Publicités dans les boîtes e-mail de ses abonnés : Orange sanctionné, oui, mais pas de triple peine

Orange n’échappe pas à la sanction pécuniaire pour ses pratiques abusives d’inbox advertising – sans consentement de ses abonnés – mais gagne avec Canal+ sur le cumul des poursuites. Il n’y aura pas d’amende de l’Arcep ni de la DGCCRF, en plus des 50 millions d’euros infligés par la Cnil en 2024.

Grâce à une décision du Conseil constitutionnelle rendue le 25 juin 2026, le premier opérateur télécoms français – dirigé par Christel Heydemann (photo) – échappe au risque d’une double ou triple addition d’amendes pour ses mêmes anciennes pratiques d’affichage publicitaire automatisé dans Mail Orange, son service de messagerie électronique accessible via le webmail mail.orange.fr ou via l’application mobile du même nom. Et ce, sans le consentement préalable de ses abonnés et utilisateurs – victimes de ses spamming (pollupostage).

De la directive « ePrivacy » au CPCE
Cette affaire remonte aux premiers contrôles effectués à partir de mi-2023 par la Commission nationale de l’informatique et des libertés (Cnil). Mais l’affichage de publicités insérées – comme de « faux courriels » – dans les boîtes email des utilisateurs, sans leur consentement, était pratiqué depuis plusieurs années du temps de l’ancien directeur général d’Orange, Stéphane Richard. Et ce, jusqu’à ce qu’Orange abandonne fin 2023 ce format intrusif d’inbox advertising au profit d’un espace publicitaire en marge de la boîte de réception appelé « sticky » (car il « colle » à l’écran en étant visible en permanence, même lorsque l’utilisateur fait défiler la page).
Les anciens messages publicitaires en cause apparaissaient, eux, sous une forme qui s’apparentait à de véritables courriels, apparaissant au même emplacement que les messages personnels de l’utilisateur et d’apparence similaire. Le 14 novembre 2024, la Cnil a prononcé une sanction de 50 millions d’euros à l’encontre d’Orange sur le fondement l’article L. 34-5 du code des postes et des communications électroniques (CPCE), selon lequel « est interdite que la prospection directe au moyen de système automatisé de communications électroniques […], […] de courriers électroniques utilisant les coordonnées d’une personne physique, abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement à recevoir des prospections directes par ce moyen » (1).
Ces dispositions transposent en droit français la (suite)

Devant la justice française, Apple remporte une manche qui lui permet de poursuivre son dispositif ATT

Le Tribunal judiciaire de Paris a estimé, dans son ordonnance du 20 janvier 2026, qu’il n’y avait pas lieu de suspendre le dispositif App Tracking Transparency (ATT) mis en œuvre par Apple. L’Alliance Digitale, le Geste, le SRI et l’Udecam, qui l’avaient saisi en référé, pourraient ne pas en rester là.

La coalition française formée par l’Alliance Digitale, le Groupement des éditeurs de services en ligne (Geste), le Syndicat des régies Internet (SRI) et l’Union des entreprises de conseil et d’achat médias (Udecam) est mobilisée depuis 2020 contre l’« ATT » d’Apple, comprenez l’App Tracking Transparency – le mécanisme de la Pomme imposant aux éditeurs le consentement de leurs utilisateurs si ces premiers – éditeurs, régies, annonceurs et partenaires technologiques – veulent accéder à l’identifiant publicitaire (IDFA) du fabricant des iPhone et des iPad, pour suivre les seconds.

Les petits éditeurs sont les plus touchés
Pour eux, ATT est « artificiellement complexe au détriment de l’ensemble des acteurs de l’écosystème, de manière asymétrique, discriminatoire et non proportionnée aux objectifs prétendus de protection des données des utilisateurs ». L’Autorité de la concurrence leur avait donné raison dans sa décision du 31 mars 2025, en sanctionnant le groupe Apple – dirigé par Tim Cook (photo) – d’une amende de 150 millions d’euros (que la Pomme a payé depuis) pour les « modalités de mise en œuvre » de ce dispositif ATT qui « ne sont ni nécessaires ni proportionnées à l’objectif, affiché par Apple, de protection des données personnelles » (1).
Le gendarme de la concurrence avait reproché à ce mécanisme contesté d’engendrer une multiplication de fenêtres de recueil de consentement, « compliquant excessivement le parcours des utilisateurs d’applications tierces au sein de l’environnement iOS ». De plus, ces différentes fenêtres affichées à l’écran de l’utilisateur « portent atteinte à la neutralité du dispositif, causant un préjudice économique certain aux éditeurs d’applications et aux fournisseurs de services publicitaires », et en particulier aux plus petits éditeurs qui dépendent en grande partie de la collecte de données tierces pour financer leur activité dans l’écosystème mobile, contrairement aux principales plateformes verticalement intégrées. Deux asymétries ont ainsi été dénoncées par (suite)

L’Europe n’en a pas terminé avec le « Chat Control »

En fait. Le 31 octobre, la présidence danoise de l’UE a retiré le projet controversé d’obliger de surveiller les conversations des messageries cryptées telles que WhatsApp, Telegram ou Signal pour lutter contre la pédopornographie. Mais la Pologne, à partir du 1er janvier 2026, pourrait réintroduire ce « Chat Control ».

