Les sanctions sont dirigées contre la filiale irlandaise de Microsoft après constat d’anomalies dans l’usage des cookies. La CNIL a relevé un manquement dans le recueil du consentement des utilisateurs sur Bing. Microsoft se sert pourtant des cookies signalés à des fins publicitaires. Les conditions dans lesquelles les internautes peuvent refuser ces traceurs ont aussi été dénoncées.
Microsoft est surveillée de près par la CNIL depuis deux ans. La firme est accusée de mener des pratiques qui vont à l’encontre de la loi Informatique et Libertés. Le litige a commencé en février 2020 avec un cookie MUID utilisé sur le moteur de recherche Bing. Ce dernier fonctionne sans le consentement des internautes d’après la CNIL. Microsoft se défend en mettant en avant son intérêt pour la sécurité des utilisateurs. Un argument qui n’a pas convaincu l’organisme régulateur. D’ailleurs, ce dernier a relevé d’autres manquements à l’occasion de ses contrôles. Il dénonce la démarche qu’utilise Microsoft pour obtenir l’accord des internautes, jugée ambiguë.
Des démarches particulièrement complexes
Microsoft reconnaît que son cookie MUID est utilisé à des fins publicitaires. Cependant, l’entreprise souligne qu’il ne s’agit pas de son unique fonction. Il protège également les utilisateurs des publicités frauduleuses et facilite la communication entre ses serveurs et les appareils des internautes. La firme américaine souligne que l’usage du MUID évite le déploiement de plusieurs cookies pour des finalités différentes. En outre, ses fonctions publicitaires ne sont activées qu’après avoir obtenu le consentement de l’utilisateur.
Ces arguments n’ont pas été admis par la CNIL (Commission nationale de l’informatique et des libertés). Une structure comme Microsoft peut dans ce cas solliciter des développeurs, qu’importe leur statut : en portage salarial ou salarié, pour y remédier. De plus, l’organisme régulateur dénote un manque de clarté dans les procédures de collecte de l’accord des internautes sur Bing. À cela s’ajoutent les difficultés que ces derniers rencontrent pour désactiver les cookies.
En effet, les utilisateurs doivent procéder au moins en deux étapes pour refuser les cookies. Ils doivent d’abord cliquer sur le bouton « Plus d’options ». Une liste de boutons préalablement décochés apparaît. Cela indique que les traceurs concernés sont désactivés. L’internaute doit les maintenir comme tels s’ils refusent l’usage des cookies. Il doit en dernier lieu cliquer sur le bouton « Enregistrer les paramètres » pour valider ses choix.
Pour la CNIL, la démarche qui permet de nier les cookies doit être aussi pratique que le processus qui autorise à les accepter. Un clic suffit dans le deuxième cas.
Des cookies actifs avant l’accord préalable des utilisateurs
De plus, le bandeau qui s’affiche s’accompagne du verbe « Désactiver » à l’infinitif. Selon la position de l’organisme régulateur, cela laisse penser à une action qui doit être entreprise. Ces accusations sont rejetées par Microsoft. L’entreprise soutient que les réglementations en vigueur ne donnent aucune précision sur la procédure à suivre. Notamment pour celle concernant la validation et le refus des cookies.
Les éléments avancés convainquent peu la CNIL. L’organisme dénonce même une utilisation abusive de la loi Informatique et Libertés. En effet, le cookie MUID s’active dès que l’internaute atterrit sur Bing et avant que ce dernier ne donne son consentement.
La CNIL rappelle ainsi qu’un cookie peut être utilisé sans le consentement des internautes uniquement pour l’authentification. Celle-ci doit avoir lieu dans le cadre de la fourniture du service. Un même cookie ne peut pas servir à la fois pour la fourniture de service et des actions publicitaires. Par ailleurs, en vue de telles finalités, demander l’accord des utilisateurs est nécessaire avant de déployer le cookie.
Les failles relevées ont valu une amende de 60 millions d’euros à Microsoft Irlande. Un autre cookie baptisé ABDEF a aussi été signalé par la CNIL. Il s’exécute également avant toute action de la part de l’internaute. Interpellée, Microsoft indique une faute d’inadvertance. L’entreprise a en outre intégré un bouton « Tout refuser » depuis mars 2022 pour rejeter les cookies.
