CNIL - Délibération n° SAN-2022-023 du 19 décembre 2022 concernant la société MICROSOFT IRELAND OPERATIONS LIMITED

Délibération de la formation restreinte n°SAN-2022-023 du 19 décembre 2022 concernant la société MICROSOFT IRELAND OPERATIONS LIMITED

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Christine MAUGÜÉ, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2020-128C du 8 septembre 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir du domaine " bing.com " ou portant sur des données à caractère personnel collectées à partir de ce dernier, auprès de tout organisme susceptible d’être concerné par leur mise en œuvre ;

Vu la décision n° 2020-253C du 8 septembre 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société MICROSOFT FRANCE ou pour son compte, en tout lieu susceptible d’être concerné par leur mise en œuvre ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 23 décembre 2021 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié à la société MICROSOFT IRELAND OPERATIONS LIMITED le 13 juillet 2022 ;

Vu les observations écrites versées par la société MICROSOFT IRELAND OPERATIONS LIMITED le 9 septembre 2022 ;

Vu la réponse du rapporteur à ces observations notifiée le 10 octobre 2022 au conseil de la société ;

Vu les observations écrites de la société MICROSOFT IRELAND OPERATIONS LIMITED reçues le 15 novembre 2022 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 1er décembre 2022 :

- Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société MICROSOFT IRELAND OPERATIONS LIMITED :

- […]

La société MICROSOFT IRELAND OPERATIONS LIMITED ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. La société MICROSOFT CORPORATION, société multinationale créée en 1976 dont le siège social est situé aux États-Unis, a pour activité principale le développement et la vente de systèmes d’exploitation, de logiciels applicatifs, de matériels et de services dérivés. Elle a également une activité de conseil et de support pour l’ensemble des produits MICROSOFT. Son chiffre d’affaires s’élevait à 143 milliards de dollars en 2020 et à 168 milliards de dollars en 2021. Elle employait en 2020 près de 148 000 personnes dans 120 pays.

2. La société MICROSOFT IRELAND OPERATIONS LIMITED (ci-après " MIOL "), est une filiale de la société MICROSOFT CORPORATION dont le siège social est situé 1, Microsoft Place, South County Business Park, Leopardstown à Dublin. Son activité principale est le marketing et la vente de logiciels pour la région Europe et Asie-Pacifique. Son chiffre d’affaires s’élevait, en 2020, à […] pour un bénéfice annuel de […] et à […] pour un bénéfice annuel de […] en 2021.

3. La société MIOL exploite et développe le moteur de recherche Bing dans l’Espace économique européen. Le domaine " bing.com " accessible depuis la France comptait 10 801 000 utilisateurs uniques résidant en France en septembre 2020 et le chiffre d’affaires attribuable au domaine " bing.com " en France s’est élevé à […] en 2020 et à […] en 2021.

4. La société MICROSOFT FRANCE, filiale de la société MICROSOFT CORPORATION et société sœur de la société MIOL, est une société par actions simplifiée, immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 327733184, dont le siège social est situé 37/45, quai du Président Roosevelt, Issy-les-Moulineaux (92130). Elle est spécialisée dans la distribution, la promotion et la vente de produits et services informatiques. En 2020, elle a réalisé un chiffre d’affaires de 2,2 milliards d’euros, pour un résultat net de 77,9 millions d’euros et, en 2021, de 2,6 milliards d’euros pour un résultat net de 92,4 millions d’euros.

5. À la suite d’une saisine enregistrée le 21 février 2020 dans laquelle le plaignant dénonçait les conditions de recueil de son consentement au dépôt de traceurs (" cookies ") à partir du domaine " bing.com ", une délégation de la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a effectué un contrôle en ligne sur le site web " bing.com ", le 29 septembre 2020, en application des décisions n° 2020-128C et 2020-253C du 8 septembre 2020 de la présidente de la CNIL. L’objet de ce contrôle était de vérifier la conformité de tout traitement accessible à partir du domaine " bing.com " depuis un terminal situé en France à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés ") et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le RGPD " ou " le Règlement ").

6. Le procès-verbal de constatations en ligne n° 2020-128-1, dressé à l’issue du contrôle et notifié aux sociétés MICROSOFT CORPORATION, MIOL et MICROSOFT FRANCE le 15 octobre 2020, invitait les sociétés à répondre à plusieurs questions portant notamment sur l’identification de l’entité qui détermine les finalités et les modalités de mise en œuvre des traitements de données à caractère personnel relatifs à la publicité ciblée sur les différents domaines visités lors du contrôle et accessibles à partir du domaine " bing.com ", ainsi que la finalité de chacun des cookies mentionnés dans le procès-verbal.

7. Le 13 novembre 2020, la société MICROSOFT FRANCE a transmis des éléments de réponse à la CNIL.

8. Le 4 février 2021, la société MICROSOFT FRANCE a été auditionnée et a fourni des réponses aux questions posées par la délégation, relatives notamment aux relations entre les sociétés MICROSOFT FRANCE, MICROSOFT CORPORATION et MIOL, à l’organisation de la protection des données à caractère personnel au sein de MICROSOFT et à la responsabilité des traitements de publicité ciblée liés au moteur de recherche Bing. Le 16 février 2021, la société MICROSOFT FRANCE a transmis des éléments de réponse complémentaires.

9. Le 11 mai 2021, un deuxième contrôle en ligne a été effectué par une délégation de la CNIL. Lors de ce contrôle, la délégation a suivi le parcours suivant afin d’identifier si des cookies sont déposés sur l’équipement de l’utilisateur :

- la délégation s’est rendue sur le domaine " bing.com " ;

- puis, sans cliquer sur aucun des boutons ou liens qui s’affichent sur le bandeau de gestion des cookies (intitulés " Accepter " ou " Plus d’options " ou " Déclaration de confidentialité "), elle a poursuivi sa navigation sur le moteur de recherche avant d’être bloquée par une fenêtre surgissante ;

- enfin, la délégation a cliqué sur les liens " Déclaration de confidentialité " et " Plus d’options " situés sur la fenêtre surgissante. À partir du lien " plus d’options ", la délégation a autorisé le dépôt de cookies sur son terminal en cliquant sur le bouton " Autoriser tout ".

