Résumé des faits
Après avoir reçu plusieurs plaintes au sujet du dépôt des cookies sur « bing.com », la CNIL a effectué des contrôles sur ce site et a constaté que des cookies à finalité publicitaire sont déposés sur le terminal de l’utilisateur sans recueil préalable de son consentement et l’absence d’un bouton permettant de refuser les cookies aussi facilement que de les accepter.
La CNIL a ainsi sanctionné la société Microsoft Ireland Operations Limited d’une amende publique de 60 millions d’euros, pour non-respect des exigences sur le consentement. Elle a également adopté à l’encontre de Microsoft une injonction de modifier, dans un délai de trois mois, les modalités de dépôt des cookies et de recueillir le consentement préalable des utilisateurs, faute de quoi elle s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.
Motifs de la sanction / Manquements
- Non-respect de l’art. 82 de la loi Informatique et Libertés
Absence de recueil de consentement préalablement au dépôt de certains cookies.
- Non-respect de l’art. 4, 11) du RGPD
Absence de mécanisme permettant de refuser les cookies aussi facilement que de les accepter.
Que retenir de la décision ?
- Les cookies poursuivant une finalité publicitaire nécessitent la collecte préalable du consentement.
- Le principe de liberté du consentement implique que l’utilisateur ait une véritable liberté de choix et un contrôle réel et que le mécanisme en place ne soit pas biaisé en faveur du consentement.
- Le mécanisme de refus mis en place ne doit pas être plus complexe que le mécanisme d’acceptation. Ainsi, le nombre de clics permettant d’accepter les cookies doit être identique au nombre de clics permettant de les refuser.
- Le recours au bouton « Plus d’options » présente un caractère peu explicite en ce qu’il ne mentionne pas clairement l’existence de moyens permettant le refus des cookies. De même pour l’utilisation de l’infinitif « Désactiver » pouvant amener l’utilisateur à penser que les cookies étaient par défaut autorisés. Créer une telle confusion dans l’esprit de l’utilisateur constitue un élément de non-conformité et ce, même si les cookies ne sont pas réellement déposés.
- Le recours à un mécanisme plus complexe pour refuser les cookies que pour les accepter décourage les utilisateurs de refuser les cookies et ne correspond pas à un moyen valide présentant un même degré de simplicité pour le refus et pour l’acceptation des cookies.
- L’utilisation d’un même cookie pour plusieurs finalités dont certaines ne sont pas concernées par les exemptions de consentement exige de recueillir le consentement au préalable.
- Pour savoir si le recours à un cookie multi-finalités nécessite le recueil préalable du consentement, il est nécessaire de déterminer si parmi les finalités définies au moins l’une d’entre elles nécessite le recueil préalable du consentement.
- L’utilisation des cookies ayant pour finalité la lutte contre la fraude publicitaire nécessite la collecte préalable du consentement en ce qu’ils n’ont pas pour vocation de faciliter une communication électronique et ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.
- La CNIL est compétente pour sanctionner les pratiques qui concernent les cookies impliquant un dépôt sur les terminaux d’utilisateurs se trouvant en France. Ces opérations relevant de la directive e-privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.
Le + DLD
- Lors de la détermination du montant de l’amende, la CNIL tient, entre autres, compte des bénéfices que la société tire des revenus publicitaires générés des cookies et des avantages financiers obtenus des manquements.
- Pour décider de la publication ou pas de la sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.
