Cookies publicitaires : la CNIL sanctionne Microsoft à hauteur de 60 millions d'euros

Cookie Monster
Droit 4 min
Cookies publicitaires : la CNIL sanctionne Microsoft à hauteur de 60 millions d'euros

Microsoft Ireland operations Limited, la filiale européenne de Microsoft, est sanctionné à hauteur de 60 millions d'euros pour sa gestion des cookies. La CNIL lui reproche le dépôt d'un cookie pour de la publicité ciblée sans consentement sur bing.com ainsi qu'un problème d'équilibre entre les modalités d’acceptation et de refus.

Réunie en formation restreinte le 19 décembre dernier, la CNIL souhaite un joyeux Noël à Microsoft Irlande (ou plus exactement Microsoft Ireland operations Limited, Miol) en lui infligeant une amende de 60 millions d'euros. Elle s'appuie sur la loi « Informatique et Libertés » et notamment son article 82, décision détaillée dans une délibération publiée sur Légifrance.

Cette lourde amende fait suite à celles infligées par l'autorité administrative contre les trois autres multinationales du numérique – Amazon, Google et Facebook – qui avaient écopé respectivement de sanctions de 35 millions et 150 millions d’euros en décembre 2021, et de 60 millions d'euros en janvier 2022.

En ce qui concerne Microsoft, un internaute a saisi la CNIL le 21 février 2020 en dénonçant les pratiques de dépôt de cookies publicitaires sur le site de son moteur de recherche bing.com.

Or, comme le rappelle la CNIL depuis 2019, « les modalités de dépôt des cookies doivent être conformes aux dispositions de l’article 82 de la loi [informatique et libertés] ».

Cet article, transposition de la directive européenne « ePrivacy », oblige l'éditeur d'un site à informer l'internaute sur l'utilisation des cookies publicitaires et des « moyens dont il dispose pour s'y opposer ».

La CNIL accompagne cette amende d'une injonction pour Microsoft Irlande de recueillir le consentement des internautes à l'arrivée sur la page de son navigateur bing.com et « avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire ». Celle-ci est elle-même assortie d’une astreinte de soixante mille euros par jour de retard si Microsoft ne s'est pas mis en conformité d'ici à trois mois.

L'autorité a aussi décidé de rendre publique cette délibération, avec une anonymisation de l'entreprise citée au bout de deux ans.

« Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification » conclut la CNIL.

Les cookies MUID et ABDEF en cause

Dans sa délibération, la CNIL vise particulièrement deux cookies que déposait Microsoft lors de l'utilisation de son moteur de recherche. L'un, nommé « MUID », était déposé dès l'arrivée sur le site et l'autre, « ABDEF », l'était après navigation et sans le consentement de l'internaute.

Lorsque l'autorité française a demandé des explications sur l'utilisation de MUID, Microsoft Irlande lui a répondu qu'il s'agissait d' « un cookie multi-finalités utilisé pour assurer la sécurité du service, pour mesurer l’utilisation du site web et pour la présentation de publicités ». L'entreprise a précisé que les finalités publicitaires ne se déclenchaient que grâce à un mécanisme de recueil du consentement. Problème : MUID était aussi utilisé pour la détection et le filtrage des fraudes publicitaires concernant les publicités non ciblées et cette fois-ci sans aucun consentement préalable.

Pour le cookie ABDEF, la CNIL a constaté qu'il était utilisé à des fins publicitaires, ce que l'entreprise n'a pas contesté. Microsoft Irlande a plaidé la « simple inadvertance humaine » selon la délibération de la CNIL. L'entreprise irlandaise a par ailleurs souligné l'avoir soumis au recueil du consentement des utilisateurs depuis le 30 juillet 2021.

Justification du montant

Pour justifier le montant de 60 millions d'euros de l'amende, dans sa délibération, la CNIL s'appuie notamment sur le paragraphe 2 de l’article 83 du RGPD qui conditionne les amendes administratives et pointe notamment « la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées par ce dernier ».

La CNIL considère que Microsoft a privé les utilisateurs du moteur de recherche Bing résidant en France de la possibilité de choisir des modalités préservant la confidentialité de leurs données. L'autorité administrative estime que cette privation comme une « atteinte substantielle au droit au respect à la vie privée des personnes concernées ».

Elle s'appuie aussi sur le fait que le moteur de recherche Bing de Microsoft recevait « près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française ».

La CNIL vise aussi le fait « les revenus publicitaires facturés relatifs au domaine "bing.com" et réalisés en France, qui sont passés de […] en 2020 à […] en 2021, présentent une augmentation de 30 % ». Rappelons que l'infraction a été relevée pendant ces deux mêmes années. De même, l'autorité fait remarquer que la marge brute du groupe Microsoft Corporation a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité.

Enfin, l'autorité appuie sa décision en relevant « que ce n’est que le 29 mars 2022 que la société a choisi d’insérer un bouton "Tout refuser" ».

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !