10/02
Red by SFR dans le viseur de la CNIL pour ses pratiques en matière de cookies
La CNIL a mis en demeure SFR de se conformer aux règles encadrant le dépôt de cookies sur le site Red by SFR. L’opérateur dispose de deux mois pour corriger plusieurs manquements liés au recueil du consentement des utilisateurs.
La Commission nationale de l’informatique et des libertés (CNIL) a adressé une mise en demeure à la Société Française du Radiotéléphone (SFR) concernant les modalités de dépôt des cookies sur le site red-by-sfr.fr. La décision, datée du 22 janvier 2026, fait suite à une plainte, notamment de l’association PURR qui lutte pour un respect du RGPD, et rappelle à l’opérateur ses obligations en matière de consentement des utilisateurs.
Dans son courrier envoyé aux plaignants et publié sur X, la présidente de la CNIL souligne que certaines opérations de lecture et d’écriture d’informations sur le terminal des utilisateurs ne peuvent être réalisées sans consentement préalable, dès lors qu’elles ne sont ni strictement nécessaires au fonctionnement du service, ni destinées à permettre ou faciliter la communication électronique. À ce titre, SFR est tenu, en tant que responsable de traitement, d’informer clairement les personnes concernées et de mettre en place un mécanisme valide de recueil du consentement.
Un délai de deux mois pour se mettre en conformité
La mise en demeure impose à SFR de se conformer, dans un délai de deux mois, aux dispositions de l’article 82 de la loi Informatique et Libertés. Plusieurs exigences précises sont rappelées par la CNIL. L’opérateur doit notamment proposer des interfaces de gestion des cookies non trompeuses, offrant des options de refus aussi simples et accessibles que celles permettant l’acceptation. L’objectif est d’éviter toute incitation implicite poussant les utilisateurs à consentir davantage qu’à refuser.
La CNIL exige également que le retrait du consentement soit effectif, c’est-à-dire qu’il entraîne réellement l’arrêt des opérations de lecture et d’écriture des cookies concernés. Enfin, SFR devra procéder à l’effacement des données à caractère personnel qui auraient été collectées ou traitées en l’absence d’un consentement valable.
Le régulateur attire aussi l’attention de l’opérateur sur les cookies déposés par des tiers. Même lorsque l’entreprise ne dispose pas d’un contrôle direct permettant de supprimer elle-même ces cookies, la CNIL rappelle qu’il lui revient d’effectuer les vérifications nécessaires et de prendre les mesures appropriées auprès de ses partenaires pour faire cesser tout manquement, notamment lorsque des cookies continuent d’être lus après le retrait du consentement.
Cette mise en demeure ne constitue pas une sanction financière à ce stade, mais elle expose SFR à d’éventuelles suites coercitives si les mesures demandées ne sont pas mises en œuvre dans les délais impartis. Elle s’inscrit dans la continuité des actions de la CNIL visant à renforcer le respect du consentement des utilisateurs sur les sites web, en particulier dans le domaine des cookies et traceurs.