Microsoft Ireland operations Limited, la filiale européenne de Microsoft, est sanctionné à hauteur de 60 millions d'euros pour sa gestion des cookies. La CNIL lui reproche le dépôt d'un cookie pour de la publicité ciblée sans consentement sur bing.com ainsi qu'un problème d'équilibre entre les modalités d’acceptation et de refus.
Réunie en formation restreinte le 19 décembre dernier, la CNIL souhaite un joyeux Noël à Microsoft Irlande (ou plus exactement Microsoft Ireland operations Limited, Miol) en lui infligeant une amende de 60 millions d'euros. Elle s'appuie sur la loi « Informatique et Libertés » et notamment son article 82, décision détaillée dans une délibération publiée sur Légifrance.
Cette lourde amende fait suite à celles infligées par l'autorité administrative contre les trois autres multinationales du numérique – Amazon, Google et Facebook – qui avaient écopé respectivement de sanctions de 35 millions et 150 millions d’euros en décembre 2021, et de 60 millions d'euros en janvier 2022.
En ce qui concerne Microsoft, un internaute a saisi la CNIL le 21 février 2020 en dénonçant les pratiques de dépôt de cookies publicitaires sur le site de son moteur de recherche bing.com.
Or, comme le rappelle la CNIL depuis 2019, « les modalités de dépôt des cookies doivent être conformes aux dispositions de l’article 82 de la loi [informatique et libertés] ».
Cet article, transposition de la directive européenne « ePrivacy », oblige l'éditeur d'un site à informer l'internaute sur l'utilisation des cookies publicitaires et des « moyens dont il dispose pour s'y opposer ».
La CNIL accompagne cette amende d'une injonction pour Microsoft Irlande de recueillir le consentement des internautes à l'arrivée sur la page de son navigateur bing.com et « avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire ». Celle-ci est elle-même assortie d’une astreinte de soixante mille euros par jour de retard si Microsoft ne s'est pas mis en conformité d'ici à trois mois.
L'autorité a aussi décidé de rendre publique cette délibération, avec une anonymisation de l'entreprise citée au bout de deux ans.
« Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification » conclut la CNIL.
Les cookies MUID et ABDEF en cause
Dans sa délibération, la CNIL vise particulièrement deux cookies que déposait Microsoft lors de l'utilisation de son moteur de recherche. L'un, nommé « MUID », était déposé dès l'arrivée sur le site et l'autre, « ABDEF », l'était après navigation et sans le consentement de l'internaute.
Lorsque l'autorité française a demandé des explications sur l'utilisation de MUID, Microsoft Irlande lui a répondu qu'il s'agissait d' « un cookie multi-finalités utilisé pour assurer la sécurité du service, pour mesurer l’utilisation du site web et pour la présentation de publicités ». L'entreprise a précisé que les finalités publicitaires ne se déclenchaient que grâce à un mécanisme de recueil du consentement. Problème : MUID était aussi utilisé pour la détection et le filtrage des fraudes publicitaires concernant les publicités non ciblées et cette fois-ci sans aucun consentement préalable.
Pour le cookie ABDEF, la CNIL a constaté qu'il était utilisé à des fins publicitaires, ce que l'entreprise n'a pas contesté. Microsoft Irlande a plaidé la « simple inadvertance humaine » selon la délibération de la CNIL. L'entreprise irlandaise a par ailleurs souligné l'avoir soumis au recueil du consentement des utilisateurs depuis le 30 juillet 2021.
Justification du montant
Pour justifier le montant de 60 millions d'euros de l'amende, dans sa délibération, la CNIL s'appuie notamment sur le paragraphe 2 de l’article 83 du RGPD qui conditionne les amendes administratives et pointe notamment « la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées par ce dernier ».
La CNIL considère que Microsoft a privé les utilisateurs du moteur de recherche Bing résidant en France de la possibilité de choisir des modalités préservant la confidentialité de leurs données. L'autorité administrative estime que cette privation comme une « atteinte substantielle au droit au respect à la vie privée des personnes concernées ».
Elle s'appuie aussi sur le fait que le moteur de recherche Bing de Microsoft recevait « près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française ».
