Dans une délibération n° SAN 2002-023 du 19 décembre 2022, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende administrative d’un montant de 60 millions d’euros ainsi qu’une injonction de recueillir valablement le consentement des utilisateurs du moteur de recherche « bing.com », assortie d’une astreinte de 60 000 euros par opération de retard et d’une publicité de la condamnation, à l’encontre de la société Microsoft Ireland Operations Limited. Elle lui reproche d’avoir violé les règles en matière d’inscription de cookies dans le terminal des utilisateurs de son moteur de recherche.

Gestion d'entreprise

Découvrir tous les contenus liés

Pour rappel, la directive ePrivacy et l’article 82 de la loi Informatique et libertés prévoient un régime différencié en matière de dépôt de cookies (Dir. 2002/58/CE du Parlement européen et du Conseil, 12 juill. 2002 : JOUE n° L 201, 31 juill. ; L. n° 78-17, 6 janv. 1978). Il en ressort que, si le cookie est fonctionnel, c’est-à-dire s’il a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou s’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, l’obligation d’information n’est pas due et le recueil du consentement n’est pas requis. A contrario, l’information et l’obtention du consentement sont obligatoires pour déposer des cookies non fonctionnels, c’est-à-dire des cookies ne poursuivant pas une finalité essentielle.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

La première question à se poser est donc celle de la nature des cookies déposés par Microsoft, de façon à déterminer les règles à mettre en œuvre.

La détermination de la nature des cookies déposés par Microsoft

Deux types de cookies ont attiré l’attention des agents de la CNIL.

Le premier est un cookie multi-finalités, « utilisé pour assurer la sécurité du service, pour mesurer l’utilisation du site web et pour la présentation de publicités » (point 45). Cette nature pouvait laisser douter du régime applicable. Depuis les lignes directrices de la CNIL du 17 septembre 2020 néanmoins, la réponse ne faisait en réalité guère de doute. Depuis cette date, la CNIL considère en effet que, dès lors que l’une des finalités ne peut être considérée comme essentielle, le consentement préalable doit être obtenu pour cette finalité en particulier. Sans cela, il faut convenir avec la CNIL que le dépôt d’un cookie multi-finalités « reviendrait à détourner les dispositions de la loi Informatique et Libertés puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies » (point 50).

La formation restreinte de la Commission était donc appelée à déterminer si les finalités poursuivies par le dépôt du cookie multi-finalités par Microsoft étaient essentielles ou non. Elle relève que l’une des finalités consiste à lutter contre la fraude publicitaire. Pour la CNIL, cette finalité concerne la diffusion publicitaire, au bénéfice de Microsoft et de ses clients annonceurs, « mais n’impacte pas la fourniture du service du moteur de recherche aux utilisateurs » (point 52). D’ailleurs, le service demandé par ces derniers n’a jamais été la fourniture de contenus publicitaires. Le dépôt du cookie ne peut donc être considéré comme nécessaire à la fourniture de ce service. Il ne peut pas, non plus, prétendre faciliter une communication électronique. La Commission en conclut logiquement que la finalité poursuivie n’est pas essentielle et que le consentement des utilisateurs du moteur de recherche aurait dû être obtenu avant l’inscription du cookie sur leur terminal.

Le second cookie déposé par Microsoft et étudié par la CNIL avait une finalité publicitaire. Le consentement préalable était donc nécessaire. Or, l’autorité observe que le cookie est « déposé sur le terminal de l’utilisateur après la poursuite de la navigation, sans que le consentement de l’utilisateur ait été recueilli » (point 56). Microsoft a donc ici encore violé l’article 82 de la loi du 6 janvier 1978 transposant la directive ePrivacy. La société aurait dû obtenir le consentement des personnes concernées.

La nécessité d’obtenir un consentement valable

Conformément aux dispositions du RGPD auxquelles renvoie la directive ePrivacy, le consentement à un traitement de données personnelles doit être libre, éclairé, univoque, spécifique et se manifester par un acte positif clair.

A partir de ces dispositions, la CNIL a dégagé la règle selon laquelle il doit être aussi facile de refuser les cookies que de les accepter. Or, en l’espèce, l’autorité de contrôle observe « le caractère peu explicite du bouton "Plus d’options" proposé dans le cadre de la première fenêtre, qui ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies ainsi que l’ambiguïté de l’utilisation de l’infinitif "Désactiver" dans le cadre de la deuxième fenêtre, pouvant amener l’utilisateur à penser que les cookies étaient par défaut autorisés » (point 71). Pour elle, il importe peu que les cookies n’aient pas été déposés dès lors que l’utilisateur a eu le sentiment qu’il ne pouvait pas les refuser et qu’il ne disposait pas de modalités de contrôle à cet égard ou encore qu’il pouvait être amené à se tromper lors de la désactivation de ces cookies (point 71). Le mécanisme de refus des cookies apparaît ainsi plus complexe que celui consistant à les accepter. Cela revient à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton "Accepter" alors même que les dernières études démontrent qu’une propension non négligeable des utilisateurs fait usage du bouton "Tout refuser" quand il est présent à côté du bouton "Tout accepter" (point 72).

Au regard de ces pratiques, c’est donc sans surprise que la société Microsoft est sanctionnée. Après les amendes prononcées à l’égard des sociétés telles que Google, Facebook ou le Figaro, le contrôle des modalités de dépôt des cookies par la CNIL s’inscrit dans la durée et on peut s’attendre à ce que d’autres délibérations aillent dans le même sens à l’avenir.