Apple vient d’écoper d’une amende pour ses manquements sur le consentement dans son App Store. Avant iOS 15, l’identifiant publicitaire était utilisé sans autorisation pour recueillir des données, alors que la société imposait aux éditeurs tiers, dans le même temps, des conditions strictes d’accès à l’identifiant. La firme a l'intention de faire appel.
iOS 14.5 avait largement bousculé le monde de la publicité en imposant à l’ensemble des éditeurs tiers de recueillir le consentement des utilisateurs avant d’utiliser l’identifiant publicitaire dans les applications. L’identifiant permet pour rappel de suivre les activités de la personne entre les applications, permettant en retour la personnalisation des publicités. Aussi, refuser le suivi bloque la collecte de ces données, mais ne supprime en aucun cas la publicité elle-même.
En mars 2021 cependant, l’association France Digitale saisit la CNIL d’une plainte à l’encontre d’Apple. En ligne de mire, le réglage de confidentialité « Publicités personnalisées » activé par défaut, qui « ne permet pas aux utilisateurs de consentir valablement aux traitements de ciblage publicitaire ».
La formation restreinte a rendu sa décision le 29 décembre, publiée hier par la CNIL : une sanction de 8 millions d’euros a été prononcée à l’encontre d’Apple Distribution International (ADI) pour manquement à la loi Informatique et Libertés. Explications.
Ce qui est reproché
« Les services de la CNIL ont constaté que sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement », explique la CNIL.
Or, puisque ces identifiants ne sont pas « strictement nécessaires » à l’App Store, ils n’avaient aucune raison d’être lus sans accord préalable de l’utilisateur ou l’utilisatrice.
Circonstance aggravante pour Apple, il était complexe de remédier à cette situation. La CNIL pointe ainsi l’absence de réglage dans l’assistant de configuration au premier démarrage de l’appareil. Il fallait se rendre manuellement dans Réglages > Confidentialité > Publicité Apple pour décocher l’utilisation de l’identifiant. Rien n’indiquait non plus la bonne marche à suivre.
Dans le détail de la délibération, on trouve plusieurs informations intéressantes, notamment qu’Apple a répondu rapidement aux demandes de compléments adressées par la CNIL. Dans cette affaire, le rapporteur était François Pellegrini, vice-président de la Commission en charge du commerce et de la publicité.
C’est Pellegrini qui a proposé initialement une amende administrative de 6 millions d’euros le 27 juillet dernier pour manquement à l’article 82 de la loi de 1978, finalement relevée à 8 millions. Deux jours plus tard, Apple demandait un délai complémentaire pour présenter ses observations en réponse, ce qui lui fut refusé par la formation restreinte. S'est ensuivi un échange d’observations et de réponses pendant plusieurs mois, avant finalement une séance le 12 décembre, dans lequel les conclusions ont été exposées à Apple.
Apple a joué le jeu, mais fera appel
L’entreprise a observé durant cette séance que les faits reprochés étaient obsolètes. En effet, iOS 15 a introduit une question claire posée à l’utilisateur lors de sa première visite à l’App Store. En somme, la même question que celle posée pour les applications tierces, mettant fin au « deux poids, deux mesures ».
Il était cependant trop tard pour la CNIL, car l’enquête avait déjà commencé. Que la modification ait été prévue par Apple ou appliquée en réaction au contrôle d’une ou plusieurs CNIL ne change rien au résultat : la version 14.6 était celle en place au moment du début de l’enquête, utilisée par des millions de personnes. 27,5 millions d’appareils se sont ainsi connectés à l’App Store français entre les 5 juillet 2020 et 2021, selon les données transmises par Apple.
Cette dernière a également considéré que « son droit de ne pas participer à sa propre incrimination a été violé dans la mesure où, durant la phase d’investigation, elle a volontairement transmis des documents qui ont ensuite été retenus comme étant des " preuves à charge contre elle " dans le cadre de la procédure de sanction ». Peine perdue, la CNIL ayant répliqué, d’une part que la collecte a été réalisée dans le cadre d’une procédure de contrôle fondée sur l’article 19, d’autre part que l’entreprise a pu librement s’exprimer pendant la phase contradictoire.
En plus de l’amende administrative, la décision est rendue publique pour une durée de deux ans sur le site de la CNIL et Légifrance. Après quoi, la décision sera toujours là, mais elle n’identifiera plus nommément Apple.
Comme le rappelle la CNIL à la fin de sa libération, la décision peut faire l’objet d’un recours devant le Conseil d’État à compter de sa notification. C’est précisément ce que fera Apple, qui a confirmé son intention et sa « déception » au Financial Times.
