Lorsque l’on parle de cookies sur Internet, on n’évoque pas les délicieux gâteaux aux pépites de chocolat qu’on aime tous : on parle des petits fichiers qui s’enregistrer sur l’ordinateur d’un internaute lorsque celui-ci visite un site Internet. Depuis 2018, le Règlement général sur la protection des données (RGPD) impose aux administrateurs de sites Web d’informer leurs visiteurs concernant la présence de cookies sur leurs domaines.

L’objectif est de permettre aux internautes de savoir à quoi ils se confrontent en visitant le site : souvent, il s’agit de l’enregistrement de cookies publicitaires qui permettent d’afficher des annonces ciblées. Le visiteur peut, alors, accepter les cookies, ou bien les refuser. En théorie, c’est simple, mais en pratique, ça se complique.

Microsoft cherche à jouer avec les cookies, mais…

Le moteur de recherche Bing, propriété de Microsoft, a mis un temps non négligeable à respecter les règles du RGPD. Et la Cnil s’en est rendu compte. La Commission nationale de l’informatique et des libertés est chargée de faire respecter le règlement en France, et elle a constaté que ce n’était pas le cas de Bing en septembre 2020 et en mai 2021.

Dans un communiqué publié le 22 décembre, la Cnil explique que « lorsqu’un utilisateur se rendait sur ce site, des cookies étaient déposés sur son terminal sans consentement de sa part alors qu’ils poursuivaient, notamment, un objectif publicitaire. Elle a également constaté l’absence d’un bouton permettant de refuser le dépôt de cookies aussi facilement que de l’accepter. »

Ces deux constats vont à l’encontre du RGPD. Tout d’abord, le site doit attendre que l’internaute ait donné (ou pas) son consentement avant d’éventuellement déposer des cookies sur son ordinateur. Ensuite, les options d’acceptation et de refuse doivent être au même niveau. « Deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter », relève la Cnil, qui estime donc que dire « non » était plus complexe que dire « oui », ce qui avait pour objectif de « décourager les utilisateurs de refuser les cookies ».

Microsoft condamné à payer 60 millions d’euros

Selon le communiqué de la Cnil, il aura fallu attendre le 29 mars 2022 pour que Bing se dote d’un bouton « Tout refuser », offrant ainsi aux internautes la possibilité de refuser les cookies du moteur de recherche en bloc. Trop tard pour l’organisme, qui a donc décidé de sanctionner Microsoft.

Le montant de la sanction s’élève à 60 millions d’euros. À cela s’ajoute une demande de mise en conformité, mais elle a déjà été réalisée par Microsoft : l’entreprise américaine devrait donc s’éviter les pénalités de retard, fixées à 60 000 euros par jour, si ça n’avait pas été le cas d’ici à mars prochain. Cela n’empêchera pas Microsoft Ireland Operation Limited de devoir sortir le carnet de chèques pour payer son amende à la Cnil.