Publicités dans les boîtes e-mail de ses abonnés : Orange sanctionné, oui, mais pas de triple peine

Orange n’échappe pas à la sanction pécuniaire pour ses pratiques abusives d’inbox advertising – sans consentement de ses abonnés – mais gagne avec Canal+ sur le cumul des poursuites. Il n’y aura pas d’amende de l’Arcep ni de la DGCCRF, en plus des 50 millions d’euros infligés par la Cnil en 2024.

Grâce à une décision du Conseil constitutionnelle rendue le 25 juin 2026, le premier opérateur télécoms français – dirigé par Christel Heydemann (photo) – échappe au risque d’une double ou triple addition d’amendes pour ses mêmes anciennes pratiques d’affichage publicitaire automatisé dans Mail Orange, son service de messagerie électronique accessible via le webmail mail.orange.fr ou via l’application mobile du même nom. Et ce, sans le consentement préalable de ses abonnés et utilisateurs – victimes de ses spamming (pollupostage).

De la directive « ePrivacy » au CPCE
Cette affaire remonte aux premiers contrôles effectués à partir de mi-2023 par la Commission nationale de l’informatique et des libertés (Cnil). Mais l’affichage de publicités insérées – comme de « faux courriels » – dans les boîtes email des utilisateurs, sans leur consentement, était pratiqué depuis plusieurs années du temps de l’ancien directeur général d’Orange, Stéphane Richard. Et ce, jusqu’à ce qu’Orange abandonne fin 2023 ce format intrusif d’inbox advertising au profit d’un espace publicitaire en marge de la boîte de réception appelé « sticky » (car il « colle » à l’écran en étant visible en permanence, même lorsque l’utilisateur fait défiler la page).
Les anciens messages publicitaires en cause apparaissaient, eux, sous une forme qui s’apparentait à de véritables courriels, apparaissant au même emplacement que les messages personnels de l’utilisateur et d’apparence similaire. Le 14 novembre 2024, la Cnil a prononcé une sanction de 50 millions d’euros à l’encontre d’Orange sur le fondement l’article L. 34-5 du code des postes et des communications électroniques (CPCE), selon lequel « est interdite que la prospection directe au moyen de système automatisé de communications électroniques […], […] de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (1).
Ces dispositions transposent en droit français la (suite)

Accessibilité numérique : éditeurs numériques et acteurs du e-commerce sous l’œil de la DGCCRF

Sites web, applications mobiles, livres numériques, vidéo à la demande, services télécoms, e-commerce, … Hormis les microentreprises, ils sont tous tenus depuis l’été 2025 de rendre leurs sites web et applications mobiles accessibles aux personnes en situation de handicap. Gare à la DGCCRF.

Par Prudence Cadio, avocate associée*, et Lobna Boudiaf, avocate*, cabinet LPA Law

L’exigence d’accessibilité numérique a connu une nouvelle évolution avec l’entrée en application, le 28 juin 2025, de la directive européenne « Accessibilité » de 2019, fixant des « exigences en matière d’accessibilité applicables à certains produits et services ». Appelée aussi « European Accessibility Act » (EAA), cette directive s’applique immédiatement à l’ensemble des produits et services qu’elle énumère, mis sur le marché depuis cette date : ordinateurs et systèmes d’exploitation, terminaux de paiement, guichets de banque automatiques, liseuses numériques, services de communications électroniques et de e-commerce, accès à des services de médias audiovisuels, sites web, applications mobiles, livres numériques, etc (1).

