CNIL beboet Orange met €50 miljoen: Wat ging er mis?

Advertenties tussen e-mail

Gebruikers van de grootste e-maildienst van Frankrijk kregen advertenties te zien op de plek waar ook normale e-mails binnenkwamen. Hiervoor was geen toestemming verleend door de gebruikers en dit was wel nodig volgens de Franse toezichthouder. Dit is op grond van de Franse Telecommunicatiewet besloten, waarin is vastgelegd dat de voor de weergave van dit soort advertenties toestemming vereist is. De Franse Telecommunicatiewet is, net als de Nederlandse versie, een implementatie van de Europese e-Privacy Richtlijn.

Daarnaast is uit het onderzoek van de Franse toezichthouder ook gebleken dat wanneer gebruikers van de website hun toestemming voor het opslaan en lezen van cookies op hun apparaten intrekken, eerder opgeslagen cookies nog steeds werden uitgelezen. Ook dit is in strijd met de Franse Telecommunicatiewet.

Orange kreeg een boete van 50 miljoen euro omdat de e-maildienst zowel advertenties tussen mails plaatste als e-mails verzond die volledig als advertentie waren opgesteld.  Dit bedrag is onder andere zo hoog uitgevallen vanwege de hoeveelheid gebruikers van de dienst van Orange, 7,8 miljoen personen, die daarmee deze advertenties hebben gezien. Voor het uitlezen van cookies, waarvoor toestemming was ingetrokken, kreeg Orange een bevel om te stoppen binnen drie maanden, daarna wordt een boete van 100.000 euro per dag opgelegd.

Dark patterns in cookiebanners

Omdat de CNIL veel klachten ontvangt over het gebruik van dark patterns bij het uitvragen van toestemming voor het plaatsen van cookies, zijn zij een onderzoek gestart. Indien je geldige toestemming wil uitvragen moet je altijd oppassen met het gebruik van designs die bezoekers eventueel kunnen misleiden. De CNIL komt vaker tegen dat misleiding wordt ingezet om bezoekers over te halen toestemming te geven. Vaak wordt de mogelijkheid om de cookies te weigeren niet net zo gemakkelijk aangeboden als om deze te accepteren. In de praktijk zien zij dat de weigerknop soms wordt weergegeven als een klikbare link, terwijl de accepteerknop veel duidelijker naar voren komt.  De weigerknop wordt ook vaak met onduidelijke bewoordingen aangeboden, zoals “Ik weiger niet-essentiële doelen”, terwijl de accepteerknop wel duidelijk wordt weergegeven in de banner. De CNIL heeft de banners gecontroleerd en geanalyseerd in het licht van de Franse gegevensbeschermingswet, de richtlijnen en aanbevelingen van de CNIL zelf en het rapport van de EDPB over cookiebanners.

Strengere handhaving

We zien in Europa een trend van strengere handhaving van privacyrechten door de toezichthouders, waar ook de AP in Nederland een rol in speelt. Het blijft dus belangrijk te zorgen voor de juiste toepassingen, zoals het nakomen van de informatieplicht in de vorm van een compliant cookiebanner of privacyverklaring.

Op de hoogte blijven van het laatste AVG-nieuws? Volg ons via LinkedIn of schrijf je in voor onze nieuwsbrief.

• Laatste legal updates in je mailbox? Meld je aan voor de DDMA Legal Nieuwsbrief.
• Ben je lid en heb je een vraag? Je kunt ons bereiken via 020 4528413 en legal@ddma.nl.
• Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Sara Mosch

Legal counsel