[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article_53363":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":7,"lang":12,"url":13,"intro":14,"featured":4,"state":15,"author":16,"authorId":17,"datePublication":21,"dateCreation":22,"dateUpdate":23,"mainCategory":24,"categories":39,"metaDatas":66,"imageUrl":67,"imageThumbUrls":68,"id":76},false,"Un cookie est un **petit fichier stocké** par un serveur dans l'appareil d’un utilisateur et associé à un domaine web.  Ce fichier est **automatiquement renvoyé lors de contacts ultérieurs** avec le même domaine. \r\n\r\nSi certains de ces usages de cookies s'avèrent **nécessaires pour le bon fonctionnement** du service ou bien à l’établissement de la communication, ils sont dès lors **exemptés de consentement**. En revanche, d’**autres usages**, qui ne correspondent pas à ces critères, **nécessitent un consentement** de l’utilisateur avant lecture ou écriture.\r\n\r\n\r\n## Les faits reprochés à la société Microsoft\r\n\r\nSuite à une plainte portant sur les **conditions du dépôt de cookies** sur le moteur de recherche « **bing.com** », la Commission Nationale de l'Informatique et des Libertés a effectué plusieurs contrôles sur le site web en septembre 2020 et mai 2021.\r\n\r\nCes contrôles lui ont permis de constater, d'une part, que lorsqu’un utilisateur se rendait sur ce site, des **cookies étaient déposés sur son terminal sans consentement** alors qu’ils poursuivaient, notamment, un **objectif publicitaire**. \r\nD'autre part, l'autorité de contrôle a constaté l’**absence d’un bouton** permettant de refuser le dépôt de cookies, alors même qu'il paraissait **relativement facile d'accepter ce dépôt**.\r\n\r\n\r\n## Les manquements à l'article 82 de la Loi Informatiques et Libertés\r\n\r\n### Le dépôt de cookies sans recueil préalable du consentement de l’utilisateur\r\n\r\nAux termes de l’article 82 de la loi Informatique et Libertés (LIL), transposant l’article 5, paragraphe 3, de la directive \" ePrivacy \" : *tout abonné ou utilisateur d’un service de communications électroniques doit être informé de **manière claire et complète**, [...] de la **finalité** de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; et des **moyens dont il dispose pour s’y opposer**.*\r\n\r\n\r\nDans ce cadre, la CNIL a constaté un **défaut de consentement** dans les modalités de recueil des cookies dans la mesure où, lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un **cookie poursuivant plusieurs finalités était automatiquement déposé sans action de sa part**.\r\n\r\n\r\nEn outre, lorsque l'utilisateur poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une **finalité publicitaire** était déposé sur son terminal, toujours **sans que son consentement n’ait été recueilli**.\r\n\r\n\r\nOr, en application de l'**article 82** de la LIL précité, ce type de cookies ne doit être déposé **qu’après consentement de l’utilisateur**.\r\n\r\n\r\n> Notons ici que s'est développée la pratique du [**cookie wall**](https://www.dastra.eu/fr/article/les-cookies-wall-une-pratique-legale/52255), qui désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.). \r\n> \r\n> Il n'existe **pas d'interdiction générale** à cette pratique mais une **exigence d'un consentement libre**. La légalité de cette pratique tient dans l'**existence d'alternatives réelles et satisfaisantes** proposées en cas de refus des cookies et autres traceurs.\r\n\r\n### L’absence d’un moyen conforme de recueil du consentement au dépôt des cookies\r\n\r\nPar ailleurs, si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, force est de constater qu'**aucune solution équivalente** (bouton de refus ou autre) était proposée à l'utilisateur afin de lui **permettre de les refuser aussi facilement**. \r\nAinsi, deux clics étaient nécessaires pour refuser tous les cookies, là où un seul suffit pour les accepter.