En clair. Ce n’est que partie remise… pour 2026. Bien que la présidence danoise de l’Union européenne (UE) ait annoncé le 31 octobre le retrait de l’obligation – pour les éditeurs de messageries cryptées – de surveiller les conversations de leurs millions d’utilisateurs européens dans le cadre de la lutte contre les contenus d’abus sexuels sur enfants, cela ne signifie pas que l’obligation du « Chat Control » (contrôle du chat) soit abandonnée pour autant. Car la Pologne, bien qu’hostile à l’obligation de « décryptage du cryptage », va prendre à partir du 1er janvier 2026 la présidence tournante de l’UE et va être soumise à de fortes pressions en faveur d’une surveillance obligatoire des WhatsApp, Telegram et autres Signal. Gmail de Google et Messenger de Facebook sont aussi parmi les messageries concernées. Pour l’heure, et jusqu’à l’échéance du 3 avril prochain (1), le « scanning » des contenus et conversations en ligne n’est pas obligatoire pour les éditeurs de ces plateformes.
Un règlement européen de 2021, parfois surnommé « Derogation ePrivacy », a instauré une « dérogation temporaire » à la directive « ePrivacy » de 2022 pour « permettre » aux plateformes de messageries instantanées d’utiliser des technologies de « scanning » (traduit en français par « examiner ») de tous les contenus des conversations, données à caractère personnel et autres données, afin de « lutte[r] contre les abus sexuels commis contre des enfants en ligne » ((2). Cette dérogation basée actuellement sur le volontariat, devait durer (suite)

Micro-ciblage en Europe : état des lieux, sept ans après le scandale « Cambridge Analytica »

Depuis le scandale « Cambridge Analytica » il y a sept ans, dont Facebook est à l’origine et qui a bouleversé notre perception du numérique, l’Union européenne s’est constituée un arsenal réglementaire unique au monde, encadrant le micro-ciblage et la transparence des publicités politiques.

Par Jade Griffaton, avocate counsel, Milestone Avocats

En 2018, le monde découvrait avec stupeur que Facebook avait permis la collecte illégale de données personnelles de plus de 87 millions d’utilisateurs par la société britannique Cambridge Analytica (1). Ces données, minutieusement exploitées entre 2014 et 2015, avaient servi à influencer les électeurs lors de scrutins majeurs, notamment la présidentielle américaine de 2016 et le référendum sur le Brexit de la même année. Ce scandale retentissant a brutalement mis en lumière les dangers considérables que représente le micro-ciblage politique pour l’intégrité des processus démocratiques.

Techniques de persuasion psychologique
Sept ans après cette affaire aux répercussions mondiales, l’Europe a considérablement renforcé son arsenal juridique concernant l’encadrement des publicités politiques et la protection des citoyens contre ces pratiques particulièrement invasives. Le micro-ciblage constitue une méthode de publicité numérique sophistiquée qui exploite méthodiquement les données personnelles pour identifier avec précision les intérêts, les préoccupations et les vulnérabilités d’individus ou de groupes spécifiques. Cette identification minutieuse poursuit un objectif précis : influencer délibérément leurs comportements et leurs opinions politiques par des messages personnalisés.
Contrairement au profilage publicitaire classique, le microciblage politique présente des caractéristiques particulièrement préoccupantes pour nos démocraties. Il transcende la simple identification des personnes en croisant de multiples sources de données pour en déduire des informations particulièrement sensibles telles que les opinions politiques latentes, les convictions religieuses ou l’orientation sexuelle des individus. Cette technique permet (suite)

L’accord sur le transfert des données personnelles vers les Etats-Unis peut-il aboutir ?

