La CNIL[1] a sanctionné la société MICROSOFT[2], le 19 décembre 2022, pour n’avoir pas respecté la législation française relative à l’utilisation de cookies[3].

Utilisation de cookies publicitaires sans consentement

Lorsqu’un internaute visitait le site BING.COM, des cookies étaient déposés dans son navigateur, dont un cookie intitulé « MUID ». Ce cookie, déposé « avant toute action de la part de l’utilisateur », était un cookie « multi-finalités » utilisé pour « assurer la sécurité du service », pour « mesurer l’utilisation du site web », mais aussi pour la « présentation de publicités ». MICROSOFT a toutefois précisé que la finalité publicitaire du cookie était activée uniquement lorsque l’utilisateur donnait son consentement. Dans le cas contraire, le cookie était utilisé « pour la détection et le filtrage des fraudes publicitaires concernant les publicités non ciblées ».

La Commission française a rappelé à MICROSOFT que la législation française demandait aux éditeurs de sites Web d’obtenir le consentement des visiteurs avant de déposer des cookies, sauf si les cookies ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » ou s’ils sont « strictement nécessaires » à la fourniture du service. La CNIL a également rappelé que les lignes directrices qu’elle avait publiées indiquaient que « l’utilisation d’un même [cookie] pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées ». MICROSOFT devait donc obtenir le consentement des visiteurs avant d’utiliser un tel cookie.

De plus, la Commission fraçaise a estimé que la finalité de « lutte contre la fraude publicitaire », « au bénéfice de MICROSOFT et de ses clients annonceurs », « n’impactait pas la fourniture du service ». Cette finalité ne rentre donc pas dans les exemptions prévues par la loi.

Le cookie « MUID » n’était pas le seul cookie publicitaire a être déposé sans le consentement des visiteurs. Un autre cookie, nommé « ABDEF », était aussi utilisé lors de la visite du site BING.COM. MICROSOFT a toutefois retiré ce cookie trois mois après le contrôle de la Commission et a justifié son utilisation « en raison d’une simple inadvertance humaine ».

Modalités d’obtention du consentement non valide

La CNIL reproche également à MICROSOFT d’avoir donné la possibilité aux visiteurs d’accepter l’utilisation de cookies, mais pas de refuser, sur l’écran principal de la bannière de consentement. Pour refuser, l’utilisateur devait accéder à un autre écran en cliquant sur un bouton intitulé « plus d’options ».

La Commission a considéré d’une part, que ce bouton d’options était « peu explicite », car il « ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies », et d’autre part, que « le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton Accepter ». Le consentement obtenu par MICROSOFT, dans ces conditions, n’était, par conséquent, pas valide.

MICROSOFT sanctionné

Une amende de 60 millions d’euros a été prononcée contre la société MICROSOFT IRELAND OPERATIONS LIMITED, ce qui représente 0,03 % du chiffre d’affaires[4] du groupe MICROSOFT. Une astreinte de 60 000 € par jour a également été prononcée si l’éditeur ne se met pas en conformité après un délai de trois mois.

Lire :

Ma réaction à cette décision

Cette décision pourrait être vue comme une simple mauvaise utilisation de cookies sans intérêt. En réalité, elle est très intéressante et montre les stratagèmes utilisés par MICROSOFT pour tenter de ne pas appliquer la loi ainsi que sa volonté de ne pas se mettre en conformité.

Concrètement, la loi relative aux cookies est relativement simple. Seuls les cookies qui ont une finalité essentielle sont exonérés de consentement, par exemple un cookie utilisé pour assurer le fonctionnement d’un panier d’une boutique en ligne ou un cookie qui conserve le fait que l’utilisateur s’est connecté à son espace personnel. MICROSOFT s’est cependant compliqué la tâche et a utilisé un cookie « multi-finalités ». Pourquoi ? Selon MICROSOFT, « afin de réduire le nombre de lectures et écritures d’informations entre le terminal de l’utilisateur et BING.COM ». Cette justification n’est toutefois pas fondée techniquement. La réalité est qu’avec ce cookie multi-finalités, MICROSOFT espérait ne pas devoir demander le consentement des personnes.