\r\n\r\n\r\nSelon la formation restreinte de la CNIL, ce mécanisme de refus, **au demeurant plus complexe**, revient, en réalité, à **décourager** les utilisateurs de refuser les cookies. \r\nCe mécanisme les incitait ainsi à privilégier la facilité du bouton de consentement figurant dans la première fenêtre. In fine, la CNIL a considéré qu’un tel procédé portait **atteinte à la liberté du consentement des internautes**.\r\n\r\n\r\nLa formation restreinte a conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi.\r\n\r\n\r\n## Les sanctions appliquées\r\n\r\nEn conséquence, la formation restreinte a prononcé une sanction exemplaire contre la société Microsoft, lui infligeant une **amende de 60 millions d’euros**, laquelle a été rendue publique.\r\n\r\n\r\nCe montant conséquent est justifié en premier lieu par la **portée du traitement**, ensuite par le **nombre de personnes concernées** et enfin par les **bénéfices que la société tire des revenus publicitaires** indirectement générés à partir des données collectées par les cookies.\r\n\r\n\r\nLa formation restreinte a en outre, adopté une **injonction sous astreinte** contre la société Microsoft qui dispose de **trois mois** pour modifier ses mécanismes de recueil des cookies. \r\nLe consentement des personnes résidant en France doit être **collecté avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire**. En l'absence de tels ajustements, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.\r\n\r\n\r\nLa CNIL avait déjà sanctionné plusieurs entreprises dans le cadre de leurs politiques de recueil des cookies. [Google, Carrefour et Amazon](https://www.dastra.eu/fr/article/cnil-sanction-cookies-6-mois/373) s'étaient ainsi vus appliquer des amendes importantes en novembre et décembre 2020. \r\n\r\n\r\nToutes ces décisions ont été rendues en conséquence des [lignes directrices de la CNIL](https://www.dastra.eu/fr/article/recommendations-CNIL-cookies-expliquees-a-votre-boss/104) publiées en Juillet 2019. En effet l'autorité de contrôle française avait exprimé sa volonté de **redonner aux utilisateurs du contrôle sur l’utilisation de leurs données** en renforçant les exigences de recueil du consentement de l’utilisateur.","\u003Cp>Un cookie est un \u003Cstrong>petit fichier stocké\u003C/strong> par un serveur dans l'appareil d’un utilisateur et associé à un domaine web.  Ce fichier est \u003Cstrong>automatiquement renvoyé lors de contacts ultérieurs\u003C/strong> avec le même domaine.\u003C/p>\r\n\u003Cp>Si certains de ces usages de cookies s'avèrent \u003Cstrong>nécessaires pour le bon fonctionnement\u003C/strong> du service ou bien à l’établissement de la communication, ils sont dès lors \u003Cstrong>exemptés de consentement\u003C/strong>. En revanche, d’\u003Cstrong>autres usages\u003C/strong>, qui ne correspondent pas à ces critères, \u003Cstrong>nécessitent un consentement\u003C/strong> de l’utilisateur avant lecture ou écriture.\u003C/p>\r\n\u003Ch2 id=\"les-faits-reproches-a-la-societe-microsoft\">Les faits reprochés à la société Microsoft\u003C/h2>\r\n\u003Cp>Suite à une plainte portant sur les \u003Cstrong>conditions du dépôt de cookies\u003C/strong> sur le moteur de recherche « \u003Cstrong>bing.com\u003C/strong> », la Commission Nationale de l'Informatique et des Libertés a effectué plusieurs contrôles sur le site web en septembre 2020 et mai 2021.\u003C/p>\r\n\u003Cp>Ces contrôles lui ont permis de constater, d'une part, que lorsqu’un utilisateur se rendait sur ce site, des \u003Cstrong>cookies étaient déposés sur son terminal sans consentement\u003C/strong> alors qu’ils poursuivaient, notamment, un \u003Cstrong>objectif publicitaire\u003C/strong>.\r\nD'autre part, l'autorité de contrôle a constaté l’\u003Cstrong>absence d’un bouton\u003C/strong> permettant de refuser le dépôt de cookies, alors même qu'il paraissait \u003Cstrong>relativement facile d'accepter ce dépôt\u003C/strong>.