Après l’échec du « Safe Harbor » et celui du « Privacy Shield », un nouvel accord se fait attendre entre l’Union européenne et les Etats-Unis sur le transfert des données à caractère personnel. Si le processus est incontestablement en cours, il suscite des réserves qui compromettent son aboutissement. Par Emmanuelle Mignon, avocat associé, et Gaël Trouiller, avocat, August Debouzy (Article paru le 26-06-23 dans EM@ n°302. Le 03-07-23, les Etats-Unis ont déclaré avoir « rempli leurs engagements » pour la protection des données UE-US. Le 10-07-23, la Commission européenne a publié sa décision d’adéquation) En mars 2022, la Commission européenne avait annoncé qu’un accord politique entre sa présidente Ursula von der Leyen et le président des Etats-Unis Joe Biden avait été trouvé (1) : une première traduction juridique de cet accord, intitulé « Data Privacy Framework » (DPF) est alors née, le 7 octobre 2022, du décret présidentiel américain – Executive Order n°14086 – sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (2). Après l’annulation du « Privacy Shield » Sur le fondement de cet Executive Order (EO), la Commission européenne a publié, le 13 décembre 2022 (3), un projet de décision d’adéquation du système étasunien de protection des données au droit de l’Union européenne (UE). Celui-ci a fait l’objet d’un avis consultatif du Comité européen de la protection des données (CEPD) du 28 février dernier. Cet avis reconnaît que l’EO apporte de « substantielles améliorations », mais souligne cependant que des écueils subsistent et que des clarifications du régime américain demeurent nécessaires (4). Plus critique, le Parlement européen, dans sa résolution du 11 mai 2023, « conclut que le cadre de protection des données UE–Etats-Unis ne crée [toujours] pas d’équivalence substantielle du niveau de protection [et] invite la Commission à ne pas adopter le constat d’adéquation » (5). Epicentre du DPF, l’EO n°14086 de Joe Biden a pour objet d’instaurer des garanties juridiques afin de prendre en considération le droit de l’UE, en particulier l’arrêt « Schrems II » de 2020. On se souvient que, par cet arrêt, la Cour de justice de l’UE (CJUE) avait jugé que : Le « Privacy Shield » instituait des limitations au droit à la protection des données à caractère personnel – protégé par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE – méconnaissant les exigences de nécessité et de proportionnalité découlant de l’article 52 de cette même Charte. Etait en particulier visée la collecte « en vrac » de données des citoyens européens opérée par les services de renseignement étasuniens en application : de la section 702 du Foreign Intelligence Surveillance Act (FISA) de 2008, qui autorise les services de renseignement américains à adresser à un fournisseur de services de communications électroniques des directives écrites lui imposant de procurer immédiatement au gouvernement toute information ayant pour objet d’obtenir des renseignements (métadonnées et données de contenu) se rapportant à des personnes étrangères susceptibles de menacer la sécurité des EtatsUnis ; de l’Executive Order n°12333 de 1981, qui permet aux services de renseignement américains d’accéder à des données « en transit » vers les Etats-Unis, notamment aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données. Le « Privacy Shield » ne fournissait pas de voie de contestation devant un organe offrant aux citoyens européens, dont les données sont transférées vers les EtatsUnis, des garanties substantiellement équivalentes à celles requises par l’article 47 de la Charte des droits fondamentaux de l’UE consacrant le droit à un recours effectif (6). Pour répondre aux attentes du droit de l’UE, l’EO n°14086 de Biden instaure des principes devant guider les services de renseignement américains lorsqu’ils traitent de données à caractère personnel. A cet égard, les services de renseignement doivent : respecter la vie privée et les libertés civiles indépendamment du lieu de résidence et de la nationalité des personnes dont les données sont collectées (en particulier, cette collecte ne pourra être opérée qu’à condition d’être « nécessaire » et « proportionnée » à la priorité en matière de renseignement alléguée) ; poursuivre des objectifs limitativement définis par l’EO, comme la protection contre le terrorisme ou l’espionnage, et s’écarter, en toute hypothèse, de ceux expressément exclus tels que l’entrave à la liberté d’expression. L’Executive Order de Biden L’EO de Biden prévoit, en outre, un mécanisme de recours à double niveau. En premier lieu, les citoyens européens pourront saisir, par l’intermédiaire d’une autorité publique désignée à cet effet, l’officier de protection des libertés publiques – Civil Liberties Protection Officer (CLPO) – d’une plainte. Ce dernier adoptera alors, s’il estime que les garanties conférées par l’EO n’ont pas été respectées, les mesures correctives appropriées comme la suppression des données illicitement récoltées. En second lieu, un appel de la décision du CLPO pourra être interjeté devant la Cour de révision de la protection des données – Data Protection Review Court (DPRC) – spécialement créée par l’EO. Elle sera composée de membres nommés en dehors du gouvernement américain et ayant une certaine expérience juridique en matière de données à caractère personnel et de sécurité nationale. La