Après Google, Facebook et Amazon, la Cnil a annoncé jeudi une sanction de 60 millions d’euros contre le géant américain de l’informatique Microsoft pour n’avoir pas permis de refuser simplement les cookies sur son moteur de recherche Bing.
C’est la plus importante amende prononcée en 2022 par l’autorité, qui avait indiqué l’an passé lancer une campagne de contrôles contre les sites ne respectant pas les règles sur ces mouchards du web. Cette sanction est également l’une des dernières de ce cycle et la Cnil a déjà annoncé se tourner vers les irrégularités au sein des applications mobiles.
Microsoft est d’abord sanctionné car les utilisateurs français de Bing ne pouvaient pas, jusqu’au 29 mars dernier, refuser tous les cookies sans passer par un fastidieux paramétrage. Ces cookies sont des petits fichiers informatiques installés par les sites internet sur les terminaux de leurs visiteurs, à des fins techniques ou de publicité ciblée.
Ils permettent notamment aux régies de tracer la navigation de l’utilisateur, pour pouvoir lui envoyer de la publicité personnalisée en lien avec ses centres d’intérêt. Ils sont régulièrement dénoncés pour les atteintes à la vie privée qu’ils peuvent causer.
Deux cookies installés sans consentement
« La formation restreinte a relevé que rendre le mécanisme de refus plus complexe revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton de consentement figurant dans la première fenêtre », écrit la Cnil dans un communiqué.
La commission a également repéré l’installation de deux cookies sans le consentement préalable des internautes, alors qu’ils servaient des finalités publicitaires, dont la « lutte contre la fraude publicitaire », c’est-à-dire la consultation des annonces par des robots.
Sur ce point, la formation restreinte de la commission a enjoint à Microsoft de modifier ses pratiques sur le site « bing.com » dans un délai de trois mois, sous peine de devoir payer 60 000 euros par jour de retard.
« Jusqu’à 2% du chiffre d’affaires mondial »
« Avant même le début de cette enquête, nous avons pleinement coopéré avec la Cnil et introduit des changements clés dans nos pratiques en matière de cookies », a réagi un porte-parole de Microsoft auprès de l’AFP.
« Nous sommes néanmoins préoccupés par la position de la Cnil sur la fraude publicitaire et estimons que celle-ci va nuire au grand public comme aux entreprises françaises en contribuant à la généralisation de la fraude en ligne », a-t-il ajouté. Pour ces manquements liés à la directive européenne ePrivacy transposée en droit français dans la loi Informatique et Libertés, la Cnil pouvait prononcer une amende d’un montant allant jusqu’à 2% du chiffre d’affaires mondial.
Dans son communiqué, la Cnil a justifié le montant de l’amende « par la portée du traitement (de données), par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies », bien moindres que ceux de Google et Facebook.
Google et Amazon déjà sanctionnés
Le géant de la recherche en ligne et le réseau social avaient été sanctionnés fin décembre 2021 par la Cnil d’amendes de respectivement 150 et 60 millions d’euros pour des manquements similaires, et avaient été contraints de se mettre en conformité dans les trois mois.
Google avait annoncé des modifications en ce sens en avril et la Cnil avait annoncé en juillet clore l’injonction prononcée envers Facebook, après que l’entreprise a mis en place un bouton pour accepter « uniquement les cookies essentiels ».
Google et Amazon avaient également été sanctionnés fin 2020 par des amendes de 100 et 35 millions d’euros pour défaut d’information préalable au dépôt des cookies.