Accueil
Le quotidien du droit en ligne
-A+A
Article

CNIL et Microsoft : délibération du 11 mai 2023 clôturant l’injonction faite par la CNIL à Microsoft le 19 décembre 2022 en matière de cookies

Thématique prioritaire de contrôle de la CNIL en 2021, les cookies restent au centre de l’attention des services de la CNIL comme en témoignent notamment les délibérations relatives à Apple (CNIL 29 déc. 2022, délib. n° SAN-2022-025) et Microsoft (CNIL, 19 déc. 2022, délib. n° SAN-2022-023). Cette dernière intégrait, outre une forte amende administrative d’un montant de 60 millions d’euros, une injonction pour Microsoft de recueillir le consentement des utilisateurs lors de leur arrivée sur Bing avant tout dépôt de cookie. Cette injonction était assortie d’une astreinte de 60 000 euros par jour de retard à l’issue d’un délai de 3 mois à compter de la notification de la délibération. Finalement, par une délibération du 11 mai 2023 (CNIL, 11 mai 2023, délib. n° SAN-2023-007), la CNIL a considéré que les informations communiquées par Microsoft permettaient de satisfaire, dans le délai imparti, à son injonction et a donc clôturé sa procédure.

Genèse. – La délibération du 19 décembre 2022 concernant la société Microsoft Ireland Limited avait attiré l’attention en fin d’année dernière, notamment par son montant. Celui-ci s’élevait à 60 millions d’euros – soit l’amende la plus élevée de l’année 2022 pour la CNIL. La délibération du 11 mai 2023 ici commentée permet de revenir sur certains points importants de cette première délibération.

À la suite d’une plainte relative aux conditions de recueil du consentement au dépôt de cookies à partir de bing.com, les services de la CNIL avaient réalisé un contrôle en ligne en septembre 2020 sur bing.com. La Commission avait alors invité les sociétés Microsoft Corporation, Microsoft Ireland Operations Limited et Microsoft France à répondre à plusieurs questions portant notamment sur :

  • l’identification de l’entité déterminant les finalités et les modalités de mises en œuvre des traitements relatifs à la publicité ciblée sur bing.com ;
  • la finalité de chacun des cookies identifiés lors du contrôle en ligne.

La CNIL réalisa ensuite un deuxième contrôle en ligne afin de vérifier si des cookies étaient déposés sur l’équipement d’un utilisateur avant toute action de ce dernier. Elle décida d’ouvrir une procédure de sanction.

Dans le cadre de cette procédure, c’est le cookie « MUID » qui attira particulièrement l’attention des services de la CNIL. Celui-ci poursuivait alors plusieurs finalités :

  • assurer la sécurité du service ;
  • mesurer l’utilisation du site ;
  • présenter des publicités.

En décembre 2022, la CNIL prononça une amende de 60 millions d’euros pour manquement à l’article 82 de la loi informatique et libertés.

La CNIL enjoignit aussi à Microsoft de recueillir le consentement des utilisateurs lors de leur arrivée sur le site web bing.com avant toute opération de lecture et d’écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire. Elle assortit cette injonction d’une astreinte de 60 000 € par jour de retard à l’issue d’un délai de trois mois après la notification de la délibération.

Consentement et cookie multifinalités. – En application de l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite « loi Informatique et libertés », toute lecture et toute inscription d’informations sur l’équipement terminal d’un utilisateur tel qu’un ordinateur ou un smartphone, par exemple à l’aide d’un fichier cookie, nécessite le consentement dudit utilisateur. Ce consentement n’est néanmoins pas requis lorsque ces opérations de lecture ou...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :