Microsoft condamné en France pour défaut de procédure simple de refus global des cookies

Absence de mécanisme dans Bing permettant de refuser tous les cookies aussi facilement que de les accepter. C’est le motif pour lequel la CNIL vient d’infliger une amende de 60 M€ à la filiale irlandaise de Microsoft chargée du marketing et et de la vente de logiciels pour la région Europe.

Microsoft connaissait parfaitement les règles en Europe, et pourtant. Le 19 décembre, la Cnil a sanctionné d’une amende de 60 M€ sa filiale Ireland Operations Limited (MIOL) basée à Dublin et dont l’activité principale est le marketing et la vente de logiciels pour la région Europe et Asie-Pacifique. La raison ? L’absence de mise en place d’un mécanisme pour refuser l’ensemble des cookies aussi simple que celui destiné à les accepter. Cette filiale de Microsoft installée à Dublin exploite et développe le moteur de recherche Bing dans les 30 états de l’Espace économique européen. Le domaine « bing.com » accessible depuis la France comptait 10 801 000 utilisateurs uniques dans le pays en septembre 2020.

La Cnil est compétente sur deux aspects dans ce type d’affaire. Pour  commencer, elle contrôle et éventuellement sanctionne les opérations liées aux cookies déposés par une société sur les terminaux des internautes situés en France. Dans le cas de MIOL, les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée dans l’article 82 de la loi Informatique et Libertés. L’Autorité est également territorialement compétente puisque le recours aux cookies est effectué dans le « cadre des activités » de la société Microsoft France qui constitue « l’établissement » sur le territoire français du groupe Microsoft.

Absence de consentement

À la suite d’une plainte portant sur les conditions du dépôt de cookies sur « bing.com », la Cnil a effectué plusieurs contrôles sur ledit site web en septembre 2020 et mai 2021. Elle a constaté que lorsqu’un utilisateur se rendait sur ce site, plusieurs cookies étaient déposés sur son terminal sans son consentement au démarrage de sa recherche et lorsqu’il poursuivait sa navigation dans le moteur. Or, la loi impose l’obtention préalable du consentement de l’internaute.

La Cnil a également constaté l’absence d’un bouton permettant de refuser tout dépôt de cookies. « Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter » précise la Cnil. Le fait de rendre ce mécanisme de refus plus complexe est une manière déguisée de décourager l’internaute de refuser ces trackers et de le conduire vers la facilité, à savoir les accepter. L’organe de la Cnil chargé des sanctions a ainsi conclu que les conditions de recueil de consentement proposées jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi.

3 mois pour résoudre le problème

Le montant de l’amende de 60 millions d’euros se justifie « par la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ». Microsoft France a réalisé un chiffre d’affaires 2020 de 2,2 milliards d’euros, pour un résultat net de 77,9 millions d’euros et, en 2021, de 2,6 milliards d’euros pour un résultat net de 92,4 millions d’euros. Les résultats de l’entreprise MIOL n’ont, pour leur part, pas été dévoilés. En complément de l’amende administrative, la Cnil a également ordonné une injonction sous astreinte afin que Microsoft recueille sur « bing.com », d’ici trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard. Dans sa délibération, la Cnil ajoute que « le montant de l’astreinte doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement ».

Microsoft considère que « l’amende administrative proposée est disproportionnée par rapport aux manquements allégués et à sa conduite, à la position fragile de « bing.com » sur le marché des moteurs de recherche dominé par un seul acteur, au rôle essentiel que « bing.com » joue en offrant une alternative aux utilisateurs français et à la faible proportion par laquelle le moteur de recherche contribue à ses résultats financiers ». La Cnil a toutefois rappelé que, selon Microsoft, Bing comptabilisait près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française. Le nombre de personnes concernées par les traitements en cause est ainsi conséquent à l’échelle de la population française. De plus, ce moteur de recherche est considéré comme le concurrent numéro un de Google Chrome, bien qu’il ne représente que 5 % des parts de marché en nombre moyen mensuel de requêtes.

Célia Seramour

Article original sur le site de notre publication sœur Le Monde Informatique