Dans une délibération en date du 19 décembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 60 millions d’euros à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED, notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter.
La société MICROSOFT IRELAND OPERATIONS LIMITED, filiale de la société MICROSOFT CORPORATION, exploite et développe le moteur de recherche Bing dans l’Espace économique européen.
À la suite d’une saisine enregistrée le 21 février 2020 dans laquelle le plaignant dénonçait les conditions de recueil de son consentement au dépôt de traceurs (« cookies ») à partir du domaine « bing.com », la CNIL a procédé à un contrôle en ligne sur le site web « bing.com », le 29 septembre 2020.
Le 11 mai 2021, un deuxième contrôle en ligne a été effectué par la CNIL.
Lors de ces contrôles, la CNIL a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part alors qu’ils poursuivaient, notamment, un objectif publicitaire. Elle a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter.
En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED d’une amende de 60 millions d’euros, rendue publique.
En complément de l’amende administrative, la CNIL a également adopté une injonction sous astreinte afin que la société MICROSOFT IRELAND OPERATIONS LIMITED recueille sur le site web « bing.com », dans un délai de trois mois, le consentement des personnes résidant en France, avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.
A. Sur la compétence de la CNIL
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France.
Elle est également territorialement compétente car le recours aux cookies est effectué dans le « cadre des activités » de la société MICROSOFT FRANCE qui constitue « l’établissement » sur le territoire français du groupe MICROSOFT.
En conséquence, le droit français est applicable et la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive « ePrivacy ».
Par ailleurs, il convient de souligner que la société MICROSOFT IRELAND OPERATIONS LIMITED détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Bing, et agit donc en qualité de responsable du traitement en cause.
B. Sur les manquements au RGPD
La formation restreinte de la CNIL a relevé des manquements à l’article 82 de la loi Informatique et Libertés, transposant l’article 5 paragraphe 3 de la directive « ePrivacy » :
En conclusion, ce sont ces manquements qui ont poussé la formation restreinte de la CNIL à prononcer la présente sanction à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED.
[1] Délibération de la formation restreinte n°SAN-2022-023 du 19 décembre 2022 concernant la société MICROSOFT IRELAND OPERATIONS LIMITED