L’entreprise américaine a notamment été sanctionnée pour ne pas avoir permis aux internautes français de refuser le dépôt de cookies aussi facilement que de l’accepter sur son moteur de recherche Bing.
À l’approche de Noël, Microsoft vient de recevoir un beau cadeau. Ce jeudi, la Commission nationale de l’informatique et des libertés (Cnil) a révélé qu’elle lui a infligé une amende de 60 millions d’euros, soit la plus importante prononcée cette année par l’autorité. Elle a sanctionné l’entreprise par rapport sur ses pratiques au sujet des cookies, ces petits fichiers d’informations enregistrés sur l’appareil d’un utilisateur lorsqu’il se rend sur un site web.
Dans le cas de Microsoft, le site en question est son moteur de recherche Bing. Des contrôles effectués à la suite d’une plainte à propos des conditions du dépôt de ces fichiers lui ont permis de constater qu’ils étaient déposés sur le terminal des internautes français sans leur consentement, mais aussi que ces derniers ne pouvaient pas refuser simplement ce dépôt. Raison pour laquelle elle avait d’ailleurs mis Google et Facebook à l’amende fin 2021.
Une question de consentement
Dans le détail, la Cnil reproche à Microsoft l’absence d’un bouton grâce auquel les utilisateurs auraient pu refuser le dépôt de cookies aussi facilement que de l’accepter. Ce n’est que le 29 mars dernier que la société en a ajouté un. Avant cela, deux clics étaient nécessaires pour refuser tous les cookies tandis qu’un seul clic permettait de les accepter. « Rendre le mécanisme de refus plus complexe revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton de consentement figurant dans la première fenêtre », déclare la Cnil, affirmant que Microsoft « portait atteinte à la liberté du consentement des internautes » avec un tel procédé.
L’autorité reproche aussi à l’entreprise l’installation de deux cookies sur le terminal des internautes, sans action de leur part, alors que ces fichiers poursuivaient plusieurs finalités, dont un objectif publicitaire.
Microsoft a ainsi violé la directive européenne ePrivacy, qui vise à protéger la vie privée sur Internet et est transposée en droit français dans la loi Informatique et Libertés. Des manquements pour lesquels la Cnil pouvait la sanctionner d’une amende allant jusqu’à 2% de son chiffre d’affaires mondial. Elle justifie le montant de celle-ci « par la portée du traitement, par le nombre de personnes concernées et par les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par les cookies ».
Cette sanction financière est assortie d’une injonction sous astreinte. Microsoft dispose de trois mois pour recueillir le consentement des internautes français avant de déposer des cookies sur leur terminal lorsqu’ils utilisent son moteur de recherche. L’entreprise devra payer une astreinte de 60 000 euros par jour de retard si ce délai n’est pas respecté.