10. La délégation de contrôle a demandé aux sociétés MICROSOFT FRANCE, MICROSOFT CORPORATION et MIOL, dans le cadre du procès-verbal de constatations en ligne dressé à l’issue du contrôle, des précisions complémentaires sur les finalités de chacun des cookies mentionnés dans ledit procès-verbal et des explications quant au déclenchement de la finalité publicitaire du cookie " MUID ".

11. Les 12 juillet et 31 août 2021, sur la base d’informations fournies par la société MIOL, la société MICROSOFT FRANCE a communiqué des éléments de réponse complémentaires aux demandes formulées par la délégation.

12. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 23 décembre 2021, désigné Monsieur François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019.

13. Le 30 mars 2022, le conseil de la société MIOL a communiqué à la CNIL un procès-verbal d’huissier du 29 mars 2022 constatant la mise à jour du bandeau relatif aux cookies.

14. Le 13 juillet 2022, le rapporteur a fait notifier à la société MIOL un rapport détaillant le manquement à l’article 82 de la loi Informatique et Libertés qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société, ainsi qu’une injonction, assortie d’une astreinte, de cesser de déposer le cookie " MUID " soumis au recueil du consentement des personnes résidant en France lors de l’arrivée sur le site web " bing.com ", avant même qu’elles n’aient eu la possibilité d’effectuer un choix quant aux opérations d’accès ou d’inscription d’informations dans leur terminal. Il proposait également que la décision de sanction soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication

15. Le 9 septembre 2022, la société a produit ses observations en réponse au rapport de sanction.

16. Le 22 septembre 2022, le conseil de la société MIOL a adressé un courrier à la CNIL, démontrant la mise à jour du centre de gestion des préférences du bandeau cookie du site web " bing.com ".

17. Le rapporteur a répondu aux observations de la société le 10 octobre 2022.

18. Le 15 novembre 2022, la société a produit de nouvelles observations en réponse à celles du rapporteur.

19. Par courrier du 16 novembre 2022, le rapporteur a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n°2019-536 du 29 mai 2019.

20. Par courrier du 16 novembre 2022, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 1er décembre 2022.

21. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

22. Les traitements objets de la présente procédure, relatifs au dépôt de cookies et traceurs sur le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Bing, sont effectués dans le cadre de la fourniture de services de communications électroniques accessibles au public par le biais d’un réseau public de communications électroniques proposés au sein de l’Union européenne. À ce titre, ils entrent dans le champ d’application matériel de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009 (ci-après la directive " ePrivacy ").

23. L’article 5, paragraphe 3, de cette directive, relatif au stockage ou à l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, a été transposé en droit interne à l’article 82 de la loi Informatique et Libertés, au sein du chapitre IV de la loi relatif aux Droits et obligations propres aux traitements dans le secteur des communications électroniques.

24. Aux termes de l’article 16 de la loi Informatique et Libertés, " la formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant […] de la présente loi ". Au titre de l’article 20, paragraphe III, de cette même loi, " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant […] de la présente loi, le président de la Commission nationale de l’informatique et des libertés […] peut saisir la formation restreinte ".

25. Le rapporteur considère que la CNIL est matériellement compétente pour contrôler et sanctionner les opérations d’accès ou d’inscription d’informations mises en œuvre par la société dans les terminaux des utilisateurs du domaine " bing.com " résidant en France.

26. En défense, la société n’a pas fait d’observations sur la compétence de la CNIL

27. La formation restreinte rappelle que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le RGPD ") n’est pas applicable : " il n’a pas été prévu l’application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] " (CE, 10ème et 9ème chambres réunies, 28 janvier 2022, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, pt. 12). Le Conseil d’État a très récemment réaffirmé cette position dans un arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423).

28. Dès lors, la formation restreinte considère que la CNIL est compétente pour engager une procédure de sanction concernant les traitements mis en œuvre par la société relevant du champ d’application de la directive " ePrivacy ", sous réserve que le traitement se rattache à sa compétence territoriale.

29. La règle d’application territoriale des exigences fixées à l’article 82 de la loi Informatique et Libertés est précisée à l’article 3, paragraphe I, de la même loi qui dispose : " sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement […] sur le territoire français, que le traitement ait lieu ou non en France ".

30. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement, objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de la navigation sur le site web " bing.com ", est effectué dans le " cadre des activités " de la société MICROSOFT FRANCE, qui constitue " l’établissement " sur le territoire français de la société MIOL.

31. En défense, la société n’a pas fait d’observations sur ce point.

32. En premier lieu, s’agissant de l’existence d’un établissement du responsable de traitement sur le territoire français, la formation restreinte rappelle que la Cour de justice de l’Union européenne (ci-après la " CJUE ") a considéré de façon constante que la notion d’établissement devait être appréciée de façon souple et qu’à cette fin, il convenait d’évaluer tant le degré de stabilité de l’installation que la réalité de l’exercice des activités dans un autre État membre, en tenant compte de la nature spécifique des activités économiques et des prestations de services en question (voir, par exemple, CJUE, Weltimmo, 1er oct. 2015, C 230/14, pts. 30 et 31). La CJUE estime en outre qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).