Commentaires (11)
#1
Ils ont cru pouvoir passé par les mailles du filet!
#2
C’est pas con d’attaquer sur “son droit de ne pas participer à sa propre incrimination”.
Rappelons-nous les gardes à vue sans que soit rappelé le droit de garder le silence. Elle ont fini par être illégales.
En effet, contrairement à une perquisition ou les documents sont pris sans rien demander, là, la CNIL a demandé des documents qu’Apple a fourni, mais la CNIL n’a pas prévenu qu’Apple avait le droit de ne pas les fournir afin de ne pas s’autoincriminer.
En plus, je n’ai pas vu (j’ai pourtant cherché) de sanction au cas où les documents demandés ne sont pas fournis.
Il sera intéressant de voir ce que le Conseil d’État et la CJUE ou la CEDH diront à ce sujet.
#2.1
“la CNIL n’a pas prévenu qu’Apple avait le droit de ne pas les fournir afin de ne pas s’autoincriminer.” Avec la montagne de cash sur laquelle ils sont assis, Apple France a peut-être bien les moyen pour un (petit) service juridique dans la boite,non ? Et si le gars du service il sait pas trop, ben y’a des consultants spécialisés aussi… Suffit de payer… Pas toujours facile …
#2.2
Tu n’as pas compris le problème. Que tu sois riche ou pauvre la justice (ici la CNIL) doit se comporter de la même façon par rapport à tes droits fondamentaux.
Et si elle doit te prévenir que tu as des droits par rapport à eux, elle doit le faire que tu aies les moyens de te payer les meilleurs avocats ou non.
Depuis longtemps, aux USA et plus récemment en Europe, on doit te prévenir que tu as le droit de garder le silence (droit à ne pas s’autoincriminer).
Quand on s’est rendu compte que c’était obligatoire aussi en France (en 2011), du jour au lendemain, les procès verbaux de garde à vue sont tombés quand ce droit n’a pas été signifié.
Remarque : c’est aussi en 2011 que la loi a changé pour obliger à t’indiquer que tu as le droit d’être assisté d’un avocat en garde à vue.
C’est de cela qu’il s’agit.
Je ne dis pas que c’est applicable à l’article 19 de la loi informatique et libertés, mais je dis juste qu’il est intéressant de soulever ce point en ce qui concerne la fourniture de documents à la CNIL.
Comme c’est un peu entre une perquisition (à laquelle tu ne peux t’opposer si elle a été validée par un juge des libertés) et le droit de garder le silence (qui permet de ne rien dire qui t’incrimine), c’est intéressant de voir ce que le Conseil d’État, la CJUE et la CEDH vont dire.
Édit : je pense que cette question n’est pas encore tranchée en droit, d’où l’intérêt de la soulever.
#2.3
#2.4
Sinon je me posais bêtement la question récemment si fred42 ne serait pas en fait le frère (caché ?) de David L. ?
En tout cas, pour ce qui est des 2, ils ne laissent généralement rien passer !
#2.5
S’il lit ça, il risque de s’étrangler !
Blague à part, ici, j’ai juste essayé de montrer l’intérêt du truc en expliquant de façon plus détaillée la seconde fois suite à ta remarque.
Donc, merci à toi de m’avoir permis de le faire.
#3
Euh ce n’est pas plutôt aux US cette histoire ? Refuser de fournir des pièces ici n’est il pas sanctionné ? C’est comme pour le refus de faire un test d’alcoolémie ou de faire un prélèvement ADN. Enfin du moins pour la justice. devant la CNIL c’est à voir mais si on suit la même logique il n’y a pas de raison
#3.1
Le droit à ne pas participer sa propre incrimination est aussi un droit européen et français. Je le rappelais avec le droit de garder le silence en garde à vue et le fait qu’il doit être signifié.
Quant à l’absence de sanction dans ce cas précis de l’article 19 de la loi du 6 janvier 1978, je n’en suis pas sûr, mais j’ai recherché entre autre dans toutes les mentions de cet article sur légifrance en suivant les liens en bas de l’article. Ce n’est pas exhaustif comme recherche, mais ça donne quand même un premier aperçu.
Je n’ai pas d’idée arrêtée sur le sujet, mais je trouve que l’avoir soulevé est intéressant. Et ce n’est pas pour rien que j’ai parlé de la CEDH qui risque de trancher en dernier recours.
#4
.
#5
Euh iOS 15 ne concerne que les périphériques récents, du coup les faits sont loin d’être obsolètes. À la maison, on utilise un iphone 5C sous le “dernier” iOS 10.3. Du coup comment fait-on pour décocher la case qui apparait dans 5 versions majeures ?