Le 29 décembre 2022, l’Autorité française de protection des données (la « CNIL ») a annoncé avoir infligé une amende de 8 000 000 € à Apple pour violation des règles françaises sur la publicité ciblée et l’utilisation de cookies et technologies de suivi similaires.
Arrière plan
La CNIL a reçu une plainte concernant les pratiques de personnalisation des publicités d’Apple sur l’App Store et a mené plusieurs enquêtes entre 2021 et 2022.
Les investigations de la CNIL ont conclu qu’Apple collectait les identifiants des utilisateurs ayant visité l’App Store avec l’ancien système d’exploitation de l’iPhone (version 14.6) à plusieurs fins, notamment pour personnaliser les publicités diffusées sur l’App Store. Apple collectait ces données par défaut, sans obtenir le consentement des utilisateurs.
Les décisions et sanctions de la CNIL
Conformément à la loi Informatique et Libertés, la collecte de ces identifiants ne saurait être considérée comme strictement nécessaire à la fourniture d’un service (c’est à dire, l’App Store en l’occurrence) et être exempté de l’obligation de consentement préalable ; par conséquent, les identifiants ne doivent pas avoir été collectés sans le consentement préalable des utilisateurs. Dans ce cas, les paramètres de publicité ciblée disponibles depuis l’icône « Paramètres » de l’iPhone étaient pré-cochés par défaut. De plus, la CNIL a constaté que les utilisateurs devaient entreprendre trop d’actions afin de désactiver ce paramètre, rendant le consentement trop difficile à donner et à retirer.
En conséquence, la CNIL a considéré que les pratiques d’Apple en matière de cookies contrevenaient à l’article 82 de la loi Informatique et Libertés régissant l’utilisation des cookies. À la suite de ces prétendues infractions, la CNIL a infligé une amende de 8 000 000 € à Apple.
Selon la CNIL, le montant de l’amende est justifié par l’étendue du traitement qui était limitée à l’Apple Store, le nombre de personnes concernées en France, les bénéfices d’Apple provenant des revenus publicitaires générés indirectement à partir des données collectées via ces identifiants et la fait qu’Apple a, depuis l’enquête, atteint la conformité.
La compétence de la CNIL
La CNIL a affirmé qu’elle tirait sa compétence pour enquêter sur les pratiques de publicité ciblée d’Apple de la directive e-Privacy, qui est transposée en droit national par chaque État membre de l’UE (c’est à dire, à l’article 82 de la loi Informatique et Libertés). Apple Distribution International, dont le siège social est en Irlande, s’est présenté comme le responsable du traitement relatif à la personnalisation des publicités sur l’App Store en Europe. La CNIL s’est toutefois affirmée territorialement compétente car l’utilisation d’identifiants était effectuée dans le cadre des activités des établissements français d’Apple (c’est à dire Apple Retail France et Apple France). En conséquence, la CNIL a affirmé que la coopération et les mécanismes dits de « guichet unique » prévus par le règlement général sur la protection des données (« RGPD ») de l’UE ne s’appliquaient pas.
Lire la décision (en français) et le communiqué de presse (en anglais et en français).