33. En l’occurrence, la formation restreinte relève, tout d’abord, que la société MICROSOFT FRANCE, est le siège de la filiale française de la société MICROSOFT CORPORATION. Elle note l’existence d’un programme intitulé " Resident Guest Employee ", permettant qu’une personne travaillant dans une autre entité que MICROSOFT CORPORATION soit contractuellement employée par l’entité locale mais dépende, hiérarchiquement et dans les tâches qu’elle effectue, d’une autre entité du groupe MICROSOFT. La société MICROSOFT FRANCE a précisé qu’en l’espèce, plusieurs personnes de l’équipe en charge de la gestion de la publicité du moteur de recherche Bing, à savoir l’équipe Microsoft Advertising qui dépend de la société MIOL, sont des salariés de la société MICROSOFT FRANCE et s’occupent du marché français.

34. En second lieu, s’agissant de l’existence d’un traitement effectué " dans le cadre des activités " de cet établissement, la formation restreinte relève que, dans sa décision AMAZON EUROPE CORE du 27 juin 2022, le Conseil d’État a rappelé qu’" il résulte de la jurisprudence de la Cour de justice de l’Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par cette directive [la directive " e-Privacy "], consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site " (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, pt. 10). Le Conseil d’État a considéré dans cette même décision que tel était le cas lorsque les activités de l’établissement du responsable de traitement consistent en la promotion et la commercialisation d’outils publicitaires contrôlés et exploités par le responsable de traitement fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site exploité par le responsable de traitement (pt. 15 de la décision précitée).

35. En l’espèce, la formation restreinte note que les opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs situés en France, lors de l’utilisation du moteur de recherche Bing, sont intrinsèquement liées aux activités de la société MICROSOFT FRANCE. En effet, la société MIOL exploite et développe dans l’Espace économique européen (EEE) le moteur de recherche Bing, sur lequel des espaces publicitaires sont achetés par des annonceurs, la promotion de ces outils publicitaires étant assurés, pour le marché français, par une partie de l’équipe Microsoft Advertising.

36. Ainsi, le traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Bing, est bien effectué " dans le cadre des activités " de la société MICROSOFT FRANCE. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis.

37. Il en résulte que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive " ePrivacy ".

38. La formation restreinte relève, tout d’abord, que l’article 4, paragraphe 7, du RGPD est applicable à la présente procédure en raison du recours à la notion de " responsable de traitement " dans l’article 82 de la loi Informatique et Libertés, lequel est justifié par le renvoi opéré par l’article 2 de la directive " ePrivacy " à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD.

39. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".

40. Le rapporteur considère que la société MIOL agit en qualité de responsable du traitement en cause, en ce qu’elle détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Bing.

41. La société n’a pas fait valoir d’observations sur ce point.

42. La formation restreinte souligne que, dans son courrier du 13 novembre 2020, la société MICROSOFT FRANCE, qui communique " sur la base des informations qui [lui] ont été communiquées par Microsoft Ireland Operations Limited ", faisait état du rôle de MIOL en tant que responsable du traitement des données effectué à partir du domaine " bing.com " pour les utilisateurs de l’EEE, du Royaume-Uni et de la Suisse et précisait que MIOL exerçait une influence décisive sur les finalités et les modalités de mise en œuvre des traitements et notamment les traitements relatifs à la publicité ciblée. La formation restreinte relève enfin que ces propos ont été confirmés par la société MICROSOFT FRANCE lors de l’audition du 4 février 2021.

43. Il résulte de ce qui précède que la société MIOL détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Bing, et agit donc en qualité de responsable du traitement en cause.

44. Aux termes de l’article 82 de la loi Informatique et Libertés, transposant l’article 5, paragraphe 3, de la directive " ePrivacy ", " tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ".

a. En ce qui concerne le dépôt d’un cookie sur le terminal de l’utilisateur avant toute action de sa part, sans recueil de son consentement

45. Dans son rapport, le rapporteur relève que les contrôles effectués ont permis de constater que dès l’arrivée sur le site bing.com, avant toute action de la part de l’utilisateur, le cookie " MUID " était déposé sur le terminal de l’utilisateur. D’après les informations communiquées par MIOL dans le cadre de la procédure de contrôle, il s’agit d’un cookie multi-finalités utilisé pour assurer la sécurité du service, pour mesurer l’utilisation du site web et pour la présentation de publicités. La société a indiqué qu’un mécanisme de recueil du consentement permettait de déclencher les finalités publicitaires de ce cookie. La société précisait néanmoins que lorsque la finalité publicitaire de ce cookie n’était pas activée, il était utilisé pour la détection et le filtrage des fraudes publicitaires concernant les publicités non ciblées. Le rapporteur relève que les cookies relatifs à la détection et au filtrage des fraudes publicitaires s’inscrivent dans la finalité plus large de la publicité contextuelle qui recouvre l’ensemble des techniques publicitaires consistant à proposer des contenus publicitaires en fonction du contexte dans lequel se trouve l’individu exposé au message. Il considère que ces cookies n’ont donc pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peuvent pas non plus être regardés comme strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Le rapporteur considère ainsi que la société MIOL méconnaît les obligations de l’article 82 de la loi " Informatique et Libertés " en déposant ce cookie sans le consentement de l’utilisateur.

46. En défense, la société explique que le cookie " MUID " est un cookie multi-finalités, utilisé à des fins essentielles et non essentielles pour éviter d’utiliser plusieurs cookies chacun pour une finalité, afin de réduire le nombre de lectures et écritures d’informations entre le terminal de l’utilisateur et " bing.com ". La société indique que seules les finalités essentielles sont activées avant que l’utilisateur donne son consentement. La société fait valoir qu’elle considère comme des finalités essentielles à la fonctionnalité de " bing.com " : les finalités de lutte contre la fraude, y compris la fraude publicitaire, de sécurité telles que la prévention des attaques par déni de service, de détection des logiciels malveillants et de lutte contre la désinformation. La société soutient que ces finalités indissociables sont strictement nécessaires à la fourniture des services " bing.com " tels que demandés par l’utilisateur. La société précise qu’en l’absence de consentement de l’utilisateur, la seule finalité publicitaire pour laquelle le cookie " MUID " est utilisé est la publicité non ciblée dans le cadre de la lutte contre la fraude publicitaire.

