Apple sanctionné à hauteur de 8 millions d'euros pour défaut de consentement des utilisateurs à la publicité ciblée.
Une mauvaise gestion des cookies publicitaires
La CNIL a effectué plusieurs contrôles en 2021 et 2022 concernant la société Apple Distribution International au regard de la règlementation en vigueur.
Il était question, en l'espèce, du système d'exploitation de l'iPhone sous sa version, ancienne, 14.6.
Effectivement, lorsqu'un utilisateur accédait au service de l'App Store, des annonces publicitaires personnalisées étaient diffusées.
Autrement dit, avec la version 14.6 du système d'exploitation d'Apple, il était déposé par défaut des identifiants sur les appareils mobiles de la marque (iPhone, iPad...).
Ce sont ces identifiants qui permettaient à Apple de personnaliser les annonces publicitaires diffusées sur l'App Store.
La problématique étant que ces publicités étaient par défaut et automatiquement lues sur le terminal de l'utilisateur, et ce, sans recueil du consentement.
En effet, il apparaît que les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut.
Or, la finalité poursuivie en l'espère impose le recueil du consentement conformément à l'article 82 de loi la Informatique et Libertés.
Qu'est-ce qu'un cookie ? Retrouvez notre fiche pratique à ce sujet, ici.
La compétence de la CNIL
En l'espèce, il ne s'agit pas d'appliquer le RGPD mais la directive européenne e-Privacy.
La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux identifiants déposés et/ou lus par la société sur les terminaux des internautes situés en France.
Ainsi, la sanction est prévue par la loi nationale, à la différence du RGPD qui prévoit des sanctions harmonisées au niveau européen.
Le mécanisme de coopération prévu par le RGPD ne s'applique pas, en effet, ce n'est pas une règle du RGPD qui est sanctionnée ici.
Une sanction relativisée ?
La CNIL a pris en compte un certain nombre de circonstances atténuantes en faveur de la société Apple :
- Manquements corrigés avant la fin de la procédure
- Le ciblage n'était pas basé sur un système individualisé
- Le dépôt des identifiants publicitaires ciblait des catégories d'individus, autrement dit, il s'agissait d'un système de personnalisation des publicités basé sur le comportement de cohortes d'utilisateurs, moins intrusif au regard de la vie privée
La CNIL a justifié le montant de la sanction du fait des éléments mentionnés ci dessus, ainsi que par :
- La portée du traitement limité à l'App Store
- Le nombre de personnes concernées en France
- Les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants
- La société Apple s'est mise en conformité
La CNIL a, malgré les demandes contraires de la société lors de l'audience, rendu sa décision publique.