Blog Données personnelles

Cookies : la CNIL prononce une sanction de 60 millions d’euros à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED

Dans une délibération en date du 19 décembre 2022 [1], la CNIL a prononcé une sanction d’un montant de 60 millions d’euros à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED, notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter.

I. Les faits et la procédure

La société MICROSOFT IRELAND OPERATIONS LIMITED, filiale de la société MICROSOFT CORPORATION, exploite et développe le moteur de recherche Bing dans l’Espace économique européen.

À la suite d’une saisine enregistrée le 21 février 2020 dans laquelle le plaignant dénonçait les conditions de recueil de son consentement au dépôt de traceurs (« cookies ») à partir du domaine « bing.com », la CNIL a procédé à un contrôle en ligne sur le site web « bing.com », le 29 septembre 2020.

Le 11 mai 2021, un deuxième contrôle en ligne a été effectué par la CNIL.

Lors de ces contrôles, la CNIL a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part alors qu’ils poursuivaient, notamment, un objectif publicitaire. Elle a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter.

En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED d’une amende de 60 millions d’euros, rendue publique.

En complément de l’amende administrative, la CNIL a également adopté une injonction sous astreinte afin que la société MICROSOFT IRELAND OPERATIONS LIMITED recueille sur le site web « bing.com », dans un délai de trois mois, le consentement des personnes résidant en France, avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.

II. Les motifs de la décision

A. Sur la compétence de la CNIL

La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France.

Elle est également territorialement compétente car le recours aux cookies est effectué dans le « cadre des activités » de la société MICROSOFT FRANCE qui constitue « l’établissement » sur le territoire français du groupe MICROSOFT.

En conséquence, le droit français est applicable et la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive « ePrivacy ».

Par ailleurs, il convient de souligner que la société MICROSOFT IRELAND OPERATIONS LIMITED détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Bing, et agit donc en qualité de responsable du traitement en cause.

B. Sur les manquements au RGPD

La formation restreinte de la CNIL a relevé des manquements à l’article 82 de la loi Informatique et Libertés, transposant l’article 5 paragraphe 3 de la directive « ePrivacy » :

  • le dépôt et la lecture de cookies sans recueil préalable du consentement de l’utilisateur. En effet, lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un cookie poursuivant plusieurs finalités, dont des finalités de lutte contre la fraude publicitaire, était automatiquement déposé sur son terminal sans action de sa part. Par ailleurs, lorsqu’il poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une finalité publicitaire était déposé sur son terminal, toujours sans que son consentement n’ait été recueilli. Or, ce type de cookies ne peut être déposé qu’après consentement de l’utilisateur.
  • l’absence d’un moyen conforme de recueil du consentement au dépôt des cookies. En droit, la directive « ePrivacy » prévoit en son article 2, f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD. Ainsi, depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.
    Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter.
    Le fait de rendre le mécanisme de refus plus complexe revenait, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton de consentement figurant dans la première fenêtre. Selon la CNIL, un procédé comme celui-ci porte vivement atteinte à la liberté de consentement des internautes, ceux-ci ne bénéficiant pas d’une « véritable liberté de choix ».
    Ce manquement aux conditions de recueil de consentement a perduré jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022.

En conclusion, ce sont ces manquements qui ont poussé la formation restreinte de la CNIL à prononcer la présente sanction à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED.


[1Délibération de la formation restreinte n°SAN-2022-023 du 19 décembre 2022 concernant la société MICROSOFT IRELAND OPERATIONS LIMITED