47. Dans sa réponse, le rapporteur rappelle que, lorsque la finalité publicitaire du cookie " MUID " n’était pas activée, ce cookie était néanmoins utilisé pour la détection et le filtrage des fraudes publicitaires concernant les publicités non ciblées. Il considère donc que le dépôt de ce cookie nécessite de recueillir au préalable le consentement de l’utilisateur pour cette finalité. En outre, le rapporteur précise, en réponse à l’argumentation de la société considérant la finalité de lutte contre la fraude au sens large comme une finalité essentielle exemptée de consentement, que seule la finalité de lutte contre les attaques en déni de service pourrait être exemptée de consentement. Le rapporteur relève que les autres finalités évoquées ne relèvent pas du champ des exemptions prévues par l’article 82 de la loi Informatique et Libertés puisqu’elles n’ont pas vocation à faciliter une communication électronique et ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.

48. La société, dans ses dernières observations, soutient que les finalités de détection des maliciels et de lutte contre la désinformation, et la fraude publicitaire sont strictement nécessaires à la fourniture du service " bing.com ", service qui produit des résultats de recherche pertinents, fiables et sûrs. La société soutient que le terme service doit être interprété en référence aux attentes légitimes d’un utilisateur, ainsi qu’aux obligations légales du fournisseur, concernant l’intégrité, la qualité et la sécurité. Elle soutient qu’en tout état de cause, une fois que le cookie " MUID " est placé sur le terminal de l’utilisateur pour une finalité essentielle, l’article 82 de la loi Informatique et Libertés ne s’applique pas aux utilisations ultérieures par la société des données à caractère personnel stockées dans le cookie. En ce sens, la société conclut que la lutte contre la désinformation, la fraude, les spams et les abus est compatible avec la prévention des attaques par déni de service, la cybercriminalité, l’équilibrage de la charge et la continuité de session à session au regard de l’article 6, paragraphe 4, du RGPD. La société soutient également que dans ce cas, la conformité aux exigences du RGPD serait alors supervisée par la Data Protection Commission, l’autorité de protection irlandaise, dans le cadre du guichet unique prévu par le RGPD, et non pas par la CNIL.

49. En premier lieu, s’agissant des cookies et autres traceurs multi-finalités, la formation restreinte rappelle que l’article 82 de la loi Informatique et Libertés exige un consentement aux opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur mais prévoit des cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque celui-ci a pour finalité exclusive de permettre ou faciliter la communication par voie électronique soit lorsqu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La formation restreinte relève à titre illustratif que la Commission précise, dans ses lignes directrices du 17 septembre 2020, que " l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices. À titre d’exemple, dans le cas d’un service offert via une plate-forme nécessitant l’authentification des usagers (" univers logué "), l’éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si ces derniers ont effectivement consenti préalablement à cette finalité spécifique ".

50. La formation restreinte considère ainsi que, si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l’une des deux exemptions prévues à l’article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l’utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal, contrairement à ce que soutient la société. En effet, la formation restreinte relève que déposer un cookie multi-finalités sur le terminal de l’utilisateur pour des finalités essentielles exemptes du recueil du consentement au titre des exemptions prévues à l’article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de la loi Informatique et Libertés puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

S’agissant de l’indissociabilité des finalités invoquée par la société, la formation restreinte rappelle que le recours à un traceur multi-finalités est une souplesse laissée au responsable de traitement pour ne pas surcharger le terminal de l’utilisateur d’une multitude de traceurs correspondant chacun à une finalité particulière.

51. En second lieu, la formation restreinte considère qu’afin de déterminer si l’inscription d’un cookie multi-finalités, tel que le cookie " MUID ", sur le terminal des utilisateurs nécessite le recueil préalable de leur consentement, il convient de déterminer si parmi les finalités annoncées par la société, au moins l’une d’entre elles nécessite le recueil préalable du consentement.

52. En l’espèce, la formation restreinte note que le cookie " MUID " a notamment pour finalité la lutte contre la fraude publicitaire, comprise comme l’ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par la société MIOL, que cette fraude soit opérée au détriment de la société MIOL ou de ses partenaires publicitaires. Elle considère que cette finalité s’inscrit dans celle plus large de la publicité contextuelle qui recouvre l’ensemble des techniques publicitaires consistant à proposer des contenus publicitaires en fonction du contexte dans lequel se trouve l’individu exposé au message. La formation restreinte estime que cette finalité concerne la diffusion publicitaire, au bénéfice de MIOL et de ses clients annonceurs, mais n’impacte pas la fourniture du service du moteur de recherche aux utilisateurs. Elle relève que la société opère une confusion entre la diffusion de contenus malveillants par les services de publicité du moteur de recherche, qui relève de la gestion interne de la société, et la détection de la fraude opérée par des bots, qui permet de lutter contre la création artificielle de clics sur des contenus publicitaires ou des liens d’affiliations afin d’éviter que des robots fassent augmenter artificiellement le nombre de vues d’une publicité, et qui est désignée comme étant la lutte contre la fraude publicitaire.

53. La formation restreinte considère que les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions précitées, dès lors notamment que la publicité n’est pas le service demandé par l’utilisateur, et nécessitent le consentement de l’utilisateur. La formation restreinte rappelle que cette position n’est pas nouvelle puisqu’elle est soutenue par la CNIL depuis le 18 mars 2021 dans la FAQ " Questions-réponses sur les lignes directrices modificatives et la recommandation " cookie et autres traceurs " publiée sur son site web. La formation restreinte rappelle que cet instrument de droit souple indique précisément que les cookies de lutte contre la fraude publicitaire n’ont pas vocation à faciliter une communication électronique et ne sont pas non plus strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.

