Apple, un géant multinational américain.
Filiale du groupe Apple, entreprise multinationale américaine, la société Apple Distribution international se présente comme étant : « l’entité responsable des ventes et de la distribution des produits du groupe Apple en Europe » et comme le « responsable de de traitement des données à caractère personnel en lien avec l’activité des plateformes de publicité du groupe Apple dans l’Espace économique européen ».
Dans sa délibération, la formation restreinte de la Cnil, organe chargé de prononcer des sanctions, estime que la société ne respectait pas les conditions de recueil du consentement qui constitue l’une des 6 bases légales [1] d’un traitement de données personnelles, prévues par le Règlement général sur la protection des données (ci-après « RGPD »).
Le manquement à la Loi Informatique et libertés sanctionné par la Cnil.
La Cnil a réalisé plusieurs contrôles [2] en 2021 et 2022 pour répondre à la plainte déposée par l’association France Digitale [3] portant « sur les traitements de personnalisation des annonces publicitaires diffusées dans l’App Store » de la société Apple.
En effectuant ces contrôles, la Cnil précise avoir constaté que :
« sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement ».
L’autorité relève un manquement à l’article 82 de la loi Informatique et libertés pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone avant de récupérer leurs identifiants à des fins publicitaires.
Pour justifier sa décision [4], la Cnil estime que ces identifiants, étant donné leur finalité publicitaire : « ne sont pas strictement nécessaires à la fourniture du service (l’App Store) » et ne doivent pas pouvoir pas être lus et, ou déposés sans avoir préalablement obtenu le consentement de l’utilisateur, alors qu’en pratique, « les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut ».
Sur ce dernier point, l’autorité de contrôle relève que, pour désactiver ce paramètre, l’utilisateur devait effectuer un grand nombre d’actions qui, in fine, ne permettaient pas d’obtenir préalablement son consentement.
La Cnil précise que l’internaute devait alors : « cliquer sur l’icône « Réglages » de l’iPhone, se rendre ensuite dans le menu « Confidentialité » puis enfin dans la rubrique intitulée « Publicité Apple » ».
La sanction prononcée.
L’autorité de contrôle décide de prononcé une sanction de 8 000 000 (huit millions) d’euros, rendue publique à l’égard de la société Apple Distribution International et justifie cette sanction par :
« la portée du traitement limitée à l’App Store, par le nombre de personnes concernées en France et les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants et par le fait que la société s’est depuis mise en conformité ».
La compétence de la Cnil rappelée par la formation restreinte.
Précisé dans son communiqué, la formation restreinte a considéré que la Cnil est « matériellement « compétente » pour contrôler et sanctionner les opérations liées aux identifiants déposés et/ou lus par la société sur les terminaux des utilisateurs situés en France et, que dans ce cas, le mécanisme de coopération ou mécanisme de « guichet unique » [5] prévu par le RGPD ne s’applique pas.
La formation restreinte a également considéré que la Cnil est « territorialement compétente » car le recours aux identifiants est effectué dans le « cadre des activités » des sociétés Apple Retail France et Apple France qui constituent des « établissements » sur le territoire français du groupe Apple.