La CNIL vise aussi le fait « les revenus publicitaires facturés relatifs au domaine "bing.com" et réalisés en France, qui sont passés de […] en 2020 à […] en 2021, présentent une augmentation de 30 % ». Rappelons que l'infraction a été relevée pendant ces deux mêmes années. De même, l'autorité fait remarquer que la marge brute du groupe Microsoft Corporation a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité.
Enfin, l'autorité appuie sa décision en relevant « que ce n’est que le 29 mars 2022 que la société a choisi d’insérer un bouton "Tout refuser" ».
Commentaires (18)
#1
Après Google et FaceBook, c’était normal que Microsoft soit épinglé : Pas de jaloux !
#2
Manquent Amazon et Apple (et la CNIL aura épinglé tous les GAFAM).
#3
D’autant que sous Windows, Bing est utilisé comme moteur de recherche par défaut lorsque tu recherche via le menu “démarrer” (je ne sais pas comment on l’appelle aujourd’hui)
#4
Par contre, vu que Microsoft nous arrose de Bing dés le démarrage de Windows (le fond d’écran d’invite de connexion vient de Bing après tout), est-ce que ça s’applique aussi à ça ?
#5
Même si la sanction de Microsoft est une bonne chose, je suis chiffonné par le fait que ce soit essentiellement des sites étrangers -américains en fait- qui sont visés par les sanctions, alors qu’il n’y a pas autant d’emballement quand ce sont des sites français qui font la même chose.
#6
Oui, mais les sites américains peuvent payer de plus grosses amendes (ce qui plait bien aux médias) !
Normal car ils ont un plus gros chiffres d’affaires.
Et comme l’amende maximale est limité en pourcentage du chiffre d’affaires.
#7
C’est quoi la fraude publicitaire ? C’est quand on force l’utilisateur à matter des pubs ? :x
#7.1
Ce serait plutôt que l’internaute “fraude” pour ne pas voir les pubs.
D’ailleurs, qui les regarde de son plein gré?
#8
Dans ce contexte, on parle de la fraude du réseau publicitaire (Bing Ads) envers l’annonceur.
Il y a fraude publicitaire lorsque l’annonceur a payé pour une pub qui n’a pas été affichée par le réseau publicitaire. Le cookie est donc utilisé pour savoir si l’utilisateur a vu la pub ou s’il a utilisé un bloqueur.
#9
Dans la pratique 60 millions fait impressionnant pour une société normale.
Pour Microsoft je ne suis pas sur qu’il s’en rendent compte dans le bilan
#9.1
Je comprends votre point de vue, mais je ne suis pas d’accord avec votre assertion selon laquelle 60 millions ne ferait pas une différence pour une société comme Microsoft.
Même pour une entreprise de cette taille, 60 millions représentent une somme importante, et je suis persuadé que Microsoft tient compte de chaque dollar de son bilan. De plus, il est important de se rappeler que les entreprises, quelle que soit leur taille, doivent être responsables de leurs finances et de leur gestion de l’argent.
#10
J’aime bien « simple inadvertance humaine »
Je vais en abuser … à l’insue de votre plein gré …
#11
Est-ce que cet article sera lui aussi anonymisé au bout de 2 ans, commentaires y compris ?
Si non, pourquoi ?
#11.1
Tu n’auras pas de réponse sur le sujet, je l’ai demandé deux fois.
#11.2
En ce jour de Noël, je vas être bienveillant et penser que j’aurai une réponse en début de semaine prochaine, quand une partie de l’équipe sera de retour, voire au plus tard le 6 janvier, date de mon anniversaire et celui de la création de la CNIL.
#11.3
Je crois que l’anonymisation ne s’impose qu’à la CNIL. Pour les journaux, il y a le droit d’informer le public.
De mémoire, il y a eu des affaires où des personnes demandaient un droit à l’oubli à Google et à des journaux pour vieilles histoires jugées avec condamnation. La justice a dit que Google ne devait faire apparaitre cette affaire dans ses premiers résultats, mais que les journaux avait le droit de garder l’information sur leur site web. Sous réserve qu’il n’y ait pas eu de jugement cassé en appel (ou similaire).
#11.4
Ce que je demande est la position de la rédaction de NXI, pas la loi.
Et un “appel” devant le Conseil d’État qui jugerait différemment n’empêcherait en aucun cas de laisser un article relatant la première décision su un site de presse.
#12
60 millions d’euros,
la vente des données des cookies a du rapporter bien plus