54. Compte tenu de de ces éléments et sans qu’il soit besoin de se prononcer sur les autres finalités invoquées par la société, la formation restreinte considère que le dépôt et la lecture d’un cookie multi-finalités tel que le cookie " MUID " sur le terminal de l’utilisateur, à tout le moins pour la finalité de lutte contre la fraude publicitaire telle que définie aux paragraphes 52 et 53, nécessitent que l’utilisateur donne son consentement préalable, dans les conditions prévues par l’article 82 de la loi Informatique et Libertés, telles qu’éclairées par l’article 4, paragraphe 11, du RGPD.

55. La formation restreinte considère ainsi qu’en permettant, au jour du contrôle en ligne du 11 mai 2021, le dépôt et la lecture de ce cookie sur le terminal de l’utilisateur lors de son arrivée sur le site " bing.com " sans recueillir préalablement son consentement, la société MIOL a méconnu les obligations de l’article 82 de la loi Informatique et Libertés.

b. En ce qui concerne le dépôt d’un cookie sur le terminal de l’utilisateur après navigation sans recueil de son consentement

56. Le rapporteur relève que le contrôle en ligne du 11 mai 2021 a permis de constater que le cookie " ABDEF " était déposé sur le terminal de l’utilisateur après la poursuite de la navigation, sans que le consentement de l’utilisateur ait été recueilli. D’après les informations communiquées par la société dans le cadre de la procédure de contrôle, le cookie " ABDEF " a une finalité publicitaire. Le rapporteur a donc considéré que la société MIOL méconnaissait les obligations de l’article 82 de la loi " Informatique et Libertés " en déposant ce cookie, sans le consentement de l’utilisateur, alors que les cookies et autres traceurs à finalité publicitaire ne font pas partie des cookies exemptés de consentement au titre de l’article précité. Par ailleurs, le rapporteur a pris acte que, postérieurement au contrôle en ligne, la société a indiqué que ce cookie avait été ajouté par inadvertance et qu’elle rectifierait cette erreur avant le 30 juillet 2021 en ne le plaçant qu’après avoir obtenu le consentement des utilisateurs.

57. En défense, la société indique qu’elle avait mal catégorisé le cookie " ABDEF " en raison d’une simple inadvertance humaine et que ce dernier n’a été placé que pendant une courte période puisque, depuis le 30 juillet 2021, ce cookie est désormais soumis au recueil du consentement des utilisateurs. La société invoque un " droit à l’erreur " et explique avoir agi de parfaite bonne foi puisqu’elle aurait elle-même indiqué son erreur à la CNIL en déclarant en toute transparence, par un courrier en date du 12 juillet 2021, que ce cookie avait été ajouté par inadvertance au site.

58. La formation restreinte relève que le courrier du 12 juillet 2021 par lequel la société a reconnu avoir mal catégorisé le cookie " ABDEF " est une réponse à la question posée par la délégation de contrôle dans le cadre du procès-verbal dressé à l’issue du contrôle en ligne du 11 mai 2021, " Préciser les finalités des cookies dont le dépôt a pu être constaté dans le PV n° 2020-128/3 du 11 mai 2021 ". La formation restreinte considère que, si le dépôt du cookie " ABDEF " sans recueillir le consentement de l’utilisateur n’était pas intentionnel, il résultait néanmoins d’une erreur grossière de la part de la société qui n’a pas contesté la finalité publicitaire dudit cookie. En outre, ce n’est qu’à la suite du contrôle diligenté par la Commission que MIOL a constaté son erreur et y a mis fin.

59. La formation restreinte considère qu’en permettant, au jour du contrôle en ligne du 11 mai 2021, le dépôt et la lecture du cookie " ABDEF " sur le terminal de l’utilisateur après navigation sur le site " bing.com " sans recueillir préalablement son consentement, la société MIOL a méconnu les obligations de l’article 82 de la loi " Informatique et Libertés ", les cookies et autres traceurs à finalité publicitaire ne faisant pas partie des cookies exemptés de consentement au titre de l’article précité.

60. En droit, la directive " ePrivacy " prévoit en son article 2, f), que le consentement d’un utilisateur ou d’un abonné correspond au consentement de la personne concernée figurant dans la directive 95/46/CE, à laquelle s’est substitué le RGPD.

61. Ainsi, depuis l’entrée en application du RGPD, le " consentement " prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11, du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

62. À cet égard, le considérant 42 de ce Règlement prévoit que " le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ".

63. La CNIL considère qu’il résulte de ces dispositions combinées, ainsi qu’elle les a interprétées dans sa délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et/ou d’écriture dans le terminal d’un utilisateur (notamment aux " cookies et autres traceurs ") et n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux " cookies et autres traceurs ", qu’il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner. La formation restreinte rappelle que si ces instruments n’ont certes pas de caractère impératif, ils visent à interpréter les dispositions législatives applicables et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect des dispositions légales, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent. En ce sens, il est précisé dans les lignes directrices que celles-ci " ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations […] dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion ". Dès lors, la formation restreinte rappelle qu’elle retient un manquement aux obligations découlant de l’article 82 de la loi Informatique et Libertés et non du non-respect des recommandations qui constituent un éclairage pertinent pour éclairer les obligations prévues par les législateurs européen et français, en tirant notamment toutes les conséquences du principe de liberté du consentement tel que défini à l’article 4, paragraphe 11, du RGPD, et en les appliquant aux hypothèses de l’acceptation et du refus par l’utilisateur au dépôt de cookies sur son terminal. En effet, ce principe de liberté du consentement implique que l’utilisateur bénéficie d’une " véritable liberté de choix ", comme souligné au considérant 42 du RGPD, et donc que les modalités qui lui sont proposées pour manifester ce choix ne soient pas biaisées en faveur du consentement.

