Amende record de la CNIL pour 2022 : Microsoft Ireland Operations Limited sanctionné à hauteur de 60 millions d’euros pour dépôt de cookies non consentis

Publié par le dans , | Consulté 127 Fois

Permettre aux utilisateurs de refuser les «cookies» uniquement en passant par un paramétrage complexe et long est contraire aux directives européennes. Le 19 décembre 2022, la CNIL, gardienne de la vie privée en France, a sanctionné Microsoft Ireland operations Limited (MIOL), filiale du géant américain de l’informatique Microsoft, d’une amende de 60 millions d’euros pour la gestion des cookies sur son moteur de recherche Bing.
La CNIL lui reproche le dépôt de cookies publicitaires sur le terminal des utilisateurs de son moteur de recherche “bing.com”, sans leur consentement et en l’absence d’un bouton permettant facilement de s’y opposer.

À la suite d’une saisine enregistrée le 21 février 2020 dans laquelle le plaignant, un internaute, dénonçait les conditions de recueil de son consentement au dépôt de “cookies” à partir du domaine “bing.com”, une délégation de la Commission nationale de l’informatique et des libertés a effectué un contrôle en ligne sur le site web “bing.com” le 29 septembre 2020.
L’objet de ce contrôle était de vérifier la conformité de tout traitement accessible à partir du domaine “bing.com” depuis un terminal situé en France, à la loi Informatique et Libertés ainsi qu’au RGPD.

Rejet de cookies via un paramétrage complexe et dépôt de cookies publicitaires non consentis : des manquements à la loi Informatique et Libertés

La société MIOL exploite et développe le moteur de recherche Bing dans l’Espace économique européen. Le domaine ” bing.com ” comptait 10 801 000 utilisateurs résidant en France en septembre 2020.
Depuis le 1er avril 2021, les pays de l’Union Européenne, et la France en particulier, imposent aux sites web de placer un panneau sur leurs pages pour permettre aux internautes de rejeter ou d’accepter les « cookies » le plus simplement possible. Ces cookies, qui récupèrent les données privées, donnent la possibilité de bombarder les internautes d’annonces de pubs dites « ciblées ».

Les traitements objets de la présente procédure, relatifs au dépôt de cookies sur le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Bing, sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques au sein de l’Union européenne.
À ce titre, ils entrent dans le champ d’application matériel de la directive du Parlement européen “ePrivacy” concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
L’article 5 de cette directive, contenant des dispositions relatives au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés. Cette loi oblige l’éditeur d’un site à informer l’internaute sur l’utilisation des cookies publicitaires et des « moyens dont il dispose pour s’y opposer ».
Le considérant 42 de la directive européenne note que “le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice“.

La CNIL considère que Microsoft a privé les utilisateurs du moteur de recherche Bing résidant en France de la possibilité de choisir des modalités préservant la confidentialité de leurs données. L’autorité administrative considère cette privation comme une « atteinte substantielle au droit au respect à la vie privée des personnes concernées ».
La CNIL indique aussi que « les revenus publicitaires facturés relatifs au domaine “bing.com” et réalisés en France, qui sont passés de […] en 2020 à […] en 2021, présentent une augmentation de 30 % ». Rappelons que l’infraction a été relevée pendant ces deux mêmes années. De même, l’autorité fait remarquer que la marge brute du groupe Microsoft Corporation a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité.

Les cookies “MUID” et “ABDEF” en cause

La Commission interpelle Microsoft sur l’absence d’un moyen conforme de recueil du consentement au dépôt de cookies : « Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement ».
« Rendre le mécanisme de refus plus complexe revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton de consentement figurant dans la première fenêtre », déclare la Cnil, affirmant que Microsoft « portait atteinte à la liberté du consentement des internautes » en utilisant un tel procédé.

Dans sa délibération, la CNIL vise particulièrement deux cookies que déposait Microsoft lors de l’utilisation de son moteur de recherche bing. L’un, nommé « ABDEF », était déposé après navigation et sans le consentement de l’internaute, et l’autre, « MUID », était déposé dès l’arrivée sur le site, et s’agissait d’ « un cookie multi-finalités utilisé pour assurer la sécurité du service, pour mesurer l’utilisation du site web et pour la présentation de publicités ».
L’entreprise avait précisé que les finalités publicitaires ne se déclenchaient que grâce à un mécanisme de recueil du consentement.
Pour le cookie ABDEF, la CNIL a constaté qu’il était utilisé à des fins publicitaires, ce que l’entreprise n’a pas contesté. Microsoft Irlande a plaidé la « simple inadvertance humaine » selon la délibération de la CNIL. L’entreprise irlandaise a par ailleurs souligné l’avoir soumis au recueil du consentement des utilisateurs depuis le 30 juillet 2021.

60 millions d’euros : l’amende record prononcée par l’autorité en 2022

La Cnil est compétente matériellement pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France, mais aussi compétente territorialement puisque le recours aux cookies est effectué dans le « cadre des activités » de la société Microsoft France qui constitue « l’établissement » sur le territoire français du groupe Microsoft.
La CNIL pouvait, pour ces manquements liés à la directive européenne ePrivacy transposée en droit français dans la loi Informatique et Libertés, prononcer une amende d’un montant allant jusqu’à 2% du chiffre d’affaires mondial.

Dans son communiqué, et pour justifier le montant de l’amende, la CNIL s’appuie notamment sur le paragraphe 2 de l’article 83 du RGPD qui conditionne les amendes administratives et pointe notamment « la gravité du manquement par la portée du traitement de données, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies».
Enfin, l’autorité appuie sa décision en relevant que ce n’est que le 29 mars 2022 que la société a choisi d’insérer un bouton “Tout refuser”.

C’est la plus importante amende prononcée en 2022 par l’autorité, qui avait annoncé l’an passé une campagne de contrôles contre les sites ne respectant pas les règles du web, et avait déjà épinglé à ce sujet Google, Facebook et Amazon.
Le géant de la recherche Google et le réseau social Facebook avaient été sanctionnés par la CNIL en décembre 2021, d’amendes de 150 et de 60 millions d’euros pour des manquements similaires. Google et Amazon avaient également été sanctionnés fin 2020 pour défaut d’information des utilisateurs sur les «cookies».

Une sanction financière assortie d’une injonction sous astreinte

La CNIL accompagne cette amende d’une injonction pour Microsoft Irlande de recueillir le consentement des internautes à l’arrivée sur la page de son navigateur bing.com et « avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire ».

En complément de l’amende administrative, la Commission nationale de l’informatique et des libertés a également adopté une injonction sous astreinte afin que la société recueille sur le site web “bing.com”, dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire.
Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.

Une sanction preuve d’une veille européenne et surtout française à la bonne application du RGPD

Cette amende à l’encontre de Microsoft vient s’ajouter aux 437 autres rendues publiques par les agences européennes de protection de la vie privée en 2022. Selon le cabinet CMS, 438 amendes ont été distribuées aux entreprises ayant enfreint le règlement général sur la protection des données pour un montant qui s’élève à 831 850 110 euros.

Les données regroupent les 27 États membres de l’Union européenne, ceux de l’Espace Économique Européen et le Royaume-Uni. Trois amendes adressées à Meta représentent à elles seules 687 millions d’euros et Instagram écopait d’une amende record de 405 millions d’euros pour ne pas être parvenu à protéger la vie privée des mineurs. La France se positionne troisième avec 25 225 000 euros d’amendes.
Le montant des amendes reste tout de même inférieur à celui de l’année dernière: En 2021, les régulateurs européens avaient obtenu 1,3 milliard d’euros répartis sur 460 sanctions, un record.
Cela montre bien la bonne volonté des régulateurs européens et surtout français qui militent pour la protection de la vie privée et des données personnelles, et cela en assurant la conformité aux lois et notamment au RGPD.

sources:

  1. https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited
  2. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046768989
  3. https://www.lesechos.fr/tech-medias/hightech/la-cnil-inflige-une-amende-de-60-millions-deuros-a-microsoft-1891494
  4. https://www.blogdumoderateur.com/cnil-amende-60-millions-euros-pour-microsoft/
  5. https://siecledigital.fr/2022/12/22/epingle-par-la-cnil-microsoft-doit-payer-une-amende-de-60-millions-deuros/
  6. https://www.lesnumeriques.com/pro/cookies-imposes-sur-bing-une-amende-de-60-millions-d-euros-contre-microsoft-n201283.html