La société Microsoft Ireland Operations Limited a été contrôlée à la suite de nombreuses plaintes envoyées à la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL »).
Les plaintes visent principalement le dépôt des cookies sur « bing.com ». En effet, la CNIL a pu constater que des cookies à finalité publicitaire sont déposés sur le terminal de l’utilisateur sans recueil préalable de son consentement et l’absence de bouton permettant de refuser les cookies aussi facilement que de les accepter.
C’est dans ce contexte que la société Microsoft Ireland Operations Limited a été sanctionnée par la CNIL d’une amende publique de 60 millions d’euros pour non-respect des exigences du consentement.
Par ailleurs, la CNIL n’a pas manqué d’adopter à l’encontre de Microsoft Ireland une injonction de modifier, dans un délai de trois mois, les modalités de dépôt des cookies et de recueillir le consentement préalable des utilisateurs.
L’absence d’une telle régularisation par la société Microsoft Ireland entraîne le paiement d’une astreinte qui s’élève à 60.000 euros par jour de retard.
Les motifs de la sanction
Conformément aux dispositions de l’article 82 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable de traitement ou son représentant :
[…] 2° Des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
Et l’article 4, 11) du Règlement Général de Protection des Données Personnelles, ci-après « RGPD » indique :
« « consentement » de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ; »
Or, la société Microsoft Ireland n’a pas recueilli le consentement de la personne concernée préalablement au dépôt de certains cookies, et n’a pas non plus mis en place un mécanisme permettant à l’utilisateur de refuser les cookies aussi facilement que de les accepter.
Cette négligence à l’égard du consentement de la personne concernée engendre nécessairement une violation du RPGD.
Ce qu'il faut retenir
Pour synthétiser la délibération SAN-2022-023 du 19 décembre 2022 rendue par la CNIL, il convient de retenir les points suivants :
- Les cookies poursuivant une finalité publicitaire nécessitent la collecte préalable du consentement ;
- Le principe de liberté du consentement implique que l’utilisateur ait une véritable liberté de choix et un contrôle réel. En outre, le mécanisme en place ne doit pas être biaisé en faveur du consentement ;
- Le mécanisme de refus mis en place ne doit pas être plus complexe que le mécanisme d’acceptation. Plus précisément, le nombre de clics permettant d’accepter les cookies doit être identique au nombre de clics permettant de les refuser ;
- Le recours au bouton « Plus d’options » présente un caractère peu explicite en ce qu’il ne mentionne pas clairement l’existence de moyens permettant le refus des cookies. Par ailleurs, l’utilisation du mot « Désactiver » peut amener l’utilisateur à penser que les cookies étaient par défaut autorisés. La création d’une confusion dans l’esprit de l’utilisateur constitue un élément de non-conformité et ce, même si les cookies ne sont pas réellement déposés ;
- Le recours à un mécanisme plus complexe pour refuser les cookies que pour les accepter décourage les utilisateurs de refuser les cookies et ne correspond pas à un moyen valide présentant un même degré de simplicité pour le refus et pour l’acceptation des cookies ;
- L’utilisateur d’un même cookie pour plusieurs finalités dont certaines ne sont pas concernées par les exemptions de consentement exige de recueillir le consentement au préalable ;
- L’utilisation des cookies ayant pour finalité la lutte contre la fraude publicitaire nécessite la collecte préalable du consentement en ce qu’ils n’ont pas pour vocation à faciliter une communication électronique et ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.
Remarque : Afin d’identifier si le recours à un cookie multi-finalités nécessite le recueil préalable du consentement, il est nécessaire de déterminer si parmi les finalités définies au moins l’une d’entre elles nécessite le recueil préalable du consentement.
Lorsque la CNIL détermine le montant de l’amende prononcée, elle tient compte des bénéfices que la société tire des revenus publicitaires générés des cookies et des avantages financiers obtenus des manquements.
Enfin, pour décider de la publication ou non d’une telle sanction, la CNIL tient notamment compte de la gravité des manquements, de la portée du traitement et du nombre de personnes concernées.
En conclusion, il apparaît essentiel pour une société de vérifier la conformité de la collecte des cookies sur son site internet au regard des dispositions du RGPD.
Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.
Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.
PLR Avocats prend également en charge les missions du DPO.
Pour nous contacter, c'est ICI !
