A la suite d’une plainte portant sur les conditions du dépôt de cookies sur bing.com, la CNIL frappe au portefeuille la société Microsoft Ireland Operations Limited, le responsable de traitement du moteur de recherche.
La formation restreinte du régulateur français pour la protection des données personnelles a prononcé le 19 décembre 2022 une amende de 60 millions d’euros à l’encontre de la plateforme de recherche de la filiale européenne du géant de l’informatique, pour n’avoir pas mis en place un mécanisme lisible et transparent d’acceptation ou de refus des cookies.
Après avoir procédé à des contrôles en septembre 2020 et mai 2021, la CNIL a constaté que le dépôt de cookies sur le terminal de l’utilisateur se faisant sans consentement préalable. Le régulateur a aussi constaté « l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter », comme le prévoit pourtant le règlement général sur la protection des données en ligne.
Trois mois pour redresser la barre
La sanction est salée, mais le montant de l’amende reste en deçà des précédentes sanctions records prononcées par la CNIL à l’encontre de Google et d’Amazon.
La CNIL justifie ce montant de 60 millions d’euros par « la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ».
En plus de l’amende administrative, le régulateur a fait savoir qu’il adoptait également une injonction sous astreinte afin que « la société recueille sur le site web bing.com, dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire ». Passé ce délai, la société devra payer une astreinte de 60 000 euros par jour de retard si elle ne s’y conforme pas.
Microsoft était passé jusqu’à présent sous le radar de la CNIL pour sa gestion des cookies, mais pas des services de régulation européens. Bruxelles avait lancé en mai 2021 une enquête sur la conformité au RGPD des services d’Azure et d’AWS.
Dans une autre enquête séparée, le Contrôleur européen de la protection des données (CEPD) avait lancé une investigation sur l’utilisation de Microsoft Office 365 par la Commission européenne, en relation avec l’arrêt Schrems II. Pour des motifs similaires, en France, le déploiement de la solution Microsoft Office 365 dans les écoles est sous le feu des critiques.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));