Un cookie est un petit fichier stocké par un serveur dans l'appareil d’un utilisateur et associé à un domaine web. Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.

Si certains de ces usages de cookies s'avèrent nécessaires pour le bon fonctionnement du service ou bien à l’établissement de la communication, ils sont dès lors exemptés de consentement. En revanche, d’autres usages, qui ne correspondent pas à ces critères, nécessitent un consentement de l’utilisateur avant lecture ou écriture.

Les faits reprochés à la société Microsoft

Suite à une plainte portant sur les conditions du dépôt de cookies sur le moteur de recherche « bing.com », la Commission Nationale de l'Informatique et des Libertés a effectué plusieurs contrôles sur le site web en septembre 2020 et mai 2021.

Ces contrôles lui ont permis de constater, d'une part, que lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement alors qu’ils poursuivaient, notamment, un objectif publicitaire. D'autre part, l'autorité de contrôle a constaté l’absence d’un bouton permettant de refuser le dépôt de cookies, alors même qu'il paraissait relativement facile d'accepter ce dépôt.

Les manquements à l'article 82 de la Loi Informatiques et Libertés

Le dépôt de cookies sans recueil préalable du consentement de l’utilisateur

Aux termes de l’article 82 de la loi Informatique et Libertés (LIL), transposant l’article 5, paragraphe 3, de la directive " ePrivacy " : tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, [...] de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; et des moyens dont il dispose pour s’y opposer.

Dans ce cadre, la CNIL a constaté un défaut de consentement dans les modalités de recueil des cookies dans la mesure où, lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un cookie poursuivant plusieurs finalités était automatiquement déposé sans action de sa part.

En outre, lorsque l'utilisateur poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une finalité publicitaire était déposé sur son terminal, toujours sans que son consentement n’ait été recueilli.

Or, en application de l'article 82 de la LIL précité, ce type de cookies ne doit être déposé qu’après consentement de l’utilisateur.

Notons ici que s'est développée la pratique du cookie wall, qui désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.).

Il n'existe pas d'interdiction générale à cette pratique mais une exigence d'un consentement libre. La légalité de cette pratique tient dans l'existence d'alternatives réelles et satisfaisantes proposées en cas de refus des cookies et autres traceurs.

L’absence d’un moyen conforme de recueil du consentement au dépôt des cookies

Par ailleurs, si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, force est de constater qu'aucune solution équivalente (bouton de refus ou autre) était proposée à l'utilisateur afin de lui permettre de les refuser aussi facilement. Ainsi, deux clics étaient nécessaires pour refuser tous les cookies, là où un seul suffit pour les accepter.

Selon la formation restreinte de la CNIL, ce mécanisme de refus, au demeurant plus complexe, revient, en réalité, à décourager les utilisateurs de refuser les cookies. Ce mécanisme les incitait ainsi à privilégier la facilité du bouton de consentement figurant dans la première fenêtre. In fine, la CNIL a considéré qu’un tel procédé portait atteinte à la liberté du consentement des internautes.

La formation restreinte a conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi.

Les sanctions appliquées

En conséquence, la formation restreinte a prononcé une sanction exemplaire contre la société Microsoft, lui infligeant une amende de 60 millions d’euros, laquelle a été rendue publique.

Ce montant conséquent est justifié en premier lieu par la portée du traitement, ensuite par le nombre de personnes concernées et enfin par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies.

La formation restreinte a en outre, adopté une injonction sous astreinte contre la société Microsoft qui dispose de trois mois pour modifier ses mécanismes de recueil des cookies. Le consentement des personnes résidant en France doit être collecté avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire. En l'absence de tels ajustements, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.

La CNIL avait déjà sanctionné plusieurs entreprises dans le cadre de leurs politiques de recueil des cookies. Google, Carrefour et Amazon s'étaient ainsi vus appliquer des amendes importantes en novembre et décembre 2020.

Toutes ces décisions ont été rendues en conséquence des lignes directrices de la CNIL publiées en Juillet 2019. En effet l'autorité de contrôle française avait exprimé sa volonté de redonner aux utilisateurs du contrôle sur l’utilisation de leurs données en renforçant les exigences de recueil du consentement de l’utilisateur.