Microsoft connaissait parfaitement les règles en Europe, et pourtant. Ce 19 décembre, la CNIL a sanctionné sa filiale Ireland Operations Limited (MIOL) basée à Dublin et dont l’activité principale est le marketing et la vente de logiciels pour la région Europe et Asie-Pacifique. La raison ? L’absence de mise en place de mécanisme permettant de refuser les cookies aussi facilement que de les accepter. Pour rappel, la société MIOL exploite et développe le moteur de recherche Bing dans l’Espace économique européen. Le domaine « bing.com » accessible depuis la France comptait 10 801 000 utilisateurs uniques résidant en France en septembre 2020. Le résultat ? Une note salée pour la firme : 60 millions d’euros.

Point important, la Cnil est compétente sur deux aspects : matériellement, pour contrôler et sanctionner les opérations liées aux cookies déposés par la société sur les terminaux des internautes situés en France. Ici, les opérations liées à l’utilisation des cookies relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés. Elle est également territorialement compétente puisque le recours aux cookies est effectué dans le « cadre des activités » de la société Microsoft France qui constitue « l’établissement » sur le territoire français du groupe Microsoft.

Des plaintes qui remontent à 2020

À la suite d’une plainte portant sur les conditions du dépôt de cookies sur « bing.com », l’autorité administrative indépendante a effectué plusieurs contrôles sur ledit site web en septembre 2020 et mai 2021. Elle a constaté que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part. Par ailleurs, lorsqu’il poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une finalité publicitaire était déposé sur son terminal, toujours sans que son consentement n’ait été recueilli. Or, la loi impose que ce type de cookies ne soit déposé qu’après consentement de l’utilisateur.

Elle a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies. « Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter » précise la Cnil. Le fait de rendre ce mécanisme de refus plus complexe est une manière déguisée de décourager tout utilisateur de refuser les cookies et se tourner vers la facilité, à savoir les accepter. L’organe de la Cnil chargé des sanctions a ainsi conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi.

La Cnil fait un exemple

En conséquence, la formation restreinte, organe de la Cnil chargé de prononcer les sanctions, a sanctionné la société Microsoft Ireland Operations Limited d’une amende de 60 millions d’euros, rendue publique. Le montant se justifie « par la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ». Rappelons que la société Microsoft France, filiale française de Microsoft et société sœur de la société MIOL, a réalisé en 2020 un chiffre d’affaires de 2,2 milliards d’euros, pour un résultat net de 77,9 millions d’euros et, en 2021, de 2,6 milliards d’euros pour un résultat net de 92,4 millions d’euros. Les résultats de l’entreprise MIOL n’ont, pour leur part, pas été dévoilés. En complément de l’amende administrative, la Cnil a également ordonné une injonction sous astreinte afin que la société recueille sur « bing.com », dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard. Dans sa délibération, la Cnil ajoute que « le montant de l’astreinte doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement ». 

Microsoft considère que « l’amende administrative proposée est disproportionnée par rapport aux manquements allégués et à sa conduite, à la position fragile de « bing.com » sur le marché des moteurs de recherche dominé par un seul acteur, au rôle essentiel que « bing.com » joue en offrant une alternative aux utilisateurs français et à la faible proportion par laquelle le moteur de recherche contribue à ses résultats financiers ». La Cnil a toutefois rappelé que, selon Microsoft, le moteur de recherche Bing comptabilisait près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française. Le nombre de personnes concernées par les traitements en cause est ainsi conséquent à l’échelle de la population française. De plus, le moteur de recherche Bing est considéré comme le premier concurrent de Google Chrome, bien qu’il ne représente que 5 % des parts de marché en nombre moyen mensuel de requêtes.