Dans une décision du 19 décembre 20221, la CNIL a prononcé une sanction de 60 millions d’euros à l’encontre de la société Microsoft en raison de plusieurs manquements à la règlementation sur les cookies concernant le moteur de recherche Bing.
La CNIL a été saisie en février 2020 par un plaignant qui dénonçait les conditions de recueil de son consentement pour le dépôt de cookies à partir du moteur de recherche « bing.com ».
Après plusieurs contrôles la CNIL a constaté que :
- dès l’arrivée sur le site bing.com, avant toute action de la part de l’utilisateur, un cookie multi-finalités était déposé sur le terminal de l’utilisateur ;
- Un cookie publicitaire était déposé sur le terminal de l’utilisateur après la poursuite de la navigation, sans que le consentement de l’utilisateur ait été recueilli.
Ainsi, s’agissant des cookies multi-finalités la CNIL apporte les précisions suivantes : « si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l’une des deux exemptions prévues à l’article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l’utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal ».
En l’espèce, le cookie multi-finalités servait notamment à lutter contre la fraude publicitaire et nécessitait de recueillir au préalable le consentement de l’utilisateur étant donné son caractère non essentiel.
Par ailleurs, la CNIL a relevé également que le bouton permettant de recueillir le consentement des utilisateurs n’était pas conforme dans le sens où il permettait d’accepter immédiatement les cookies mais pas de les refuser. Autrement dit, l’internaute ne pouvait refuser les cookies aussi facilement qu’il peut les accepter (deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter), ce qui revient à décourager les internautes de refuser les cookies.
L’ensemble de ces faits contreviennent ainsi aux dispositions de l’article 82 de la loi Informatique et Liberté2.
Par conséquent, la formation restreinte de la CNIL a sanctionné la société MICROSOFT d’une amende de 60 millions d’euros, et a rendue publique sa décision.
Le montant de l’amende est certes important mais en corrélation avec la portée du traitement, le nombre de personnes concernées et surtout les bénéfices que Microsoft a pu tirer des revenus publicitaires générés par les cookies.
La société Microsoft a donc 3 mois pour se mettre en conformité et notamment mettre en place un recueil du consentement des utilisateurs de Bing avant de déposer des cookies publicitaires et des cookies de lutte contre la fraude publicitaire.
Ainsi la CNIL veille toujours scrupuleusement au respect du consentement en matière de cookies, quelques jours après la présente décision, elle sanctionnait également la société Apple à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux3.
1 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046768989
2 https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978
3 https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077
