
Abrogation du cumul reportée au 31-10-27
Enfin, pour Orange, le Conseil constitutionnel a jugé que « l’abrogation immédiate des dispositions déclarées inconstitutionnelles aurait pour effet d’empêcher toute poursuite et de mettre fin à celles engagées sur le fondement de ces dispositions, que celles-ci aient ou non déjà fait l’objet de poursuites par l’une des autorités compétentes [Cnil, Arcep ou DGCCRF, ndlr] pour sanctionner les manquements à l’article L. 34-5, entraînerait des conséquences manifestement excessives ». Et le gardien de la Constitution d’ajouter : « [Une abrogation immédiate] entraînerait ainsi des conséquences manifestement excessives ». D’où sa décision de reporter au 31 octobre 2027 la date de l’abrogation de ces dispositions. @
Charles de Laubier