Définition et champ d’application
Les produits et services relevant de ce champ et mis sur le marché avant cette date du 28 juin 2025, marquant l’entrée en application de la directive EAA, peuvent continuer à être exploités, eux, jusqu’au 28 juin 2030, même s’ils ne satisfont pas aux exigences prévues par cette directive, sous réserve qu’aucune modification substantielle n’y soit apportée. En droit français, la directive EAA a été transposée par la loi du 9 mars 2023 portant diverses dispositions d’adaptation au droit de l’Union européenne dans les domaines de l’économie, de la santé, du travail, des transports et de l’agriculture (2). Ce dispositif a ensuite été précisé par un décret de la même année (3), qui fixe les obligations des professionnels en matière d’accessibilité des produits et services, ainsi que par un arrêté définissant le périmètre et les exigences techniques applicables (4).
L’accessibilité numérique désigne l’ensemble des prescriptions graphiques, fonctionnelles, techniques et rédactionnelles – telles que (suite)

La France, devenue championne du blocage DNS au risque de porter atteinte à des sites web légaux

La plateforme chinoise Shein est assignée par le gouvernement français pour que la justice ordonne le blocage en France de son nom de domaine (DNS), le tribunal de Paris devant se prononcer le 26 novembre 2025. La France est déjà championne dans le « blocage DNS », contre le piratage. Excessif ?

« Sur instruction du Premier ministre, le gouvernement engage la procédure de suspension de Shein le temps nécessaire pour que la plateforme démontre aux pouvoirs publics que l’ensemble de ses contenus soient enfin en conformité avec nos lois et règlements », a annoncé le gouvernement français le 5 novembre. La plateforme chinoise de e-commerce (1) sera fixée sur son sort à l’issue de l’audience devant le tribunal de Paris prévue le 5 décembre 2025 (au lieu du 26 novembre initialement prévu) : déréférencement des moteurs de recherche, blocage par nom de domaine via les fournisseurs d’accès à Internet (FAI) et suspension de l’accès par l’éditeur de Shein lui-même (Infinite Style Services) sous 48 heures et pour au moins 3 mois (2) ?

Blocage d’accès par décision du juge
Le blocage par nom de domaine – ou blocage DNS (Domain Name System) – consiste à empêcher les utilisateurs d’accéder au site web incriminé via son nom de domaine, ou via plusieurs comme pour Shein si le tribunal devait le décider (shein.com et fr.shein.com). En France, le blocage DNS est généralement ordonné par un juge, souvent en référé, à la demande d’une autorité administrative ou judiciaire. Cette mesure de blocage est utilisée dans des cas de contenus illicites, de contrefaçon (piratage d’œuvres ou de retransmissions sportives, par exemple), ou non-conformité grave. La procédure de blocage DNS peut s’appuyer en France sur un article du code de la consommation (3) qui a été introduit par la loi « Confiance dans l’économie numérique » (LCEN) de 2004, modifiée par la loi « Sécuriser et réguler l’espace numérique » (SREN) de 2024.
Cet article donne pouvoir (4) à la Direction générale de la concurrence de la consommation et de la répression des fraudes (DGCCRF), que dirige Sarah Lacoche (photo), de : (suite)

Gouvernance des autorités pour l’AI Act : multiplier les régulateurs pourrait être contreproductif

La France va se doter – si une loi était adoptée en 2026 – d’une gouvernance sectorielle pour l’IA, pilotée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Mais la multiplicité des régulateurs pourrait compliquer la tâche des entreprises.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

La Direction générale des entreprises (DGE), qui dépend du ministère de l’Economie et des Finances, a publié le 9 septembre 2025 un projet de désignation des autorités nationales chargées de la mise en œuvre en France du règlement européen sur l’intelligence artificielle (AI Act). Sous la coordination de la DGE et de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), ce projet instaure un schéma décentralisé et sectoriel de gouvernance s’appuyant sur les régulateurs existants en France.

