Publicité ciblée : la CNIL sanctionne l’entreprise américaine APPLE d’une amende de 8 millions d’euros

Publié par le dans , , , | Consulté 114 Fois

Le 29 décembre 2022, la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction de 8 millions d’euros à l’encontre de la société américaine APPLE DISTRIBUTION INTERNATIONAL, pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhones avant de lire et/ou d’écrire des identifiants utilisés à des fins publicitaires sur l’App Store. 

La marque américaine pointée du doigt par FRANCE DIGITALE 

Créée en 1976, la société américaine APPLE conçoit, fabrique et commercialise des produits électroniques grand public comme par exemple des téléphones, des ordinateurs et vend une gamme de logiciels, services et périphériques, solutions réseau, contenus numériques et applications tierces en relation avec ces produits. 

Les téléphones portables (iPhone) et les tablettes (iPad) de la marque ont besoin pour fonctionner d’un système d’exploitation (Operating System en anglais ou OS). Il permet de faire un lien entre l’utilisateur et son appareil. La marque à la pomme a alors développé son propre système d’exploitation appelé « iOs », qui est mis à jour régulièrement pour proposer une meilleure expérience à ses utilisateurs. C’est dans cette optique qu’en mai 2021, est apparue la version iOS 14.6.

Si certes cette nouvelle version a permis la correction de bugs et l’amélioration sur certains points de la sécurité, l’association FRANCE DIGITALE, qui est la première organisation de start-ups en Europe et qui représente plus de 1 800 entrepreneurs et investisseurs du numérique français a décidé de saisir la CNIL concernant les traitements de personnalisation des annonces publicitaires diffusées dans l’App Store (magasin d’applications d’Apple) sous la version iOS 14.6. L’association avait en effet constaté que le réglage de confidentialité « Publicités personnalisées » était activé par défaut et ne permettait pas « aux utilisateurs de consentir valablement aux traitements de ciblage publicitaire ».

Publicité ciblée et identifiant publicitaire : comment ça fonctionne ?   

Si vous ne le saviez pas, les données telles que la localisation ou les identifiants sont utilisées pour personnaliser les messages publicitaires et sont transmis à des acteurs publicitaires. Ces publicités se fondent notamment sur un identifiant publicitaire stocké sur votre téléphone et permettant de l’identifier. Plus cet identifiant est stable dans le temps, plus cela permet aux acteurs de la publicité d’accumuler des informations sur vos habitudes. L’identifiant publicitaire permet alors de suivre les activités de la personne entre les applications, permettant en retour la personnalisation des publicités. 

Avec Apple, lors de la création du compte utilisateur, un identifiant est attribué à chaque compte utilisateur. Comme l’explique la CNIL, « Lors de sa navigation sur l’App Store, la trace de l’activité de l’utilisateur (c’est-à-dire le fait que l’utilisateur effectue une recherche, télécharge ou achète des applications dans l’App Store), ainsi que les informations qu’il a renseignées dans son compte Apple ID (c’est-à-dire l’année de naissance, le genre et la localisation de l’utilisateur), sont collectées et associées à cet identifiant ». 

Ainsi, si vous autorisez la publicité ciblée avec l’App Store, ces données vont être utilisées et des messages publicitaires spécifiques vous seront diffusés. Apple, tout comme d’autres sociétés, constitue alors des « profils » qui sont associés aux utilisateurs. Le but étant bien évidemment d’attirer l’attention de l’utilisateur sur le produit ou la marque ainsi que de le familiariser avec lui afin d’optimiser et de faciliter l’acte d’achat. Il est donc conseillé de renouveler régulièrement cet identifiant publicitaire ou de refuser tout simplement la publicité ciblée. Mais attention, cela ne supprimera en aucun cas la publicité elle-même ! 

La compétence matérielle de la CNIL 

Il convient de préciser que la société APPLE DISTRIBUTION INTERNATIONAL, qui se présente comme le responsable des traitements de personnalisation des annonces sur l’App Store dans la région européenne a certes son siège social en Irlande, mais les sociétés APPLE RETAIL FRANCE et APPLE FRANCE sont les établissements en France du groupe Apple. Ainsi, la CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux identifiants déposés et/ou lus par la société sur les terminaux des internautes situés en France.

Toutefois, le mécanisme de coopération du « guichet unique », prévu par le RGPD et permettant l’harmonisation au niveau européen des décisions des autorités de protection des données concernant les traitements transfrontaliers, ne pourra pas s’appliquer dans la mesure où les opérations liées à l’utilisation des identifiants relèvent de la directive « ePrivacy » du 12 juillet 2002, transposée à l’article 82 de la loi Informatique et Libertés.

