Dans un communiqué publié le jeudi 22 décembre 2022, la Commission nationale de l’informatique et des libertés (ci-après « Cnil »), annonce avoir prononcé une sanction à hauteur de 60 millions d’euros à l’encontre de la société Microsoft Ireland Operations Limited pour non-respect de la réglementation en matière de cookies sur le moteur de recherche « bing.com ».

Microsoft, un géant du numérique.

Microsoft est une entreprise informatique américaine spécialisée dans le développement de logiciels [1].

Elle fait partie des GAFAM, acronyme utilisé pour désigner les quatre géants du web, que sont Google, Apple, Facebook, Amazon et Microsoft.

Microsoft Ireland Operations Limited est une : « filiale de la société Microsoft dont l’activité principale est le marketing et la vente de logiciels pour la région Europe et Asie-Pacifique ».

Les sanctions prononcées.

La formation restreinte, organe de de la Cnil chargé de prononcer des sanctions, a estimé que l’entreprise ne respectait pas les règles portant sur les conditions de dépôt de cookies [2] sur son moteur de recherche « bing.com », notamment en matière de recueil du consentement, conformément aux dispositions prévues par le Règlement général sur la protection des données (ci-après « RGPD » [3]).

La société aurait ainsi manqué aux obligations résultant de la directive ePrivacy, transposées à l’article 82 de la loi Informatique et Libertés.

Elle prononce à l’encontre de Microsoft Ireland Operations Limited, une amende de 60 millions d’euros rendue publique, justifiée [4] par :

« la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ».

En complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte à l’encontre de la société afin de :

« recueillir le consentement des utilisateurs lors de leur arrivée sur le site web "bing.com" avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire ».

Dans le cas contraire, l’autorité de contrôle précise que : « la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard ».

Les manquements sanctionnés par la Cnil.

La Cnil aurait effectuée plusieurs contrôles sur le site web en septembre et mai 2021 afin de répondre à une plainte déposée sur les conditions de recueil du consentement au dépôt de cookies sur le moteur de recherche « bing.com ».

Elle y constate plusieurs manquements à l’article 82 de la loi Informatique et Libertés :

 L’absence du consentement préalable de l’utilisateur au dépôt de cookies sur son terminal.

L’autorité de contrôle a constaté que lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un cookie poursuivant plusieurs finalités, dont la lutte contre « la fraude publicitaire », comprise comme « l’ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire », était automatiquement déposé sur son terminal sans action de sa part.

La Cnil a également précisé qu’en poursuivait sa navigation, des cookies étaient déposés sur le terminal de l’utilisateur sans consentement [5] de sa part alors que ces cookies poursuivaient, notamment, des finalités publicitaires, bien que l’article 82 de la loi Informatique et Libertés de 1978 impose que ce type de cookies ne soit déposé qu’après avoir recueilli le consentement de l’utilisateur.

 L’absence d’un moyen conforme de recueil du consentement au dépôt des cookies.

Dans son communiqué, la Cnil énonce qu’en effectuant ses contrôles, elle a constaté l’absence d’un mécanisme permettant de refuser les cookies [6] aussi facilement que de les accepter.

Le site web proposait :

« un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement ».

L’autorité de contrôle précise que pour refuser tous les cookies, deux clics étaient nécessaires.

Face à ce constat, la formation restreinte a estimé que les conditions de recueil du consentement des utilisateurs proposées par Microsoft, jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, « constituaient une violation de la loi ».

La compétence de la Cnil rappelée dans la délibération de la formation restreinte.

Précisé dans son communiqué, la formation restreinte a considéré que la Cnil est : « matériellement compétente » pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France, et que dans ce cas, le mécanisme de coopération ou mécanisme de « guichet unique [7] » prévu par le RGPD ne s’applique pas.

La formation restreinte a également considéré que la Cnil est « territorialement compétente » car le recours aux cookies est effectué dans le « cadre des activités » de la société Microsoft France qui est « l’établissement » en France du groupe Microsoft.

Debora Cohen, avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail: [->debora.cohen@dcavocat.com] Site: https://www.dcavocat.com/