Microsoft voulait vous influencer sur les cookies, en rendant le refus plus compliqué que l’acceptation. Mal lui en a pris : la Cnil vient de lui infliger une amende de 60 millions d’euros.

C’est le cheval de bataille de la Commission nationale de l’informatique et des libertés (Cnil), chargée de la bonne application du RGPD : refuser les cookies doit être aussi facile que de les accepter. Voilà des mois que l’institution met la pression sur les sites web pour qu’ils révisent la manière dont ils déposent des cookies sur les appareils des internautes.

Les écarts de conduite en la matière sont parfois sévèrement sanctionnés. Google et Facebook peuvent en témoigner : début 2022, ils ont reçu une amende de 150 millions d’euros pour le premier et de 60 millions d’euros pour le second. Maintenant, c’est au tour de Microsoft de se faire attraper par l’autorité administrative chargée de la protection des données personnelles.

Microsoft sanctionné pour ses écarts en matière de cookies

Dans un communiqué publié le 21 décembre 2022, la Cnil annonce avoir prononcé une sanction de 60 millions d’euros contre le géant américain des logiciels. Motif ? Lui aussi a cru pouvoir se jouer des règles de la Cnil en matière de dépôt de cookies. Mal lui en a pris : l’autorité administrative a fait du sujet des cookies l’un de ses principaux sujets d’investigation.

Appelés également témoins de connexion, les cookies sont en informatique des petits fichiers déposés sur le PC ou le smartphone lors d’une visite d’un site web. Ils peuvent remplir différentes tâches : suivre l’audience, faire du pistage publicitaire, permettre de la personnalisation, mémoriser un panier d’achat, et ainsi de suite.

Cookies Numerama
Les cookies ont diverses fonctions. La plus controversée est celle liée au suivi publicitaire. // Source : Claire Braikeh pour Numerama

Ce sont les cookies publicitaires et de pistage qui concentrent le plus l’attention, car ils agissent comme des traceurs. De fait, leur utilisation est beaucoup plus sensible que des témoins de connexion « techniques », qui peuvent se passer de l’accord de l’internaute. Dans le cas des cookies liés à la publicité ciblée, le consentement préalable est nécessaire.

Spécifiquement, la Commission nationale de l’informatique et des libertés a pris pour cible Bing, le moteur de recherche de l’entreprise. Deux soucis ont été relevés lors de l’enquête : d’abord, des cookies étaient déposés directement sur l’appareil de l’internaute, sans aucun consentement préalable de sa part. Ensuite, il était impossible de refuser des cookies très facilement.

« Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement. Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter », note l’autorité dans son commentaire.

Cette différence d’un clic parait infime. Pourtant, cela a suffi pour rendre illicite le processus de recueil du consentement au dépôt des cookies, indique la Cnil. L’ajout d’une étape rend le chemin « plus complexe » que l’autre et vise donc « à décourager » les internautes de les refuser. En somme, Microsoft les incite à les accepter, pour gagner du temps. Le choix est faussé.

En marge de l’amende de 60 millions d’euros, la Cnil avait fixé un rendez-vous à Microsoft dans trois mois, à compter de la délibération : si le moteur de recherche Bing n’a pas été modifié en conséquence, alors Microsoft devra payer une astreinte de 60 000 euros par jour de retard. Mais, depuis fin mars, Microsoft est rentré dans le rang avec un bouton « Tout refuser ».


Aidez-nous à construire l’avenir de Numerama en répondant à cette enquête !