\u003C/p>\r\n\u003Ch2 id=\"les-manquements-a-larticle-82-de-la-loi-informatiques-et-libertes\">Les manquements à l'article 82 de la Loi Informatiques et Libertés\u003C/h2>\r\n\u003Ch3 id=\"le-depot-de-cookies-sans-recueil-prealable-du-consentement-de-lutilisateur\">Le dépôt de cookies sans recueil préalable du consentement de l’utilisateur\u003C/h3>\r\n\u003Cp>Aux termes de l’article 82 de la loi Informatique et Libertés (LIL), transposant l’article 5, paragraphe 3, de la directive \" ePrivacy \" : \u003Cem>tout abonné ou utilisateur d’un service de communications électroniques doit être informé de \u003Cstrong>manière claire et complète\u003C/strong>, [...] de la \u003Cstrong>finalité\u003C/strong> de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; et des \u003Cstrong>moyens dont il dispose pour s’y opposer\u003C/strong>.\u003C/em>\u003C/p>\r\n\u003Cp>Dans ce cadre, la CNIL a constaté un \u003Cstrong>défaut de consentement\u003C/strong> dans les modalités de recueil des cookies dans la mesure où, lorsqu’un utilisateur se rendait sur le moteur de recherche « bing.com », un \u003Cstrong>cookie poursuivant plusieurs finalités était automatiquement déposé sans action de sa part\u003C/strong>.\u003C/p>\r\n\u003Cp>En outre, lorsque l'utilisateur poursuivait la navigation sur le moteur de recherche, un cookie poursuivant une \u003Cstrong>finalité publicitaire\u003C/strong> était déposé sur son terminal, toujours \u003Cstrong>sans que son consentement n’ait été recueilli\u003C/strong>.\u003C/p>\r\n\u003Cp>Or, en application de l'\u003Cstrong>article 82\u003C/strong> de la LIL précité, ce type de cookies ne doit être déposé \u003Cstrong>qu’après consentement de l’utilisateur\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Notons ici que s'est développée la pratique du \u003Ca href=\"https://www.dastra.eu/fr/article/les-cookies-wall-une-pratique-legale/52255\">\u003Cstrong>cookie wall\u003C/strong>\u003C/a>, qui désigne le fait de conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.).\u003C/p>\r\n\u003Cp>Il n'existe \u003Cstrong>pas d'interdiction générale\u003C/strong> à cette pratique mais une \u003Cstrong>exigence d'un consentement libre\u003C/strong>. La légalité de cette pratique tient dans l'\u003Cstrong>existence d'alternatives réelles et satisfaisantes\u003C/strong> proposées en cas de refus des cookies et autres traceurs.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch3 id=\"labsence-dun-moyen-conforme-de-recueil-du-consentement-au-depot-des-cookies\">L’absence d’un moyen conforme de recueil du consentement au dépôt des cookies\u003C/h3>\r\n\u003Cp>Par ailleurs, si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, force est de constater qu'\u003Cstrong>aucune solution équivalente\u003C/strong> (bouton de refus ou autre) était proposée à l'utilisateur afin de lui \u003Cstrong>permettre de les refuser aussi facilement\u003C/strong>.\r\nAinsi, deux clics étaient nécessaires pour refuser tous les cookies, là où un seul suffit pour les accepter.\u003C/p>\r\n\u003Cp>Selon la formation restreinte de la CNIL, ce mécanisme de refus, \u003Cstrong>au demeurant plus complexe\u003C/strong>, revient, en réalité, à \u003Cstrong>décourager\u003C/strong> les utilisateurs de refuser les cookies.\r\nCe mécanisme les incitait ainsi à privilégier la facilité du bouton de consentement figurant dans la première fenêtre. In fine, la CNIL a considéré qu’un tel procédé portait \u003Cstrong>atteinte à la liberté du consentement des internautes\u003C/strong>.\u003C/p>\r\n\u003Cp>La formation restreinte a conclu que les conditions de recueil de consentement qui étaient proposées aux utilisateurs jusqu’à la mise en place d’un bouton « Tout refuser » le 29 mars 2022, constituaient une violation de la loi.\u003C/p>\r\n\u003Ch2 id=\"les-sanctions-appliquees\">Les sanctions appliquées\u003C/h2>\r\n\u003Cp>En conséquence, la formation restreinte a prononcé une sanction exemplaire contre la société Microsoft, lui infligeant une \u003Cstrong>amende de 60 millions d’euros\u003C/strong>, laquelle a été rendue publique.\u003C/p>\r\n\u003Cp>Ce montant conséquent est justifié en premier lieu par la \u003Cstrong>portée du traitement\u003C/strong>, ensuite par le \u003Cstrong>nombre de personnes concernées\u003C/strong> et enfin par les \u003Cstrong>bénéfices que la société tire des revenus publicitaires\u003C/strong> indirectement générés à partir des données collectées par les cookies.