64. S’agissant des modalités de refus possibles, dans cette même recommandation, la Commission a préconisé " fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement. En effet, elle estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour " paramétrer " un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement.

Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement " tout accepter " et " tout refuser ", " autoriser " et " interdire ", ou " consentir " et " ne pas consentir ", ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement ".

65. Le rapporteur a relevé qu’au jour du contrôle en ligne du 11 mai 2021, si le bandeau affiché sur le site web " bing.com " contenait un bouton permettant d’accepter immédiatement les cookies, aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser, facilement et en un seul clic, le dépôt de ces cookies. Il devait effectuer au moins deux actions (effectuer un premier clic sur " Plus d’options ", laisser les boutons glissants pré-cochés sur " Désactiver " par défaut, puis effectuer un clic sur " Enregistrer les paramètres ") pour refuser les cookies contre une seule action pour les accepter. Un tel mécanisme ne présentait donc pas, selon le rapporteur, la même facilité que celle permettant d’exprimer son consentement, en méconnaissance des exigences légales de liberté du consentement, qui impliquent de ne pas inciter l’internaute à accepter les cookies plutôt qu’à les refuser. Le rapporteur constate également qu’avant la modification des termes dans le centre de gestion des préférences effectuée le 22 septembre 2022, la présentation de la fenêtre permettant à l’utilisateur de refuser les cookies pouvait être ambigüe en raison de l’utilisation de l’infinitif – " Désactiver " – qui sous-entend en principe qu’une action doit être menée. Le rapporteur a donc considéré que les conditions de recueil du consentement mises en œuvre par la société MIOL sur le site web " bing.com " n’étaient pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés telles qu’éclairées par l’article 4, paragraphe 11, du RGPD sur la liberté du consentement, au moment du contrôle en ligne du 11 mai 2021 et jusqu’au 29 mars 2022, date à laquelle la société a mis en place un bouton " Tout refuser ".

66. En défense, la société fait valoir que ni la directive " ePrivacy ", ni sa transposition en droit français à l’article 82 de la loi " Informatique et Libertés ", ni le RGPD, ne prévoient la règle selon laquelle il doit être aussi facile de refuser les cookies que de les accepter. Elle avance que la recommandation de la CNIL du 17 septembre 2020 n’a pas valeur contraignante. La société considère à ce titre que la CNIL accepte la présentation d’un bouton moins aisément accessible ou moins visible pour refuser l’inscription des cookies. La société soutient que l’importance des délais de mise en œuvre, des tests et les conséquences techniques et commerciales sur l’activité de son moteur de recherche justifiaient qu’elle attende la décision finale du Conseil d’État pour éviter une énième modification de son bandeau cookies.

67. La société explique également, qu’avant la mise en place de ce bouton " Tout refuser ", elle se fondait sur un centre de gestion des préférences et un consentement explicite de ses utilisateurs pour l’utilisation de cookies non essentiels et qu’aucun cookie non essentiel n’était placé sur le terminal des utilisateurs avant qu’ils ne cliquent sur le bouton " Accepter ". Elle considère ainsi que l’utilisateur refusait de consentir aux cookies non essentiels lorsqu’il s’abstenait de cliquer sur le bouton " Accepter " et qu’il poursuivait sa navigation ou en cliquant sur " Enregistrer les paramètres " après s’être rendu sur le centre de gestion des préférences en cliquant sur " Plus d’options ", et qu’il était ainsi aussi facile de refuser que de consentir aux opérations de lecture et/ou d’écriture. MIOL considère donc que l’utilisateur pouvait accepter ou refuser le dépôt de cookies de manière très simple et à chaque fois selon deux modalités, lui assurant ainsi un choix libre.

68. En premier lieu, la formation restreinte relève que, si la société MIOL fait aujourd’hui valoir que l’absence de choix exprimé par l’utilisateur avait pour effet de n’inscrire aucun cookie non essentiel sur son terminal, le bandeau d’information affiché à l’utilisateur ne contenait aucune information en ce sens.

69. La formation restreinte considère, ainsi que la Commission l’a rappelé dans ses lignes directrices précitées, que si le refus de l’utilisateur de consentir aux cookies peut se déduire de son silence, c’est à la condition que l’utilisateur en soit pleinement informé. A défaut, l’équilibre entre les modalités d’acceptation et de refus n’est pas respecté. Or, tel n’était pas le cas en l’espèce : en visualisant le bandeau, l’utilisateur n’était pas informé des moyens dont il disposait pour ne pas consentir de manière simple aux cookies.

70. La formation restreinte estime au contraire qu’il n’était pas intuitif pour l’utilisateur de considérer qu’en continuant à naviguer sans effectuer d’action sur le bandeau cookies, aucun cookie ne serait déposé. Elle relève par ailleurs que, si une telle navigation sans action sur le bandeau était effectivement possible, ainsi que la délégation de contrôle l’a constaté lors du contrôle en ligne effectué le 11 mai 2021, un choix était imposé concernant le dépôt de cookie après trois recherches à partir du moteur de recherche, par le biais d’une fenêtre surgissante présentant un bouton " Accepter " et un bouton " Plus d’options ". Dès lors, le choix le plus simple pour un internaute était l’acceptation des cookies via le bouton " Accepter ". Ainsi, la formation restreinte considère qu’en l’absence d’information sur les conséquences de son inaction, l’utilisateur souhaitant refuser les cookies était fortement incité à cliquer sur le bouton " Plus d’options " puis à effectuer les deux actions décrites ci-avant.

