En décembre 2022, le gendarme de l’informatique a sévi à l’encontre d’une entité du groupe Microsoft. Microsoft Ireland Operations Limited écope d’une sanction de 60 millions d’euros pour ses manquements à la réglementation des cookies. C’est la plus lourde amende prononcée en 2022 par la Cnil.
La Cnil sanctionne Microsoft à hauteur de 60 millions d’euros
Soixante millions d’euros. C’est le montant de la somme que la Cnil réclame à la société Microsoft Ireland Operations Limited, soit la plus lourde sanction prononcée par l’autorité en 2022. La société a trois mois pour se mettre en conformité, sous peine d’une astreinte de 60 000 euros par jour de retard. À l’origine de la décision : une saisine du 21 février 2020 dénonçant les conditions de recueil du consentement du plaignant au dépôt de “cookies” à partir du domaine “bing.com“.
La loi Informatique et Libertés du 6 janvier 1978 impose l’obtention du consentement de l’utilisateur au dépôt des cookies. Il n’en allait pas ainsi sur le site en question, qui recueillait ces cookies dès son arrivée sur le site et sans consentement. Microsoft faisait valoir que l’un des cookies en question, “MUID”, présentait de multiples finalités, autres que la publicité – lutte contre la fraude, détection des logiciels malveillants et lutte contre la désinformation – et qu’il était essentiel aux fonctionnalités de Bing.com, ce qui justifiait l’absence de consentement. Le raisonnement a été écarté par la Cnil : “Le dépôt et la lecture d’un cookie multifinalité tel que le cookie "MUID" sur le terminal de l’utilisateur, à tout le moins pour la finalité de lutte contre la fraude publicitaire telle que définie aux paragraphes 52 et 53, nécessitent que l’utilisateur donne son consentement préalable, dans les conditions prévues par l’article 82 de la loi Informatique et Libertés.” Un autre cookie "ABDEF", aux fins publicitaires, posait question en matière de consentement. Cette fois, la société invoque “la simple inadvertance humaine” et un "droit à l’erreur", et indique avoir “elle-même indiqué son erreur à la Cnil en déclarant en toute transparence”. À nouveau, la Cnil n’a pas suivi.
“Atteinte à la liberté du consentement des internautes”
L’autorité reproche également à Microsoft de ne pas permettre aux utilisateurs de refuser facilement les cookies. Ses contrôles ont démontré que le “site web Bing.com contenait un bouton permettant d’accepter immédiatement les cookies“ mais “qu’aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser, facilement et en un seul clic, le dépôt de ces cookies“. Selon sa formation restreinte, la complexité du mécanisme de refus du site constituait une “atteinte à la liberté du consentement des internautes”.
Crainte sur la fraude publicitaire
“La portée du traitement (de données), (…) le nombre de personnes concernées et (…) les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies" justifient, selon la Commission, le montant de la sanction. Et pour cause, dans sa délibération, on peut lire que le moteur de recherche Bing ”comptabilisait près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020“.
Microsoft s’est mis à la page et a intégré une option demandant à l’utilisateur d’accepter les cookies publicitaires. Son porte-parole a indiqué à l’AFP qu’"avant même le début de cette enquête, Microsoft a pleinement coopéré avec la Cnil et introduit des changements clés dans ses pratiques en matière de cookies". Cependant, au sujet du cookie “MUID”, il rapporte les préoccupations de la société relatives à "la position de la Cnil sur la fraude publicitaire” et sa crainte qu’elle nuise au “grand public comme aux entreprises françaises en contribuant à la généralisation de la fraude en ligne".
Anne-Laure Blouin
Lire aussi Cookies : le Conseil d’État valide les 35 millions infligés par la Cnil à Amazon