La DGCCRF centralise la coordination
Ce modèle s’inscrit dans le cadre de l’AI Act (1) et des dispositions de son article 70 qui impose la désignation d’autorités nationales de notification et de surveillance du marché dans chaque Etat membre. Cette proposition de gouvernance sectorielle et décentralisée doit être présentée au Parlement sous la forme d’un projet de loi. Il ne sera donc définitif qu’après un vote législatif, très probablement dans le courant du premier semestre 2026. Le schéma retenu par le gouvernement prévoit que la mise en œuvre effective de ce règlement européen sur l’IA sera supervisée par plusieurs autorités compétentes, conformément aux orientations proposées par cet AI Act. Dès lors, les administrations, agences et autorités spécialisées – selon leur secteur d’intervention – auront la charge de contrôler les systèmes d’intelligence artificielle, une fois mis sur le marché ou en service.
La DGCCRF centralisera la coordination opérationnelle entre diverses autorités sectorielles impliquées dans le contrôle des systèmes d’IA. Elle sera ainsi l’interlocuteur principal pour les autorités européennes et facilitera l’échange d’informations et la coopération entre les différents régulateurs nationaux. Elle agira comme un point de contact unique, pour la France auprès des instances européennes, sur les questions liées à la surveillance du marché de l’IA. Ce rôle de coordination s’inscrit dans une organisation bicéphale où la DGCCRF assurera la supervision pratique sur le terrain, tandis que la DGE apportera son soutien à la mise en œuvre de l’AI Act. A ce titre, la DGE jouera un rôle-clé dans l’organisation de la gouvernance nationale de ce règlement européen, notamment en (suite)

Influenceurs : pris entre le marteau et l’enclume

En fait. Le 1er juin, le Sénat a adopté à l’unanimité la proposition de loi « Anti-arnaques et anti-dérives des influenceurs », comme l’avait fait la veille l’Assemblée nationale dans la foulée d’un accord en commission mixte paritaire. Avant même sa promulgation, la DGCCRF épingle les mauvais joueurs. En clair. La promulgation de la loi « visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux » n’est que pure formalité. La proposition de loi transpartisane a été adoptée les 31 mai et le 1er juin derniers par respectivement l’Assemblée nationale et le Sénat. Et ce, après un accord trouvé le 25 mai en commission mixte paritaire (CMP) entre sénateurs et députés. Portée par les députés Arthur Delaporte (Nupes) et Stéphane Vojetta (Renaissance), la loi « Influenceurs » a l’encre à peine sèche que la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), basée à Bercy (Bruno Le Maire), a dégainé le 2 juin des sanctions « name and shame » (nommer et blâmer) à l’encontre de six influenceurs (1). Trois sont épinglés pour « pratiques commerciales trompeuses » et trois autres pour non-divulgation de « partenariat commercial rémunéré » (pub clandestine). Ils sont tenus de publier sur leur profil en ligne, et durant 30 jours, leur condamnation. Le 3 mai, la DGCCRF avait indiqué avoir « contrôlé » 50 influenceurs au cours du premier trimestre. Des injonctions et des procès-verbaux pénaux pleuvent. « Bruno Le Maire et la DGCCRF rendront publiques les mesures prises à l’encontre de certains influenceurs dans une optique de sensibilisation aux enjeux de loyauté, et dans le respect des procédures du code de la consommation », avait prévenu Bercy (2). La loi « Influenceurs », elle, renforce les pouvoirs de la DGCCRF avec la création d’« une brigade d’influence commerciale constituée dans un premier temps de 15 agents » (temps plein), opérationnelle en septembre prochain. Ils « surveilleront » les réseaux sociaux, et répondront aux « signalements » de SignalConso (3). La brigade sanctionnera les influenceurs coupables, fermera leurs comptes, voire les déférera devant un juge. La loi officialise aussi un « guide de bonne conduite » pour les influenceurs, déjà disponible avec un édito de Bruno Le Maire (4), et crée des « Assises de l’influence responsable » qui auront lieu tous les ans à Bercy. Les photos et vidéos retouchées ou produite par de l’IA seront à indiquer. La promotion d’actes de santé, de chirurgie esthétique ou d’animaux sauvages est interdite. Tandis que les influenceurs installés à l’étranger (Dubaï. Bahamas, Ile Maurice, …) doivent « nommer un représentant légal en France ». @