Le 19 décembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 60 millions d’euros à Microsoft. La raison de cette sanction : un système de dépôt des cookies non conforme à la loi sur son moteur de recherche.
Les faits autour de « bing.com »
Tout part d’une plainte déposée auprès de la CNIL au sujet des conditions du dépôt des cookies sur « bing.com ». Le gendarme français de la protection de la vie privée a donc effectué différents contrôles en septembre 2020 et en mai 2021.
La plainte était justifiée. Sur son site, la CNIL précise : « Elle [la CNIL] a constaté que lorsqu’un utilisateur se rendait sur ce site [bing.com], des cookies étaient déposés sur son terminal sans consentement de sa part alors qu’ils poursuivaient, notamment, un objectif publicitaire.». Elle va même plus loin en constatant : « l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter. »
Des manquements importants
En mettant en place un tel système, Microsoft a violé l’article 82 de la loi Informatique et Libertés. Ce dernier dispose notamment que les dépôts de cookie : « ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion […]. ».
Dans les faits, il suffisait de se rendre sur le moteur de recherche en question pour qu’un cookie soit automatiquement déposé sur l’appareil de l’internaute. Son consentement n’était sollicité à aucun moment.
De plus, lorsque l’utilisateur poursuivait la navigation sur internet, un second cookie à visée publicitaire était déposé. Encore une fois, sans qu’un quelconque consentement soit recueilli.
Les manquements de Microsoft ne s’arrêtent pas là. En effet, « bing.com » était bien doté d’un bouton permettant d’accepter immédiatement les cookies en un seul clic. Cependant, pour les refuser, il n’y avait pas de bouton aussi évident. Il fallait deux clics pour refuser contre un seul pour accepter.
Au vu des tous ces éléments, la CNIL a jugé que le système de dépôt des cookies était illégal. Quant au mécanisme de refus plus complexe, elle a estimé qu’il portait atteinte à la liberté de consentement des internautes.
En conséquence, une amende de 60 millions d’euros a été infligée à la société MICROSOFT IRELAND OPERATIONS LIMITED.
La CNIL, une autorité face aux géants
La CNIL est le régulateur des données personnelles. Au-delà de son rôle d’information et d’accompagnement, elle dispose d’un pouvoir de contrôle et de sanction. Elle est matériellement compétente concernant les opérations liées aux cookies en France.
Ainsi, même s’il s’agit d’une autorité française, elle a pu sanctionner une société basée en Irlande. Sur son site, elle justifie cette compétence territoriale par le fait que « le recours aux cookies est effectué dans le « cadre des activités » de la société MICROSOFT FRANCE qui constitue « l’établissement » sur le territoire français du groupe MICROSOFT. ».
Ce n’est pas la première fois qu’elle rappelle à l’ordre un membre des GAFAM. Fin 2021, elle avait infligé 150 millions d’euros d’amende à Google et 60 millions d’euros d’amende à Facebook. Ces deux géants avaient également manqué à leurs obligations concernant le consentement et les cookies.
Léo Tarpin
M2 Cyberjustice – Promotion 2022/2023
Sources :
https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited
https://www.cnil.fr/fr/les-missions-de-la-cnil
https://www.lesechos.fr/tech-medias/hightech/cookies-la-cnil-inflige-des-amendes-records-a-google-et-facebook-1377179