Yahoo écope d’une amende de 10 millions d’euros pour violation de la GDPR

Amende de 10 millions d’euros pour Yahoo

La Commission nationale de l’informatique et des libertés (CNIL), le gendarme français de la vie privée, a infligé une amende de 10 millions d’euros à Yahoo! pour violation du règlement général sur la protection des données (GDPR).

La CNIL a constaté que le site web Yahoo! avait commis deux manquements majeurs à la GDPR :

• La société n’a pas respecté le choix des internautes qui refusaient les cookies sur son site « Yahoo.com ».
• Yahoo! n’a pas permis aux utilisateurs de sa messagerie « Yahoo! Mail » de retirer leur consentement aux cookies de manière libre et transparente.

Très mauvaise gestion des cookies

Concernant le premier manquement, la CNIL a constaté que Yahoo! utilisait un bandeau cookies qui ne permettait pas aux internautes de refuser de manière claire et sans équivoque le dépôt de cookies publicitaires. Le bandeau était trop complexe et présentait trop de boutons différents, ce qui rendait difficile pour les internautes de comprendre les conséquences de leur choix.

Concernant le second manquement, la CNIL a constaté que Yahoo! informait les utilisateurs de sa messagerie « Yahoo! Mail » que le retrait de leur consentement aux cookies entraînerait la fermeture de leur compte. Cette information était trompeuse et dissuasive, car elle privait les utilisateurs de la possibilité de retirer leur consentement sans perdre l’accès à leurs services.

Je dois bien avouer que sur le second manquement, c’est quand même sacrément malhonnête ! 😯

La CNIL entend bien se faire respecter des sociétés américaines

La décision de la CNIL est une illustration de la fermeté avec laquelle les autorités de protection des données appliquent la GDPR. Cette réglementation, qui est entrée en vigueur en 2018, vise à renforcer la protection des données personnelles des personnes physiques dans l’Union européenne.

La décision de la CNIL pourrait avoir un impact important sur Yahoo!, même pour une entreprise américaine. En effet, la GDPR s’applique à toutes les entreprises qui traitent des données personnelles de personnes physiques situées dans l’Union européenne, qu’elles soient établies dans l’UE ou non.