La CNIL française a infligé une amende de pas moins de 60 millions d’euros à Microsoft Ireland Operations Ltd (MIOL). Sur bing.com, le moteur de recherche de Microsoft exploité en Europe par MIOL, des cookies non nécessaires avaient été placés sans qu’un consentement effectif des utilisateurs n’ait été obtenu au préalable.
Dans un premier temps, la CNIL a estimé, comme dans l’affaire Google à l’époque, qu’il n’y avait pas lieu de s’inquiéter. pas incompétentLa directive e‑Privacy ne prévoit pas de guichet unique en cas de violation, contrairement au RGPD. Le site compétence territoriale de la CNIL a suivi la filiale française de Microsoft, car l’exploitation de Bing était indissociable des activités de Microsoft France (comme pour le Décision Google Spain de la CJCE et un la décision récente du Conseil d’État français concernant Amazon).
En l’espèce, la CNIL a constaté que Microsoft avait mis en place sur Bing.com, avant le consentement de l’utilisateur, un cookie multifonctionnel ont été mis en place. Certaines finalités étaient ensuite déterminées ou exclues par les consentements des utilisateurs – sans consentement, le cookie ne servait qu’à des fins de lutte contre la fraude, de sécurité informatique et de lutte contre les fausses informations, entre autres.
Un cookie multifonctionnel ne doit pas, selon la CNIL sans consentement être mis en place s’il y a au moins un but nécessaire (et qui ne sont pas utilisées à d’autres fins sans consentement). La CNIL a considéré que cela n’était pas rempli en l’espèce. La lutte contre la fraude dans le cadre de la publicité n’était pas non plus une telle finalité, car elle servait à l’activité publicitaire et non directement à l’exploitation du moteur de recherche.
Ce que les Exigences en matière de consentement il doit être aussi facile de refuser le consentement que de l’accorder, sans quoi il n’y a pas de véritable choix. De même, la révocation d’un consentement doit être aussi simple que son expression. Microsoft a enfreint cette règle parce qu’à côté du bouton permettant de donner son consentement à tous les cookies, il manquait un bouton correspondant “refuser tout” ou autre ; un refus nécessitait au moins deux clics (“Paramètres”, “Enregistrer”). En outre, l’expression “paramètres” n’était pas claire. L’utilisateur pouvait certes utiliser le site web sans interagir avec la bannière des cookies ; dans ce cas, aucun cookie n’était installé ; mais cela ne pourrait être considéré comme une simple possibilité d’opposition que si l’utilisateur avait été informé de manière adéquate et transparente. Or, ce n’était pas le cas, raison pour laquelle le bouton “Accepter” restait la variante la plus simple pour l’utilisateur.