Cookies : pourquoi la Cnil sévit contre Microsoft

Cnil Microsoft cookies

La Cnil a prononcé une sanction de 60 M€ à l’encontre de Microsoft Irlande. Au cœur du dossier, le consentement au dépôt de cookies sur Bing.

Utiliser un verbe à l’infinitif peut-il rendre ambiguë une fenêtre de refus de cookies ? La Cnil est allée jusque-là dans une procédure impliquant Microsoft. Pour finalement infliger à sa filiale irlandaise* une amende de 60 M€.

À l’origine, il y a une saisine de février 2020. Le plaignant dénonçait les conditions de recueil de son consentement aux cookies sur Bing.

La Cnil a notamment observé qu’un cookie « MUID » était déposé dès l’arrivée sur le moteur, avant toute action de la part de l’utilisateur. Microsoft a expliqué que ce cookie avait plusieurs finalités, touchant à la sécurité du service, à la mesure d’utilisation et à la présentation de publicités.

Toujours selon le groupe américain, le déclenchement des finalités publicitaires était soumis à consentement. À défaut, le cookie était tout de même utilisé, pour détecter et filtrer les fraudes concernant les pubs non ciblées.

Un cookie pas strictement nécessaire

D’après la Cnil, ce genre de cookie s’inscrit dans la finalité plus large de la publicité contextuelle. Il n’a donc pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique. Et ne peut pas non plus être regardé comme strictement nécessaire à la fourniture du service. Deux situations qui, selon l’article 82 de la loi informatique et libertés, exemptent de recueillir le consentement.

Qu’a rétorqué Microsoft ? D’une part, qu’il s’agissait d’éviter d’utiliser un cookie pour chaque finalité. Ce qui permettait de réduire le nombre de lectures et d’écritures d’informations entre les serveurs et les terminaux des utilisateurs. De l’autre, que seules les finalités essentielles étaient activées avant consentement… et que la lutte contre la fraude publicitaire en était une. Tout comme la prévention des attaques par déni de service, la détection de malwares et la lutte contre la désinformation.

En réponse, la Cnil n’a pas changé d’avis. Tout au plus a-t-elle concédé que la finalité de lutte contre les attaques par déni de service pourrait être exemptée du consentement.

Microsoft a-t-il détourné la loi informatique et libertés ?

Microsoft a renchéri, avec deux arguments. Premièrement, les fonctionnalités en question sont nécessaires autant eu égard aux attentes de l’utilisateur que par rapport aux obligations légales du fournisseur.

Deuxièmement, une fois le cookie déposé pour une finalité essentielle, l’article 82 ne s’applique pas aux utilisations ultérieures des données personnelles stockées dans ce cookie. Autrement dit, la lutte contre la désinformation, la fraude, les spams et les abus est compatible avec la prévention des attaques par déni de service, la cybercriminalité, l’équilibrage de la charge et la continuité de session à session au regard de l’article 6 du RGPD. Dans ce cas, la conformité serait supervisée par la Cnil irlandaise, dans le cadre du guichet unique prévu par le règlement.

Pour la Cnil, jouer ainsi sur les exemptions de l’article 82 puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles reviendrait à détourner les dispositions de la loi informatique et libertés. Le consentement de l’utilisateur ne serait effectivement plus jamais sollicité préalablement au dépôt de cookies.

Dans la pratique, le raisonnement de la Cnil signifie par exemple qu’on peut utiliser un cookie pour authentifier un utilisateur sans demander son consentement (nécessaire à la fourniture du service), mais qu’on ne peut pas utiliser ce même cookies à des finalités publicitaires, sauf à obtenir un consentement préalable.

La Cnil estime en outre que la finalité de lutte contre la fraude publicitaire n’impacte pas la fourniture du service aux utilisateurs. Service qui, précise-t-elle, n’est pas la publicité. De son avis, Microsoft opère une confusion. Entre, d’une part, la diffusion de contenus malveillants par les services de publicité du moteur de recherche (ce qui relève de sa gestion interne). Et, de l’autre, la détection de fraude opérée par des bots pour lutter contre la création artificielle de clics.