71. De surcroît, la formation restreinte relève le caractère peu explicite du bouton " Plus d’options " proposé dans le cadre de la première fenêtre, qui ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies ainsi que l’ambiguïté de l’utilisation de l’infinitif " Désactiver " dans le cadre de la deuxième fenêtre, pouvant amener l’utilisateur à penser que les cookies étaient par défaut autorisés. Elle estime que le fait que les cookies n’étaient pas déposés est sans incidence sur la confusion générée par le parcours informationnel qui pouvait donner à l’utilisateur le sentiment qu’il n’était pas possible de refuser le dépôt de cookies et qu’il ne disposait pas de modalités de contrôle à cet égard ou encore à se tromper lors de la désactivation de ces cookies.

72. En second lieu, la formation restreinte note qu’il ressort de plusieurs études que les organismes ayant mis en place un bouton " Tout refuser " sur l’interface de recueil du consentement au premier niveau ont vu le taux de consentement relatif à l’acceptation des cookies diminuer. Ainsi, selon le " baromètre Privacy – édition 2021 " publié par la société COMMANDERS ACT, le taux de consentement sur ordinateur est passé de 70% à 55% en avril-mai 2021, depuis que la collecte du consentement est explicite. De même, selon une étude 366-Kantar, il apparaît que 41% des internautes en France ont refusé, systématiquement ou partiellement, le dépôt de cookies en juin 2021.

73. La formation restreinte estime en outre que le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton " Accepter ". En effet, un utilisateur d’Internet est généralement conduit à consulter de nombreux sites. La navigation sur Internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur " Plus d’options " et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Il n’est pas contesté qu’en l’espèce, la société offrait un choix entre l’acceptation ou le refus des cookies avant l’insertion du bouton " Tout refuser ", mais les modalités par lesquelles ce refus pouvait être exprimé, dans le contexte de la navigation sur internet, biaisait l’expression du choix en faveur du consentement de façon à altérer la liberté de choix.

74. Au regard de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où, au moment du contrôle en ligne du 11 mai 2021 et jusqu’à la mise en place d’un bouton " Tout refuser " le 29 mars 2022, l’utilisateur n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter.

75. Aux termes de l’article 20, III, de la loi du 6 janvier 1978 modifiée, " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : […]

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]

7° A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. […] La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83 ".

76. L’article 83 du RGPD prévoit quant à lui que " chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

77. La société considère que l’amende administrative proposée est disproportionnée par rapport aux manquement allégués et à sa conduite, à la position fragile de " bing.com " sur le marché des moteurs de recherche dominé par un seul acteur, au rôle essentiel que " bing.com " joue en offrant une alternative aux utilisateurs français et à la faible proportion par laquelle " bing.com " contribue à ses résultats financiers.

78. La formation restreinte rappelle que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement ou à 10 millions d’euros. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.

79. En premier lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées par ce dernier.

80. La formation restreinte relève qu’en ne respectant pas les exigences de l’article 82 de la loi Informatique et Libertés, la société prive les utilisateurs du moteur de recherche " bing.com " résidant en France de la possibilité de choisir des modalités préservant la confidentialité de leurs données et des modalités permettant une meilleure personnalisation du service qui leur est proposé, réduisant ainsi leur autonomie informationnelle. Par ailleurs, l’absence de consentement préalable au dépôt de cookies dès l’arrivée des utilisateurs résidant en France sur le site web " bing.com " et lors de leur navigation sur ce dernier, constitue une atteinte substantielle au droit au respect à la vie privée des personnes concernées. Enfin, le déséquilibre entre les modalités offertes à l’utilisateur pour accepter ou refuser le dépôt de cookies sur son terminal ne lui permet pas de bénéficier d’une véritable liberté de choix.

81. La formation restreinte relève également le caractère massif du traitement. Elle rappelle que la société a indiqué que le moteur de recherche Bing comptabilisait près de 11 millions de visiteurs uniques en France pour le mois de septembre 2020, soit un sixième de la population française. Le nombre de personnes concernées par les traitements en cause est ainsi conséquent à l’échelle de la population française.

82. En outre, la formation restreinte note qu’il ressort d’informations publiquement disponibles que le moteur de recherche Bing est le premier concurrent de celui proposé par Google, bien qu’il ne représente que 5% des parts de marché en nombre moyen mensuel de requête. La formation restreinte relève également que le moteur de recherche " bing.com " est utilisé par défaut pour les requêtes effectuées au sein des systèmes d’exploitation Windows. La formation restreinte relève que, de fait, la base d’utilisateurs du moteur de recherche est étendue au-delà du seul segment des logiciels de navigation web.

83. En deuxième lieu, la formation restreinte estime qu’il convient de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du Règlement relatif aux avantages financiers obtenus du fait du manquement et à toute autre circonstance.

84. La formation restreinte rappelle que le dépôt du cookie " MUID " sur le terminal des utilisateurs en France, avant toute action de leur part et sans leur consentement pour des finalités de lutte contre la fraude publicitaire relève de la publicité contextuelle. La formation restreinte relève également que le dépôt du cookie " ABDEF " sur le terminal des utilisateurs en France, après navigation et sans leur consentement ainsi que l’absence de moyen analogue de refuser les cookies que de les accepter, ont des conséquences directes sur l’usage des cookies pour des finalités non essentielles qui relèvent de la publicité personnalisée.

