Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 10 miljoner euro mot Yahoo Emea Limited för olaglig användning av cookies på Yahoo.com och Yahoo! Mail.
Av beslutet framgår att Yahoo har flera webbtjänster som till exempel en sökmotor och en e-posttjänst. CNIL har tagit emot 27 klagomål som hävdat att Yahoos använt cookies på webbplatsen Yahoo.com för reklamändamål utan att användarna gett sitt nödvändiga samtycke. Dessutom klagade användare av Yahoos e-posttjänst på att de inte kunde utöva sin rätt att återkalla sitt samtycke utan att samtligt sluta att använda e-posttjänsten.
I oktober 2020 och juni 2021 genomförde CNIL flera onlinekontroller på webbplatsen Yahoo.com och på e-posttjänsten Yahoo! Mail. För det första konstaterade CNIL vid kontrollen i oktober 2020 att när en internetanvändare gick till webbplatsen Yahoo.com gav den cookiebanner som visades tillgång till en sida som bestod av många knappar som var avsedda att inhämta samtycke till att cookies placerades. CNIL påpekade dock att trots att det inte fanns något uttryckligt samtycke deponerades fortfarande ett tjugotal cookies för reklamändamål på internetanvändarens terminal. CNIL ansåg att Yahoo underlåtit att uppfylla sina skyldigheter enligt artikel 82 i lag nr 78-17 av den 6 januari 1978 om databehandling, datafiler och individuella friheter (dataskyddslagen), eftersom cookies för reklamändamål endast kan deponeras när ett uttryckligt samtycke har lämnats av användaren.
Vidare påpekade CNIL att när en användare av e-posttjänsten Yahoo! Mail ville återkalla sitt samtycke till att cookies lades ned, underrättade bolaget honom om att hans agerande skulle leda till att han inte längre kunde få tillgång till de tjänster som bolaget erbjöd och att han skulle förlora tillgången till sin e-post.
CNIL påminde om att även om det inte är olagligt att koppla användningen av en tjänst till registreringen av cookies som inte är absolut nödvändiga för den tillhandahållna tjänsten, är det under förutsättning att samtycket är frivilligt. Detta innebär att vägran av samtycke eller återkallande av samtycke inte ska leda till någon skada för användaren. I det här fallet erbjöd Yahoo dock inte ett alternativ till användare som ville återkalla sitt samtycke, det enda alternativ som erbjöds användaren var att avstå från att använda sin e-post. CNIL ansåg att återkallandet av samtycket under dessa omständigheter inte var frivilligt.
Gällande materiell behörighet har CNIL rätt att kontrollera och sanktionera verksamhet i samband med cookies som placeras av företag på terminaler som tillhör internetanvändare i Frankrike. Den samarbetsmekanism som föreskrivs i dataskyddsförordningen (one-stop-shop-mekanismen) är inte avsedd att tillämpas i dessa förfaranden i den mån verksamhet som rör användningen av cookies omfattas av direktivet om integritet och elektronisk kommunikation, som har införlivats i artikel 82 dataskyddslagen.
CNIL ansåg också att myndigheten är territoriellt behörig enligt artikel 3 dataskyddslagen, eftersom användningen av cookies sker inom ramen för verksamheten i företaget Yahoo France, som utgör företaget Yahoo EMEA Limiteds etablering på franskt territorium.