décision de cette Cour sera rendue en dernière instance et revêtue d’un caractère contraignant. Des frictions avec le droit de l’UE Les points persistants de friction avec le droit de l’UE qui sont mis en avant par ceux qui sont hostiles à l’adoption du DPF sont les suivants : La collecte « en vrac » de données à caractère personnel, bien qu’encadrée par l’EO de Biden, n’est pas entièrement prohibée et ne nécessite pas une autorisation préalable indépendante. Le recours à cette méthode peut poser une sérieuse difficulté de compatibilité avec le droit de l’UE. En effet, la CJUE voit dans la collecte généralisée et non différenciée des données une incompatibilité avec le principe de proportionnalité (7), à tout le moins lorsqu’une telle collecte ne fait l’objet d’aucune surveillance judiciaire et n’est pas précisément et clairement encadrée (8). Or, cet encadrement pourrait, au cas présent, faire défaut dans la mesure où il est très largement extensible par la seule volonté du Président américain qui est habilité par l’EO à modifier, secrètement, la liste des motifs sur le fondement desquels il peut être recouru à cette technique de surveillance (9). Il n’est pas acquis, faute de définition dans l’EO, que les caractères « nécessaire » et « proportionné » des collectes de données aient la même signification que celle – exigeante – prévalant en droit européen. L’indépendance des organes de recours peut être mise en doute, bien que le système instauré par l’EO comprenne des garanties supérieures à celles antérieurement attachées au médiateur – l’Ombudsperson – du Privacy Shield. En particulier, le CLPO et la DPRC sont organiquement rattachés au pouvoir exécutif américain, n’appartiennent pas organiquement au pouvoir judiciaire et pourraient alors ne pas pouvoir être qualifiés de tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’UE. L’EO institue toutefois des garanties fonctionnelles d’indépendance à ces deux instances. Ainsi, le directeur du renseignement national ne pourra pas intervenir dans l’examen d’une plainte déposée auprès du CLPO et il lui est interdit de révoquer ce dernier pour toute mesure prise en application de l’EO. Quant à la DPRC, ses membres – qualifiés de juges – ne pourront pas recevoir d’instructions du pouvoir exécutif, ni être limogés à raison des décisions qu’ils prendront. A cet égard, on peut s’interroger mutatis mutandis sur la portée de certaines des garanties apportées par le droit des Etats membres en matière de contrôle des activités de surveillance. L’équilibre n’est pas simple à trouver, mais, s’agissant de la France, le caractère secret de la procédure de contrôle devant le Conseil d’Etat suscite à tout le moins des interrogations. Enfin, d’autres règlementations américaines comme le Cloud Act – régissant la communication de données dans le cadre d’enquêtes judiciaires – n’entrent pas dans le champ de l’EO. Leur application, qui n’est donc pas tempérée par les garanties instituées par ce dernier, pourrait se révéler incompatible avec le niveau de protection des données à caractère personnel en droit de l’UE. Il y a lieu toutefois de souligner que les dispositions du Cloud Act s’inscrivent dans le cadre de l’activité judiciaire des autorités américaines (poursuites et répression des infractions pénales et administratives), qui doit être clairement distinguée des activités de renseignement. Le Cloud Act offre en pratique des garanties qui n’ont rien à envier à celles du droit de l’UE et du droit des Etats membres (10).Ces points de vigilance, non-exhaustifs, devront être scrutés avec attention tout au long de l’examen du processus d’adoption de la décision d’adéquation. Après le CEPD et le Parlement européen, c’est au tour du comité composé des représentants des Etats membres de l’UE d’émettre prochainement un avis sur le projet de la Commission européenne. A supposer qu’il y soit favorable à la majorité qualifiée de ses membres, la décision d’adéquation pourra alors être adoptée. Si la Commission européenne s’est initialement affichée plutôt confiante sur l’avènement du DPF (11), celui-ci pourrait évidemment se retrouver grippé par une contestation de la décision d’adéquation devant le juge européen qui a déjà été annoncée par ses adversaires. En cas de succès de ce recours, l’avenir serait alors bien incertain dans la mesure où les Etats-Unis semblent être arrivés au bout de ce qu’ils sont prêts à concéder pour parvenir à un accord transatlantique sur le transfert des données qui ne se fera pas au prix d’un affaiblissement de la conception qu’ils se font de leur sécurité nationale. Vers une 3e annulation par la CJUE ? Il est peu de dire qu’une éventuelle annulation par la CJUE de la future troisième décision d’adéquation après celles relatives aux « Safe Harbor » (décision « Schrems I » de 2015) et au « Privacy Shield » (décision « Schrems II » de 2020), cristalliserait, de part et d’autre de l’Atlantique, des positions politiques et juridiques certainement irréconciliables. Surtout, cela prolongerait la situation d’incertitude juridique dans laquelle sont plongés les acteurs économiques qui peuvent se voir infliger de lourdes sanctions en cas de transferts transatlantiques irréguliers de données, à l’image de la société Meta condamnée, le 12 mai 2023, à une amende record de 1,2 milliard d’euros par le régulateur irlandais. @