85. À cet égard, la formation restreinte relève que les clients de l’équipe Microsoft Advertising pour le public français, tels que […] achètent des espaces publicitaires sur le moteur de recherche Bing et collaborent avec l’équipe Microsoft Advertising afin de cibler les publics locaux et ainsi proposer les publicités les plus pertinentes. La formation restreinte relève que l’affichage de publicités personnalisées à un internaute n’est possible que si la navigation de ce dernier a pu être tracée grâce à un traceur, afin de déterminer quel contenu serait le plus pertinent à afficher. En outre, la formation restreinte souligne qu’il ressort des études évoquées ci-avant que les sociétés qui ont mis en place un bouton " Tout refuser " sur l’interface de recueil du consentement ont vu le taux de consentement relatif à l’acceptation des cookies diminuer, puisqu’une part importante des internautes refusent complètement ou partiellement les cookies et autres traceurs, ce qui a nécessairement un impact en termes de revenus liés à la publicité en ligne. Ainsi, la formation restreinte considère que le traitement en cause effectué par la société MIOL – consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Bing, sans mise en œuvre d’un mécanisme de refus du consentement aussi facile que celui d’accepter les cookies jusqu’à mars 2022 – participe à ce titre à générer un revenu publicitaire en France, au bénéfice de l’activité de la société.

86. Bien que le placement de cookies à des fins publicitaires ne constitue pas la source principale de revenus pour la société qui indique tirer l’essentiel de ses bénéfices de la revente de matériel, de la commercialisation et la concession de licences et de la distribution de logiciels, la formation restreinte relève que les revenus publicitaires facturés relatifs au domaine " bing.com " et réalisés en France, qui sont passés de […] en 2020 à […] en 2021, présentent une augmentation de […] %.

87. La formation restreinte relève également que les comptes de Microsoft Corporation et de ses filiales qui sont publiquement disponibles démontrent que la publicité constitue l’un des modèles économiques majeurs du groupe Microsoft. Le rapport annuel 2021 du groupe mentionne ainsi que sa marge brute a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité.

88. Par ailleurs, la formation restreinte rappelle le contexte dans lequel la société MIOL a choisi de ne pas offrir à ses utilisateurs, sur le moteur de recherche " bing.com ", de faculté de refuser aisément les cookies jusqu’en mars 2022. En effet, la CNIL a mis en œuvre un plan de mise en conformité sur la question des cookies étalé sur plusieurs années. La CNIL a communiqué publiquement sur son site web, à plusieurs reprises, sur le fait qu’il doit être aussi facile pour l’internaute de refuser les cookies que de les accepter. Ce fut le cas notamment le 1er octobre 2020, à l’occasion de la publication des lignes directrices et de la recommandation du 17 septembre 2020 précitées. La mise en conformité devait avoir lieu pour le 1er avril 2021. Des centaines de milliers d’acteurs, des plus petits sites aux plus importants, se sont mis en conformité et ont introduit sur leur interface de recueil du consentement un bouton " Refuser " ou " Continuer sans accepter ".

89. La formation restreinte note également qu’avant le contrôle en ligne du 11 mai 2021, un premier contrôle en ligne avait été réalisé par la délégation le 29 septembre 2020, et qu’une audition de la société MICROSOFT FRANCE avait été organisée le 4 février 2021 avec la délégation. En ce sens, la formation restreinte relève que la société MIOL était prévenue qu’une mise en conformité du moteur de recherche était attendue par la CNIL, que des cookies étaient déposés alors qu’un consentement était nécessaire et qu’elle disposait du temps nécessaire notamment pour mettre en place un moyen conforme de recueillir le consentement des utilisateurs.

90. La formation restreinte relève pourtant que ce n’est que le 29 mars 2022 que la société a choisi d’insérer un bouton " Tout refuser ", suite à la désignation d’un rapporteur par la présidente de la Commission.

91. En dernier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi Informatique et Libertés, la société MIOL encourt une sanction financière d’un montant maximum de 2% de son chiffre d’affaires ou de 10 millions d’euros, le montant le plus élevé étant retenu. Compte tenu du chiffre d’affaires de la société s’élevant à […] en 2021, le montant maximal de l’amende encourue en l’espèce s’élève donc à plus de […].

92. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de soixante millions d’euros à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED apparaît justifiée.

93. Le rapporteur a proposé à la formation restreinte, dans son rapport initial, de prononcer une injonction de mise en conformité relative aux conditions dans lesquelles le cookie " MUID " est déposé sur le terminal des utilisateurs, assortie d’une astreinte d’un montant de soixante mille euros par jour de retard et liquidable à l’issue d’un délai de trois mois.

94. La société soutient que le prononcé d’une injonction n’est pas nécessaire.

95. En premier lieu, la formation restreinte relève que la société MIOL continue de déposer sur le terminal de l’utilisateur résidant en France, avant toute action, le cookie multi-finalités " MUID " qui nécessite le recueil du consentement, en tant qu’il sert à la finalité de lutte contre la fraude publicitaire. Elle estime dès lors nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec les obligations applicables en la matière.

96. En second lieu, la formation restreinte rappelle que le montant de l’astreinte doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement.

97. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une injonction assortie d’une astreinte d’un montant de soixante mille euros par jour de retard et liquidable à l’issue d’un délai de trois mois.

98. La société conteste la proposition du rapporteur de rendre publique la présente décision. Elle considère que la publication de la sanction entraînerait des conséquences importantes et disproportionnées en termes d’image et de réputation. Pour justifier cette demande de publicité, le rapporteur invoque notamment le nombre de personnes concernées et la nature du manquement constitué en l’espèce.

99. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées.

100. La formation restreinte relève que cette mesure permettra d’alerter les utilisateurs français du moteur de recherche Bing de la caractérisation du manquement à l’article 82 de la loi Informatique et Libertés dans ses différentes branches et du prononcé d’une injonction pour y remédier.

101. Enfin, la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED une amende administrative d’un montant de soixante millions d’euros (60 000 000 €), au regard du manquement constitué à l’article 82 de la loi Informatique et Libertés ;

- prononcer à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED une injonction de recueillir le consentement des utilisateurs lors de leur arrivée sur le site web " bing.com " avant toute opération de lecture et écriture d’informations sur le terminal des utilisateurs résidant en France ayant pour finalité la lutte contre la fraude publicitaire ;

- assortir l’injonction d’une astreinte de soixante mille euros (60 000 €) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.