Le 19 décembre 2022, la CNIL a prononcé une amende de 60 millions d’euros à l’encontre de Microsoft pour avoir manqué à l’obligation de recueil du consentement en matière de cookies et pour ne pas avoir mis en place, sur le moteur de recherche « Bing », un système permettant de refuser les cookies aussi simplement que de les accepter.
A la suite d’une plainte déposée par un utilisateur considérant que les « conditions de recueil du consentement au dépôt de cookies » sur le moteur de recherche « Bing » n’étaient pas conformes à la réglementation, la CNIL a ouvert une enquête à l’encontre de Microsoft, titulaire dudit moteur de recherche.
Au cours de cette enquête, l’autorité de contrôle a relevé deux manquements aux obligations en matière de cookies posées à l’article 82 de la Loi Informatique et Libertés (ci-après « LIL ») :
1. Manquement à l’obligation de recueil du consentement lors du dépôt d’un cookie non-« essentiel »
La CNIL a d’abord constaté que, dès l’arrivée de l’internaute sur le moteur de recherche « Bing », un cookie « multi-finalités » était automatiquement déposé sur le terminal de l’utilisateur sans son consentement.
Pour mémoire, les cookies « multi-finalités » sont une « souplesse » accordée aux responsables du traitement qui leur permettent de regrouper plusieurs finalités dans un seul et même cookie afin de ne « pas surcharger le terminal de l’utilisateur » en déposant une multitude de cookies ayant des finalités distinctes.
Pour la CNIL, « si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle, [le responsable du traitement] ne peut utiliser ce cookie pour des finalités non-essentielles que si l’utilisateur a effectivement consenti à ces finalités spécifiques ».
Pour rappel, un cookie ayant une finalité « essentielle » est un cookie « qui relève de l’une des deux exemptions prévues à l’article 82 de la LIL », autrement dit un cookie (i) qui « permet ou facilite la communication par voie électronique » ou (ii) qui est « strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
En l’espèce, l’autorité de contrôle a considéré que l’une des finalités du cookie « multi-finalités » déposé par Microsoft, à savoir « la détection et le filtrage des fraudes publicitaires », n’était pas une finalité « essentielle » et que, en conséquence, Microsoft aurait dû obtenir le consentement de l’utilisateur avant de pouvoir utiliser ce cookie pour une telle finalité. En ne sollicitant pas préalablement le consentement de l’internaute, la CNIL a estimé que Microsoft avait méconnu les obligations de l‘article 82 de la LIL.
L’autorité de contrôle a ensuite constaté qu’un cookie à finalité publicitaire était déposé sur le terminal de l’utilisateur lors de la navigation, et ce, toujours sans le consentement de ce dernier. Microsoft a indiqué que « ce cookie avait été ajouté par inadvertance ».
Selon la CNIL, « si le dépôt du cookie sans recueillir le consentement de l’utilisateur n’était pas intentionnel, il résultait néanmoins d’une erreur grossière de la part de la société qui n’a pas contesté la finalité publicitaire dudit cookie (…) ».
Ici encore, l’autorité de contrôle a considéré que Microsoft a méconnu les dispositions de l’article 82 de la LIL.
2. Manquement à l’obligation d’équilibre entre les modalités d’acceptation et de refus des cookies
La CNIL a enfin constaté que le « bandeau cookies » affiché sur le moteur de recherche « Bing » proposait un bouton permettant d’accepter directement les cookies, mais ne proposait aucun moyen analogue permettant de refuser « facilement et en un seul clic » lesdits cookies. Effectivement, deux clics étaient nécessaires pour les refuser, alors qu’un seul suffisait à les accepter.
L’autorité de contrôle a rappelé la nécessité d’un « équilibre entre les modalités d’acceptation et de refus ». En l’espèce, le site faisait apparaître une « fenêtre surgissante présentant un bouton « Accepter » et un bouton « Plus d’options » ».
La CNIL a considéré que le bouton « Plus d’options » n’était pas explicite, et que « le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Accepter » ».
En conséquence, l’autorité de contrôle a considéré que le « bandeau cookies » de « Bing » n’était pas conforme aux dispositions de l’article 82 de la LIL.
Compte tenu de ce qui précède, la CNIL (i) a prononcé une amende administrative de 60 millions d’euros à l’encontre de Microsoft pour les multiples violations de l’article 82 de la LIL, et (ii) a enjoint à Microsoft, dans un délai de trois mois, de recueillir le consentement des utilisateurs du moteur de recherche « Bing » avant tout dépôt de cookies non-essentiels.
Source : ici
