Publications
10/01/2023

Dépôt de cookies, la CNIL sanctionne Microsoft 

Par une délibération du 19 décembre 2022, la formation restreinte de la CNIL a condamné la société MICROSOFT IRELAND OPERATIONS LIMITED à une amende de 60 millions après avoir constaté que le mécanisme de recueil du consentement du site « Bing.com » au dépôt de cookies sur le terminal des utilisateurs violait les dispositions du RGPD et de la loi Informatique et Libertés.  


Les faits

Un utilisateur de Bing a saisi la CNIL pour dénoncer les conditions de recueil de son consentement au dépôt de cookies sur son ordinateur par le moteur de recherche. Une délégation de la commission a effectué un contrôle sur ce dernier et relevé qu’il n’existe pas de possibilité de s’opposer au dépôt de cookies.  

Sur le dépôt d’un cookie sur le terminal de l’utilisateur avant toute action de sa part, sans recueil de son consentement.

Il a été relevé qu’un cookie multi finalité dont les finalités publicitaires était déposé sur le terminal de l’utilisateur dès son arrivée sur le moteur de recherche et avant toute action de sa part.  Le cookie était en outre utilisé pour la détection et le filtrage de fraudes publicitaires sans le consentement de l’utilisateur.  

La formation restreinte renvoie à une FAQ de la CNIL du 18 mars 2021 dans laquelle la commission énonce que les cookies de lutte contre la fraude publicitaire ne sont plus strictement nécessaires à la fourniture d’un service demandé par l’utilisateur.  

Ainsi donc, le cookie déposé sur le terminal de ce dernier ne peut relever des exemptions prévues par l’article 82 de la loi Informatique et Libertés de sorte que l’utilisateur doive donner son consentement. 

Sur le dépôt d’un cookie sur le terminal de l’utilisateur après navigation sans recueil de son consentement.

En outre, il a été relevé qu’un cookie à finalité publicitaire est déposé sur le terminal de l’utilisateur après la poursuite de la navigation sans que le consentement de ce dernier n’ait été recueilli. La société avance que le cookie a été placé par inadvertance dans une catégorie qui exclut que l’utilisateur consente à son dépôt. La formation restreinte considère que cette catégorisation résulte d’une erreur grossière qui n’a de plus été constatée qu’à la suite du contrôle diligenté par la CNIL. Elle en conclut que la société a méconnu les obligations de l’article 82 de la loi Informatique et Libertés. 

Sur les conditions du recueil du consentement 

Le rapporteur a relevé qu’au jour du contrôle en ligne le bandeau affiché sur le site web « bing.com » contenait un bouton permettant d’accepter immédiatement les cookies tandis qu’aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser le dépôt de ces cookies. 

La formation restreinte souligne qu’il doit être aussi aisé de refuser son consentement aux traceurs que de le donner, or, en visualisant le bandeau, l’utilisateur n’était pas informé des moyens dont il disposait pour ne pas consentir de manière simple aux cookies. De surcroît, la formation restreinte relève le caractère peu explicite du bouton « Plus d’options » proposé dans le cadre de la première fenêtre, qui ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies.  

La formation restreinte en conclut que ce mécanisme de recueil du consentement viol le considérant 42 du RGPD qui dispose que le principe de liberté du consentement implique que l’utilisateur bénéficie d’une « véritable liberté de choix ». Les modalités qui lui sont proposées pour manifester ce choix ne doivent pas être biaisées en faveur du consentement. 

En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED d’une amende de 60 millions d’euros, rendue publique. Cette sanction tient compte de la portée du traitement, du nombre de personnes concernées et des bénéfices de revenus publicitaires indirectement générés par cette collecte de cookies. 

La CNIL a également adopté une injonction sous astreinte pour la société de recueillir le consentement des personnes concernées. 

Pour en savoir plus