Une sanction rare pour la vie privée d’Apple : l’autorité française de protection des données, la CNIL, a annoncé qu’elle avait imposé une sanction de 8 millions d’euros (~8,5 millions de dollars) au fabricant d’iPhone pour ne pas avoir obtenu le consentement des utilisateurs mobiles locaux avant de placer (et/ou de lire ) des identifiants publicitaires sur leurs appareils en violation de la loi locale sur la protection des données.
La décision de sanction a été rendue le 29 décembre mais n’a été rendue publique qu’hier (le texte de la décision est disponible ici).
La CNIL agit dans le cadre de la directive ePrivacy de l’Union européenne – qui permet aux autorités de protection des données au niveau des États membres de prendre des mesures concernant les plaintes locales concernant les violations, plutôt que d’exiger qu’elles soient renvoyées à un contrôleur principal des données dans le pays où l’entreprise en question a son principal établissement de l’UE (comme c’est le cas avec le nouveau règlement général sur la protection des données de l’UE, ou RGPD).
Bien que la taille de cette amende ePrivacy ne causera pas de nuits blanches à Cupertino, Apple tire parti des revendications de confidentialité des utilisateurs sans égal pour peaufiner sa marque haut de gamme – et différencier les iPhones du matériel moins cher exécutant la plate-forme Android de Google – donc toute entaille dans sa réputation pour la protection des données des utilisateurs devrait piquer.
La CNIL dit donner suite à une plainte contre Apple pour avoir diffusé des publicités personnalisées sur son App Store. L’action concerne une ancienne version (14.6) du système d’exploitation de l’iPhone, sous laquelle – après l’enquête du chien de garde en 2021 et 2022 – il a découvert que le géant de la technologie n’avait pas obtenu le consentement préalable des utilisateurs pour traiter leurs données à des fins de publicité ciblée. lorsqu’un utilisateur a visité l’App Store d’Apple.
La CNIL a constaté que la v14.6 d’iOS lisait automatiquement les identifiants sur l’iPhone de l’utilisateur – qui servaient à plusieurs fins, notamment la personnalisation des publicités sur l’App Store – et que le traitement avait eu lieu sans qu’Apple n’obtienne le consentement approprié, de l’avis du régulateur, car le consentement était collectées via un paramètre pré-coché par défaut. (NB : les orientations CNIL 2019 relatives à la directive ePrivacy stipulent que le consentement est nécessaire pour le suivi des publicités.)
Extrait du communiqué de presse de la CNIL [translated from French with machine translation]:
Du fait de leur finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du service (l’App Store). En conséquence, elles ne doivent pas pouvoir être lues et/ou déposées sans que l’utilisateur ait exprimé son accord préalable. Cependant, dans la pratique, les paramètres de ciblage publicitaire disponibles à partir de l’icône « Paramètres » de l’iPhone étaient pré-cochés par défaut.
De plus, l’utilisateur devait effectuer un grand nombre d’actions pour réussir à désactiver ce paramètre puisque cette possibilité n’était pas intégrée au processus d’initialisation du téléphone. L’utilisateur devait cliquer sur l’icône ‘Paramètres’ de l’iPhone, puis se rendre dans le menu ‘Confidentialité’ et enfin dans la section intitulée ‘Apple Advertising’. Ces éléments n’ont pas permis de recueillir le consentement préalable des utilisateurs.
La CNIL a déclaré que le niveau de l’amende reflète l’étendue du traitement (qui, selon elle, était limité à l’App Store) ; le nombre d’utilisateurs français concernés ; et les bénéfices qu’Apple tire des revenus publicitaires générés indirectement à partir des données collectées par les identifiants – ainsi que le régulateur prenant en compte le fait qu’Apple s’est depuis mis en conformité.
Apple a été contacté pour commenter la sanction de la CNIL. Un porte-parole de la société a confirmé son intention de faire appel en nous envoyant cette déclaration :
Nous sommes déçus de cette décision étant donné que la CNIL a précédemment reconnu que la façon dont nous diffusons des annonces de recherche dans l’App Store donne la priorité à la confidentialité des utilisateurs, et nous ferons appel. Pomme Search Ads va plus loin que toute autre plate-forme de publicité numérique que nous connaissons en offrant aux utilisateurs un choix clair quant à savoir s’ils souhaitent ou non des publicités personnalisées. En outre, Pomme Search Ads ne suit jamais les utilisateurs sur des applications et des sites Web tiers, et utilise uniquement des données de première partie pour personnaliser les annonces. Nous pensons que la confidentialité est un droit humain fondamental et qu’un utilisateur doit toujours décider de partager ses données et avec qui.
Ce n’est pas la première fois qu’Apple fait l’objet d’un examen critique de la double norme en matière de confidentialité. En 2020, le groupe de campagne européen sur les droits à la vie privée noyb a déposé une série de plaintes auprès des organismes de surveillance de la protection des données de l’UE concernant un identifiant pour les annonceurs (alias IDFA) intégré par défaut à l’iPhone par Apple, arguant que l’existence de l’IDFA était une violation similaire de la consentement préalable au principe de suivi.
