Sanction de 60 millions d’euros à l’encontre de MICROSOFT
Le 19 décembre 2022, la CNIL a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED à hauteur de 60 millions d’euros, notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies sur le moteur de recherche "Bing.com".
Le contexte
À la suite d’une plainte portant sur les conditions du dépôt de cookies sur « bing.com », la CNIL a effectué plusieurs contrôles sur le site web en septembre 2020 et mai 2021.
Elle a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part alors qu’ils poursuivaient, notamment, un objectif publicitaire. Elle a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies.
En conséquence, la CNIL a décidé de punir Microsoft avec une amende de 60 millions d’euros, rendue publique.
Elle a justifié ce montant par la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies.
La CNIL a également demandé à Microsoft de régulariser l'autorisation du traitement des données recueillies par Bing.com. Si aucune mesure n'est prise par Microsoft, il leur sera demandé de verser 60k euros par jour de retard.
Les manquements à la loi Informatique et Libertés
La formation restreinte a relevé des manquements à l’article 82 de la loi Informatique et Libertés.
Le dépôt de cookies sans recueil préalable du consentement de l’utilisateur
Lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un cookie poursuivant plusieurs finalités, dont des finalités de lutte contre la fraude publicitaire, était automatiquement déposé sur son terminal sans action de sa part.
Par ailleurs, lorsqu’il poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une finalité publicitaire était déposé sur son terminal, toujours sans que son consentement n’ait été recueilli.
La loi impose que ce type de cookies ne soit déposé qu’après consentement de l’utilisateur.
L’absence d’un moyen conforme de recueil du consentement au dépôt des cookies
Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter.
La compétence de la CNIL
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France.
La CNIL est également territorialement compétente car le recours aux cookies est effectué dans le « cadre des activités » de la société MICROSOFT FRANCE qui constitue « l’établissement » sur le territoire français du groupe MICROSOFT.