Le 19 décembre 2022, Microsoft Ireland Operations Limited est sanctionné par la CNIL par une amende de 60 millions d’euros et une injonction sous astreinte pour des manquements à la Loi Informatique et Liberté en ce qui concerne les cookies publicitaires.
Quelles sont les mesures adoptées par la CNIL préalablement à cette sanction ? Et quels sont les manquements de la société vis-à-vis des obligations en matière de cookies ?
Les faits et les mesures adoptées par la CNIL avant la délibération du 19 décembre 2022
La société Microsoft Ireland Operations Limited, le responsable de traitement en cause et filiale de la société multinationale Microsoft Corporation, est une société dont l’activité principale est localisée en Europe et en Asie Pacifique et qui concerne le domaine de marketing de produits Microsoft et la vente de logiciels. Cette société gère et développe le site “bing.com” qui est un site “accessible depuis la France” et qui compte “10 801 000 utilisateurs uniques résidant en France en septembre 2020”, selon la délibération de la formation restreinte de la CNIL.
Suite à une plainte, la CNIL a effectué plusieurs contrôles en ligne sur le site “bing.com” entre 2020 et 2021. Et après plusieurs réponses envoyées par Microsoft France, la CNIL a constaté la présence de cookies publicitaires sur le site de Microsoft.
La compétence de la CNIL
En application de la loi Informatique et Libertés, la CNIL a été considérée comme compétente pour prononcer la sanction par le biais de sa formation restreinte, en ce qui concerne “les traitements mis en œuvre par la société relevant du champ d’application de la directive » ePrivacy « .”
Et dès lors que le traitement des données se fait chez des utilisateurs résidant en France, et que ce traitement se fait par la société Microsoft France et dans le cadre de ses activités, cette société étant l’établissement de la société Microsoft Ireland Operations Limited en France, la CNIL a été considérée territorialement compétente et le droit français a été appliqué.
Les manquements de la société des obligations en matière de cookies
Plusieurs manquements de la société de ses obligations en matière de cookies ont été conclu par la CNIL :
- Dépôt de cookies sans demande de consentement de l’utilisateur :
Des cookies publicitaires sont automatiquement déposés sur le site “bing.com” sans que l’utilisateur puisse exprimer son consentement par l’acceptation ou le refus, ce qui constitue une violation de l’article 82 de la loi Informatique et Libertés.
- Modalités compliquées de recueil du consentement
De même, il est plus compliqué pour les utilisateurs de refuser les cookies que de les accepter. C’est ainsi que sur le site “bing.com”, l’utilisateur peut trouver un bouton d’acceptation immédiate des cookies publicitaires mais pas le bouton “tout refuser”, ce qui constitue, selon la formation restreinte, un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés.
Les sanctions infligées à Microsoft Ireland Opérations Limited
Suite à ces manquements, la formation restreinte de la CNIL a pris la décision d’infliger une amende administrative de 60 millions d’euros à l’encontre de Microsoft Ireland Operations Limited, ainsi qu’une injonction sous astreinte “de recueillir le consentement des utilisateurs lors de leur arrivée sur le site web » bing.com » avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire” sous peine d’une astreinte de soixante mille euros par jour de retard “à l’issue d’un délai de trois mois suivant la notification de la présente délibération”.
Suite à cette décision, Microsoft Ireland Operations Limited peut, dans un délai de quatre mois à compter de sa notification, faire un recours contre cette décision auprès du Conseil d’Etat.
Sources
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046768989