La société a également été accusée d’hypocrisie en matière de confidentialité ces dernières années en raison de son traitement différent vis-à-vis du suivi de l’activité des applications des utilisateurs d’iPhone pour diffuser ses propres « annonces personnalisées » par rapport à une exigence récemment introduite selon laquelle les applications tierces obtiennent le consentement des utilisateurs. – après avoir introduit la fonctionnalité App Tracking Transparency (alias ATT) sur iOS en 2021.
Apple a continué à contester ces arguments, affirmant qu’il respecte les lois locales sur la confidentialité et offre un niveau de confidentialité et de protection des données plus élevé pour les utilisateurs d’iOS que les plates-formes concurrentes.
La France, quant à elle, a été très active dans l’application des violations de la confidentialité électronique contre les géants de la technologie ces dernières années, avec un autre exemple le mois dernier lorsqu’elle a infligé à Microsoft une amende de 60 millions d’euros pour la conception de motifs sombres en relation avec le suivi des cookies – après avoir trouvé l’entreprise n’avait pas proposé aux utilisateurs un mécanisme de refus des cookies aussi simple que le bouton qu’il leur présentait pour accepter les cookies.
Amazon, Google et Meta (Facebook) ont également tous été frappés de sanctions de la CNIL pour violation liée aux cookies depuis 2020. Et l’année dernière, Google a mis à jour sa fenêtre contextuelle de consentement aux cookies dans toute l’UE pour (enfin) proposer un simple « accepter tout’ ou ‘refuser tout’ au niveau supérieur.
tl;dr : L’application réglementaire de la confidentialité fonctionne.
Le flux constant d’applications et de corrections que les interventions de la CNIL ont permis d’obtenir pour les utilisateurs en France via ePrivacy – une directive européenne beaucoup plus ancienne que le RGPD – a jeté un nouvel éclairage critique sur le fonctionnement de ce dernier règlement phare sur la protection de la vie privée où le contrôle et l’application sur les géants de la technologie continue d’être enlisé par le forum shopping, les goulets d’étranglement procéduraux associés et les problèmes de ressources, ainsi que par les différends entre les régulateurs sur la manière de régler ces affaires transfrontalières.
Mais alors qu’une plainte GDPR contre un géant de la technologie peut prendre des années, au pluriel pour être appliquée – comme les ~ 4,8 ans qu’il a fallu pour finaliser les plaintes publicitaires de «consentement forcé» contre deux propriétés Meta, Facebook et Instagram, et toujours avec des années probables d’appels de cette décision à venir (et avec d’autres plaintes encore plus anciennes qui continuent d’avancer péniblement vers une décision finale) – la différence entre une directive de l’UE et un règlement signifie que l’application est paneuropéenne par défaut, plutôt que d’être localisée dans la juridiction du l’application de la DPA. Cela signifie qu’avec ePrivacy, tout déploiement de conformité plus large est à la discrétion d’une entité sanctionnée, de sorte que l’impact pour les utilisateurs peut être plus localisé.
En outre, toute sanction (éventuelle) du RGPD peut également être plus importante que les piqûres d’ePrivacy – le RGPD autorisant des amendes pouvant atteindre 4 % du chiffre d’affaires annuel mondial, tandis que l’ePrivacy est bloquée par un régime plus ancien qui laisse aux États membres le soin de définir sanctions « effectives, proportionnées et dissuasives ». (Ergo, les droits des utilisateurs ici sont liés à la politique locale.)
Bien que les ordres correctifs puissent avoir beaucoup plus de poids pour les grandes technologies que les sanctions financières compte tenu des revenus que ces géants génèrent, même les amendes pouvant atteindre des centaines de millions ou plus peuvent être annulées comme un simple coût de faire des affaires. Alors que les ordres de changer les pratiques pour se conformer aux lois sur la protection de la vie privée peuvent forcer des réformes significatives.
Il convient de noter que l’UE tente – depuis des années – de remplacer la directive ePrivacy, vieille de plus de deux décennies, par un règlement ePrivacy mis à jour. Cependant, le lobbying des grandes technologies et les différends entre les législateurs concernant une proposition de la Commission de 2017 ont conspiré pour bloquer le dossier pendant la majeure partie de cette période.
Les États membres ont enfin convenu d’une position de négociation commune en février 2021, permettant enfin le lancement des négociations en trilogue. Mais les débats entre les co-législateurs de l’UE sur les petits et grands détails se poursuivent – et on ne sait pas quand (ou même si) un consensus peut être dégagé.
Et cela signifie que la directive ePrivacy vétéran peut encore avoir des années de vie professionnelle supplémentaires – et des millions de plus dans les grosses amendes technologiques – devant elle.