\u003C/p>\r\n\u003Cp>La formation restreinte a en outre, adopté une \u003Cstrong>injonction sous astreinte\u003C/strong> contre la société Microsoft qui dispose de \u003Cstrong>trois mois\u003C/strong> pour modifier ses mécanismes de recueil des cookies.\r\nLe consentement des personnes résidant en France doit être \u003Cstrong>collecté avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire\u003C/strong>. En l'absence de tels ajustements, la société s’exposera au paiement d’une astreinte de 60 000 euros par jour de retard.\u003C/p>\r\n\u003Cp>La CNIL avait déjà sanctionné plusieurs entreprises dans le cadre de leurs politiques de recueil des cookies. \u003Ca href=\"https://www.dastra.eu/fr/article/cnil-sanction-cookies-6-mois/373\">Google, Carrefour et Amazon\u003C/a> s'étaient ainsi vus appliquer des amendes importantes en novembre et décembre 2020.\u003C/p>\r\n\u003Cp>Toutes ces décisions ont été rendues en conséquence des \u003Ca href=\"https://www.dastra.eu/fr/article/recommendations-CNIL-cookies-expliquees-a-votre-boss/104\">lignes directrices de la CNIL\u003C/a> publiées en Juillet 2019. En effet l'autorité de contrôle française avait exprimé sa volonté de \u003Cstrong>redonner aux utilisateurs du contrôle sur l’utilisation de leurs données\u003C/strong> en renforçant les exigences de recueil du consentement de l’utilisateur.\u003C/p>\r\n",null,932,5,"CNIL : sanction contre Microsoft dans le cadre de sa politique d'acceptation des cookies ",0,"fr","la-cnil-sanctionne-la-societe-microsoft","Le 19 décembre 2022, la formation restreinte de la CNIL a sanctionné la société Microsoft à hauteur de 60 millions d’euros, notamment pour ne pas avoir mis en place un mécanisme permettant de refuser les cookies aussi facilement que de les accepter.","Published",{"id":17,"displayName":18,"avatarUrl":19,"bio":7,"blogUrl":7,"color":7,"userId":17,"creationDate":20},3235,"Margaux Morel","https://static.dastra.eu/tenant-3/avatar/3235/margaux-2-150.jpg","2022-10-03T12:31:46","2022-12-22T10:45:00","2022-12-22T10:45:29.9437236","2024-06-20T15:55:14.388822",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":30},2,"Blog","A list of curated articles provided by the community","article","#28449a",[31,33,36],{"lang":12,"name":26,"description":32},"Une liste d'articles rédigés par la communauté",{"lang":34,"name":26,"description":35},"es","Una lista de artículos escritos por la comunidad",{"lang":37,"name":26,"description":38},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[40,45],{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":41},[42,43,44],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},{"id":46,"name":47,"description":48,"url":49,"color":50,"parentId":25,"count":7,"imageUrl":7,"parent":51,"order":11,"translations":56},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":25,"name":26,"description":27,"url":28,"color":29,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":52},[53,54,55],{"lang":12,"name":26,"description":32},{"lang":34,"name":26,"description":35},{"lang":37,"name":26,"description":38},[57,60,63],{"lang":12,"name":58,"description":59},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":34,"name":61,"description":62},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":37,"name":64,"description":65},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",[],"https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-1000.png",[69,70,71,72,73,74,75],"https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-1000.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-1500.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-800.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-600.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-300.webp","https://static.dastra.eu/content/c4314760-6e52-4f03-80cc-724cb102b667/cnil-100.webp",53363]