ABDEF, l’autre cookie problématique

Un autre cookie, dénommé ABDEF, a attiré l’attention de la Cnil. Il était déposé sur le terminal au cours de la navigation, là aussi sans consentement. Questionné à l’issue d’un contrôle effectué en mai 2021, Microsoft avait reconnu la finalité publicitaire dudit cookie. Et avait invoqué le droit à l’erreur, affirmant l’avoir ajouté par inadvertance. Il promettait de rectifier le tir pour la fin juillet, en ne le déposant qu’après consentement.

Même si non intentionnel, le dépôt du cookie résultait d’une erreur grossière, a considéré la Cnil.

Un bandeau jugé non conforme

La Cnil a aussi trouvé à redire concernant les conditions de recueil du consentement. Son postulat : il doit être aussi aisé de refuser ou de retirer son consentement aux traceurs que de le donner

Le contrôle de mai 2021 a révélé que ce n’était pas le cas. Accepter les cookies pouvait se faire en un clic. Mais pour refuser, il fallait effectuer au moins deux actions. En l’occurrence, cliquer sur « Plus d’options », laisser les boutons glissants précochés sur « Désactiver » par défaut, puis cliquer sur « Enregistrer les paramètres ».

Autre remarque : l’ambiguïté potentielle de la fenêtre permettant de refuser les cookies. L’élément problématique ? L’infinitif « Désactiver ». Qui, selon la Cnil, sous-entend en principe qu’il y a une action à réaliser.

Plus globalement, l’autorité juge que le bandeau n’était pas conforme jusqu’à la mise en place d’un bouton « Tout refuser » en mars 2022.

Incitations à consentir

Du point de vue de Microsoft, la notion de « aussi aisé de refuser que d’accepter » n’est prévue ni dans la directive ePrivacy, ni dans le RGPD, ni dans la loi informatique et libertés.
Le groupe américain affirme qu’avant d’intégrer le bouton « Tout refuser », l’utilisation de cookies non essentiels était soumise à un consentement explicite dans le centre de gestion des préférences (accessible en cliquant sur « Plus d’options »). Il ajoute qu’aucun cookie non essentiel n’était déposé avant que l’utilisateur ait cliqué sur « Accepter ». Bilan : il était aussi aisé de décliner les cookies, l’inaction de l’utilisateur valant refus.

La Cnil n’a pas remis en cause ce dernier argument. Mais elle a noté que le bandeau ne contenait aucune information dans ce sens. En conséquence, l’équilibre entre les modalités d’acceptation et de refus n’était pas respecté. Et le système n’était « pas intuitif » pour l’utilisateur.

S’il était possible de naviguer ainsi, après trois recherches, il fallait faire un choix : une pop-up s’affichait, avec les mêmes boutons que dans le bandeau. Dès lors, le choix le plus simple était d’accepter, constate la Cnil. En l’absence d’information sur les conséquences de son inaction, l’utilisateur souhaitant refuser les cookies était fortement incité à cliquer sur « Plus d’options » et à effectuer les deux actions décrites ci-avant.

Le bouton « Plus d’options » aussi a déplu à la Cnil. Motif : son caractère peu explicite, ne mentionnant pas clairement l’existence de moyens permettant de refuser les cookies. S’y ajoute, là encore, l’ambiguïté de l’infinitif « Désactiver » dans la deuxième fenêtre. Il pouvait amener à supposer l’autorisation des cookies par défaut.

11 millions de VU, 60 M€ d’amende

Parmi les éléments que la Cnil a mis en balance pour décider du montant de l’amende :

– Bing a une « position fragile » sur le marché des moteurs de recherche et contribue peu aux résultats financiers de Microsoft

– Les infractions sont multiples

– Le traitement est massif (10,8 millions de visiteurs uniques pour Bing en France au mois de septembre 2020)

– Entre 2020 et 2021, les revenus publicitaires imputés à Bing en France ont augmenté de 30 %

– La Cnil avait communiqué à de nombreuses reprises, depuis 2020, sur la nécessité d’un équilibre entre les mécanismes d’acceptation et de refus des cookies

– Microsoft était prévenu que la Cnil attendait une mise en conformité. Une audition avait notamment eu lieu en février 2021.

L’amende s’assortit d’une astreinte de 60 000 € par jour passé un délai de trois mois.

* Au sens du RGPD, la filiale irlandaise est responsable du traitement.

Photo d’illustration © wavebreakmedia – Shutterstock