Microsoft lourdement sanctionné par la Cnil sur son usage des cookies sur Bing.com

Microsoft devra régler une amende de 60 millions d’euros notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter sur le site de son moteur de rechercher Bing.com. C’est la sanction décidée par la Cnil à l’encontre de Microsoft Ireland Operations limited.

Des cookies notamment à objectif publicitaire

La Cnil a effectué plusieurs contrôles sur le site web « bing.com » en septembre 2020 et mai 2021 à la suite d’une plainte portant sur les conditions du dépôt de cookies sur « bing.com », La Cnil a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part alors que ces cookies poursuivaient, notamment, un objectif publicitaire. La Cnil a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter.

Le montant de 60 millions d’euros d’amende est justifié par la Cnil par le nombre de personnes concernées et par les bénéfices que Microsoft tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies. Microsoft doit recueillir sur le site web « bing.com », dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 € par jour de retard.

Lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un cookie poursuivant plusieurs finalités, dont des finalités de lutte contre la fraude publicitaire, était automatiquement déposé sur son terminal sans action de sa part. Puis, lorsqu’il poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une finalité publicitaire était déposé sur son terminal, toujours sans que son consentement n’ait été recueilli.

Deux clics pour refuser les cookies, c’est trop

Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente, un bouton de refus ou autre,  pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter. La Cnil estime qu’en rendant complexe le mécanisme de refus de cookies revient en fait à décourager les internautes de l’utiliser. Cela les incite à privilégier la facilité du bouton de consentement figurant dans la première fenêtre. Ce procédé porte atteinte à la liberté du consentement des internautes.

La Cnil a conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi. La Cnil rappelle qu’elle est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par Microsoft sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés. 

La Cnil se déclare également territorialement compétente car le recours aux cookies est effectué dans le « cadre des activités » de la société MICROSOFT FRANCE qui constitue « l’établissement » sur le territoire français du groupe MICROSOFT. Quant à la société MICROSOFT IRELAND OPERATIONS LIMITED, dont le siège est en Irlande, elle se présente comme le responsable de traitement du moteur de recherche « bing.com » dans la région européenne. La société MICROSOFT FRANCE est l’établissement en France du groupe Microsoft.