La technique était la suivante : MICROSOFT dépose un cookie multi-finalité et l’utilise dans un premier temps uniquement pour des finalités essentielles. Puis, MICROSOFT utilise ce cookie pour d’autres finalités en justifiant un « intérêt légitime ». Cet « intérêt légitime » est l’une des raisons proposées, non pas par la loi française relative aux cookies, mais par le RGPD[5], pour permettre aux éditeurs de réaliser des traitements de données personnelles. MICROSOFT espérait ainsi faire appliquer le RGPD plutôt que la loi française avec l’avantage d’être jugé, non pas par la CNIL, mais par la Commission irlandaise (la DPC), connue pour être très clémente avec les GAFAM.

Heureusement, la CNIL ne s’est pas laissée berner et a estimé que ce tour de passe-passe « reviendrait à détourner les dispositions de la loi Informatique et Libertés puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies ».

Cette entourloupe, probablement issue de savants cerveaux chèrement payés, montre l’effort déployé par MICROSOFT pour essayer de contourner la loi. Ce type de pratiques devrait être lourdement sanctionné, ce qui n’est malheureusement pas le cas. La sanction de la CNIL est, comme toujours, une goutte d’eau. Pourtant, le nombre de personnes concernées est énorme. Le site BING.COM « comptabilisait près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française ». Aussi, la CNIL avait fait l’effort d’organiser, deux ans avant la sanction, en février 2021, une audition avec MICROSOFT pour le sensibiliser et l’inciter à ajouter un bouton permettant de refuser les cookies. Suite à cette réunion, « la société MICROSOFT était prévenue qu’une mise en conformité du moteur de recherche était attendue ». MICROSOFT ne fera pourtant rien avant mars 2022, date à laquelle la CNIL a démarré la procédure de sanction, et même à la date de la sanction, en décembre 2022, MICROSOFT ne s’est toujours pas mis complètement en conformité. Il aurait tort de le faire, car la CNIL lui a encore laissé un délai de trois mois. C’est trois mois de trop. Les périodes d’adaptation et de mises en conformité sont utiles uniquement si les entreprises jouent le jeu. Au contraire, elles sont inutiles pour les entreprises de mauvaise volonté comme MICROSOFT qui espère qu’une chose : repousser l’échéance le plus tard possible pour continuer d’engranger des milliards.

« La [CNIL] relève également que les comptes de Microsoft Corporation et de ses filiales qui sont publiquement disponibles démontrent que la publicité constitue l’un des modèles économiques majeurs du groupe Microsoft. Le rapport annuel 2021 du groupe mentionne ainsi que sa marge brute a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité. »

— CNIL, Délibération n° SAN-2022-023 du 19 décembre 2022 concernant la société MICROSOFT, §87

Dernière chose, il est intéressant de noter que j’avais déposé une plainte[6] à la CNIL, en janvier 2022, concernant MSN.COM, un autre site relativement populaire de MICROSOFT, car la bannière de consentement ne permettait pas de refuser facilement l’utilisation de cookies. MICROSOFT a modifié la bannière en cours de procédure, en septembre 2022, et la CNIL n’a retenu aucun manquement.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés.
  2. La sanction de la CNIL a été émise à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED, la filiale irlandaise de la société MICROSOFT INC, la maison mère basée aux États-Unis.
  3. L’article 82 de la loi Informatique et Libertés est le principal texte encadrant l’utilisation de cookies en France. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  4. La société MICROSOFT, maison de mère de la société MICROSOFT IRELAND OPERATIONS LIMITED, a déclaré un chiffre d’affaires de 168,088 milliards de dollars en 2021 ( source : Microsoft, Résultats annuels 2021).
  5. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  6. En janvier 2022, une plainte a été déposée à la CNIL concernant l’utilisation de cookies sur le site MSN.COM. Voir « Action concernant MICROSOFT suite à la difficulté de refuser les cookies sur le site MSN.COM ».