De Franse privacytoezichthouder CNIL heeft Yahoo een boete van tien miljoen euro gegeven, omdat het bedrijf op twee manieren de AVG overtrad met cookies. Zo werden er zonder toestemming cookies geplaatst en konden mailgebruikers niet zomaar toestemming intrekken.
CNIL zegt dat Yahoo twintig advertentiecookies plaatste op gebruikersapparaten als zij naar de Yahoo.com-site navigeerden. Dergelijke cookies mogen pas geplaatst worden als de gebruiker hier expliciete toestemming voor geeft, maar Yahoo deed dit volgens CNIL ook zonder die expliciete toestemming. Yahoo deed dit in ieder geval in oktober 2020.
De andere overtreding had te maken met de Yahoo Mail-dienst. Deze dienst vereiste het plaatsen van cookies, waar het bedrijf toestemming voor vroeg. Gebruikers die deze toestemming later echter wilden intrekken, konden de e-maildienst niet langer gebruiken. Hiermee overtrad Yahoo volgens CNIL de wet, omdat toestemming voor dergelijke cookies vrijelijk gegeven moeten worden. "Dit impliceert dat het intrekken van deze toestemming niet voor schade voor de gebruiker zorgt." Doordat gebruikers geen ander alternatief hadden dan het niet langer gebruiken van de maildienst, was er volgens de privacytoezichthouder geen sprake van het vrijelijk geven van toestemming.
Wat hierbij meespeelt, is dat een e-mailadres volgens CNIL 'een element is van het privéleven van een gebruiker'. Met een e-mailadres kunnen gebruikers in contact komen met anderen, kunnen ze een netwerk versterken en kunnen ze belangrijke persoonlijke of zakelijke gesprekken archiveren. "Dus als mensen een e-mailadres hebben aangemaakt en gebruiken, kunnen ze die niet zomaar vervangen door een andere dienst", aldus CNIL.
De boete werd eind december opgelegd, maar is nu pas bekendgemaakt. CNIL zegt bij het bepalen van het boetebedrag te hebben meegewogen dat de keuze van gebruikers omtrent het plaatsen van cookies niet werd gerespecteerd en dat Yahoo maatregelen had ingesteld om gebruikers te ontmoedigen cookietoestemming weer in te trekken.