Minute RGPD : Quand une sanction porte ses fruits
Une réflexion que l’on entend souvent en formations : les organismes américains sont intouchables au niveau européen, et notamment pour l’application du RGPD. L’argument qui revient le plus est de dire que « même s’ils sont sanctionnés, ils ne paieront pas… ils ne changeront pas. »
Microsoft Ireland vient de nous prouver le contraire.
Souvenez-vous : nous sommes le 19 décembre 2022. La CNIL vient de prononcer une sanction contre Microsoft Ireland Operations Limited à hauteur de 60 millions d’euros d’amendes pour un défaut lié au dépôt de cookies sur bing.com. En complément de cette amende administrative, une injonction sous astreinte afin que la société recueille sur le site mentionné, dans un délai de trois mois, le consentement des personnes résidant en France avant de déposer sur leur terminal des cookies et traceurs à finalité publicitaire.
Le 11 mai 2023, la CNIL a clôturé cette injonction considérant que Microsoft Ireland Operations Limited, avait corrigé ce défaut de conformité dans les délais impartis.
Retour sur les faits de 2022
Un des reproches de la CNIL concernait l’absence d’un moyen conforme de recueil du consentement au dépôt des cookies. En l’espèce, si un utilisateur pouvait consentir en « un clic » au dépôt des cookies sur son terminal, il devait en réaliser deux pour refuser tous les cookies. Cette différence entre le mécanisme d’acceptation et de refus a été interprété par la CNIL comme une tactique visant à décourager les utilisateurs de refuser les cookies.
Pour rappel, il doit être aussi facile d’accepter que de refuser le dépôt de cookie : attention aux techniques trompeuses ! Si la CNIL estime qu’un utilisateur ne peut pas consentir librement, ou si son choix est influencé par vos pratiques, alors ce consentement ne respectera pas les conditions imposées par le RGPD.
Un autre reproche de la CNIL concernait le dépôt d’un cookie multi-finalités sur le terminal des utilisateurs, sans consentement, alors que ce cookie poursuivait notamment un objectif publicitaire. La société s’était défendue en mettant en avant les autres finalités poursuivies par ce traceur qui ne nécessitaient pas le recueil du consentement. Mais la CNIL est restée ferme et a rappelé qu’un cookie multi-finalités nécessitait le recueil préalable du consentement, si parmi ses finalités au moins l’une d’entre elles nécessite le recueil préalable du consentement.
Pour rappel sur ce point, la directive ePrivacy, combinée à l’application du RGPD mise en lumière par les dernières lignes directrices de la CNIL, est claire sur les règles de consentement relatives à l’utilisation des cookies. Seuls les cookies strictement nécessaires au bon fonctionnement des sites peuvent être exempts du recueil du consentement :
- Ceux ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- Ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Les cookies ciblés dans la décision de la CNIL contre Microsoft ne correspondant pas à ces cas d’exception, ils ne pouvaient être déposés qu’avec le consentement de l’utilisateur.
La CNIL avait laissé un délai de trois mois à Microsoft Ireland, à défaut l’organisme aurait été sommé de payer 60 000 euros par jour de retard. Ici, le géant d’internet a joué le jeu et a su mettre en conformité bing.com dans les délais impartis. Une preuve de l’efficacité de l’action de la CNIL sur le territoire français.
Maintenant on est curieux de voir si les autres acteurs américains sanctionnés suivront cet exemple, ou s’ils continueront d’être les mauvais élèves du RGPD.
Pour aller plus loin :
Les ressources de la CNIL sur les cookies c’est par ici.