La Commission nationale de l’informatique et des libertés (CNIL) a sanctionné, le 22 décembre, Microsoft d’une amende de 60 millions d’euros, sa plus grosse condamnation en 2022. Le géant de la technologie est accusé de ne pas avoir mis en place un moyen simple et rapide de refuser les cookies sur son moteur de recherche Bing. Tout au long de l’année, la CNIL et ses équivalents européens ont prononcé 438 amendes pour un total de plus de 830 millions d’euros récoltés.

60 millions d’euros d’amende pour Microsoft

La CNIL reproche à Microsoft d’avoir enfreint, à deux reprises, l’article 82 de la loi Informatique et Libertés. Tout d’abord en installant des cookies, dont certains servaient à des fins publicitaires, sans le consentement des utilisateurs de Bing. Elle rappelle que « la loi impose que ce type de cookies ne soit déposé qu’après consentement de l’utilisateur ».

Enfin, la Commission interpelle Microsoft sur l’absence d’un moyen conforme de recueil du consentement au dépôt de cookies. « Si le moteur de recherche proposait un bouton permettant d’accepter immédiatement les cookies, il ne proposait pas de solution équivalente (bouton de refus ou autre) pour permettre à l’internaute de les refuser aussi facilement », note la CNIL, « deux clics étaient nécessaires pour refuser tous les cookies, un seul pour les accepter ». Elle souligne également que jusqu’au 29 mars dernier, Bing ne permettait pas de refuser tous les cookies sans passer par un panneau de paramétrage assommant.

Face à ces manquements, la CNIL réclame 60 millions d’euros à la société basée à Redmond et la somme de changer ses pratiques sous un délai de trois mois. Auquel cas, elle devra s’acquitter d’une astreinte de 60 000 euros pour chaque jour de retard.

Les régulateurs européens veillent à la bonne application du RGPD

Cette amende à l’encontre de Microsoft vient s’ajouter aux 437 autres rendues publiques par les agences européennes de protection de la vie privée en 2022. Selon le cabinet CMS, 438 amendes ont été distribuées aux entreprises ayant enfreint le règlement général sur la protection des données (RGPD) pour un montant qui s’élève à 831 850 110 euros.

Les données regroupent les 27 États membres de l’Union européenne, ceux de l’Espace Économique Européen (Norvège, Islande, Liechtenstein) et le Royaume-Uni. Parmi ces pays, c’est Dublin qui trône au sommet du classement des sanctions en termes de somme totale. La terre d’accueil de nombreux poids lourds de la tech a réclamé 687 468 00 euros en 2022. Trois amendes adressées à Meta représentent à elles seules 687 millions d’euros. Début septembre, Instagram écopait d’une amende record de 405 millions d’euros pour ne pas être parvenu à protéger la vie privée des mineurs.

La France se positionne troisième avec 25 225 000 euros d’amendes, dont 20 millions d’euros à l’encontre de Clearview, une entreprise américaine spécialisée dans la reconnaissance biométrique faciale. Cette dernière était accusée d’avoir collecté et utilisé une grande quantité de données biométriques sans y être autorisée.

Le montant des amendes reste tout de même inférieur à celui de l’année dernière. En 2021, les régulateurs européens avaient obtenu 1,3 milliard d’euros répartis sur 460 sanctions, un record.