Data Privacy Professionals

La CNIL sanctionne la société Microsoft à hauteur de 60 millions d’euros

Logo de Miscrosoft

La société Microsoft Ireland Operations Limited a été, le lundi 19 décembre 2022, condamnée par la CNIL à payer une amende s’élevant à 60 millions d’euros. La « formation restreinte », organisme en charge de prononcer les sanctions, a considéré, sur la base des constatations effectuées, que l’entreprise avait manqué à plusieurs obligations de l’article 82 de la loi Informatique et Libertés relatives au consentement du dépôt de cookies.

L’amende, la plus lourde prononcée par la commission nationale de l’informatique et des libertés au cours de l’année 2022 est justifiée par « la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ».

Aucun moyen conforme pour recueillir le consentement des utilisateurs

Nous sommes en septembre 2020 lorsque la CNIL, après avoir reçu une plainte concernant les conditions du dépôt de cookies sur le moteur de recherche « Bing.com », effectue ses premiers contrôles. Ils seront suivis d’autres inspections en mai 2021, mettant en lumière des manquements à la loi Informatique et libertés.

Tout d’abord, il était proposé, sur le moteur de recherche « bing », un bouton permettant d’accepter, de manière immédiate, l’ensemble des cookies proposés. Cependant, aucune solution équivalente n’était proposée à l’internaute pour lui permettre de refuser les cookies aussi aisément. L’utilisateur était ainsi dans l’obligation de procéder à deux clics pour désactiver l’ensemble des cookies alors qu’il lui en nécessitait un seul pour tous les accepter.

Bien que cela puisse parait anodin, la « formation restreinte » a considéré que le processus portait atteinte à la liberté du consentement des internautes, violant ainsi la loi. En effet, la difficulté rencontrée par ces derniers lors du mécanisme de refus des cookies étant plus complexe, ils étaient incités à choisir la facilité du bouton de consentement.

Il est important de notifier que la société américaine a mis en place, le 29 mars 2022, un bouton « Tout refuser », conforme aux demandes de la CNIL.

Un dépôt automatique de cookies sans consentement de l’utilisateur

Ensuite, Il s’avère que « Bing », alors qu’il ne possédait aucun moyen conforme de recueil du consentement, plaçait, de manière automatique, deux cookies dont l’un à but publicitaire sur le terminal de l’internaute, sans qu’aucune action soit nécessaire de sa part. Une action illégale puisque la loi stipule que ce type de cookie ne doit être déposé qu’après le consentement de l’utilisateur.

Le premier, poursuivant notamment des finalités de lutte contre la fraude publicitaire, était déposé dès l’arrivée de l’utilisateur. Le second, quant à lui, poursuivait une finalité à but publicitaire et était déposé lorsque l’internaute poursuivait sa navigation.

La « formation restreinte a joint à l’amende administrative, une injonction sous astreinte afin que la société recueille dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer des cookies publicitaires sur leur terminal. Ce délai dépassé, Microsoft s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.

D’autres entreprises condamnées

Matériellement compétente pour contrôler et sanctionner des opérations liées aux cookies déposé par une société sur des terminaux d’internautes situés en France, la CNIL avait déjà sanctionné les géants Google, Amazon et Facebook.

Chargé de veiller à la conformité de l’organisme au regard de la réglementation nationale applicable en matière de protection des données personnelles, le DPO est une fonction essentielle lorsque l’on traite des données à caractère personnel.

Source : La CNIL

Pour en apprendre plus :

Exit mobile version