Le manquement à la Loi Informatique et Libertés commis par Apple 

Après plusieurs contrôles sur place et sur pièces en 2021 et 2022, la formation restreinte de la CNIL a constaté le 29 décembre 2022 que « sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement ». Ces identifiants n’étant pas « strictement nécessaires » à l’App Store, ils n’avaient aucune raison d’être lus sans consentement préalable de l’utilisateur ou l’utilisatrice. Or, en pratique, les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut. 

Pratique qui est dénoncée depuis maintenant plusieurs années. En effet, Louis Dutheillet de Lamothe, secrétaire général de la CNIL a déclaré à l’AFP que la position de la Cour européenne de justice et des tribunaux était « très claire » depuis « des années » : un consentement en bonne et due forme « ne peut pas être une case pré-cochée ».

La CNIL a également constaté qu’il était compliqué pour l’utilisateur de désactiver les paramètres de ciblage de la publicité. En effet, cette étape n’était accessible qu’après que l’utilisateur ait cliqué sur l’icône ” Réglages ” de l’iPhone, se soit rendu dans le menu ” Confidentialité “, puis ait cliqué sur la rubrique intitulée ” Publicité Apple “. La CNIL poursuit en estimant qu’il était « difficile pour l’utilisateur de parvenir à accepter ou refuser valablement ces opérations, dans la mesure où l’utilisateur qui a terminé le parcours d’initialisation de son téléphone (a fortiori lorsque le parcours comprend un nombre important d’étapes comme en l’espèce) peut légitimement penser ne plus avoir besoin de procéder à d’autres configurations avant de consulter l’App Store ». 

Une amende de 8 millions d’euros pour APPLE 

Après ces observations, la CNIL a constaté un manquement à l’article 82 de la loi Informatique et Libertés et a sanctionné la société APPLE d’une amende de 8 millions d’euros, rendue publique pour une durée de deux ans sur le site de la CNIL et Légifrance. Après quoi, la décision sera toujours là, mais elle n’identifiera plus nommément Apple. 

Montant qui a été critiqué notamment par l’association professionnelle des acteurs du marketing digital,  Alliance Digitale : « S’il s’agit d’une victoire importante pour la vie privée des citoyens français et européens, nous ne pouvons que regretter que le montant de la condamnation soit aussi dérisoire, a fortiori pour la société la plus valorisée du monde ».

La CNIL a pourtant justifié le montant de l’amende par la portée du traitement limitée à l’App Store, par le nombre de personnes concernées en France et les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants et par le fait que la société s’est depuis mise en conformité.

En effet, iOS 15 a introduit une question claire posée à l’utilisateur lors de sa première visite à l’App Store. Précisons que la version iOS 14.5 apparue en avril 2021 avait imposé à l’ensemble des éditeurs tiers de recueillir le consentement des utilisateurs avant d’utiliser l’identifiant publicitaire dans les applications. En somme, iOS 15 a donc repris la même question que celle posée pour les applications tierces, mais cette-fois a mis fin au « deux poids, deux mesures ». La version iOS 14.6 de la marque à la pomme s’autorisait effectivement une case pré-cochée pour ses traceurs, alors qu’elle imposait depuis peu sous sa version iOS 14.5 aux applications tierces de demander un consentement explicite à l’internaute…

Maya Noël, directrice générale de FRANCE DIGITALE a pu déclaré suite à la sanction que « Pour permettre l’émergence de champions européens du numérique, nous souhaitons désormais une mise en œuvre rapide du Digital Markets Act, assortie de contrôles efficaces et de sanctions réellement contraignantes, pour que les mêmes règles s’imposent à tous sur le terrain concurrentiel ». 

La contestation par APPLE de la sanction 

Comme le rappelle la CNIL à la fin de sa libération, la décision peut faire l’objet d’un recours devant le Conseil d’État à compter de sa notification. Recours que la société américaine compte bien effectuer puisque le groupe l’a annoncé à l’AFP « Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l’App Store donne la priorité à la protection de la vie privée des utilisateurs, et nous allons faire appel ». 

Rappelons pour finir qu’Apple a été condamné en décembre dernier par le tribunal de commerce de Paris à une amende d’un million d’euros pour avoir imposé des conditions déséquilibrées aux développeurs d’applications mobiles. Les sanctions à l’égard des grandes entreprises technologiques, telles que Meta ou TikTok, et plus particulièrement d’Apple semblent alors se  multiplier… 

______________________________________________________________________________________________

SOURCES :