Connexion
Abonnez-vous

Tracking d’Apple : l’association de Max Schrems saisit les CNIL espagnole et allemande

Ce tracker que tous les Apple-addicts ont dans la poche

Tracking d’Apple : l’association de Max Schrems saisit les CNIL espagnole et allemande

Le 17 novembre 2020 à 14h58

noyb (None Of Your Business) vient de déposer deux recours devant les autorités de contrôle espagnole et allemande. L’association militante de protection de la vie privée accuse la firme de Cupertino de tracer les données de ses utilisateurs sans leur consentement et sans même les prévenir. Elle utilise pour cela un tracker multi-appareil : l’IDFA.

Suite à son succès en juillet 2020 avec l’invalidation par la CJUE du Privacy Shield, un accord transatlantique en matière de transferts de données personnelles, Max Schrems revient sur le devant de la scène.

noyb, l’association du militant autrichien, a déposé deux recours ce lundi 16 novembre pour dénoncer le tracker IDFA d’Apple. Le texte visé est la directive e-privacy en date du 12 juillet 2002. En effet, dans son considérant 24, le texte dispose que « l'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ».

Le texte en question va même jusqu’à préciser que « les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier  ».

En outre, le considérant 24 précise explicitement que  « l'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné»

Cette définition est, selon noyb, suffisamment large pour inclure des traceurs autres que les cookies traditionnels que l’on retrouve en navigant sur un site web, et potentiellement l’IDFA d’Apple. Elle va dans le sens du recours déposé par NOYB en mai dernier pour dénoncer l’ «Android Advertising ID», un identifiant de tracking unique similaire à celui d’Apple. L’association avait néanmoins fait le choix de s’appuyer sur le RGPD, avec une procédure plus lourde.

Selon noyb, la règlementation européenne protège tout appareil d’un éventuel tracking non consenti au préalable, et ce pour toute technologie. « Tandis qu’Apple introduit des options de blockage de cookies dans son navigateur, [la firme] place des codes similaires dans ses smartphones, sans aucun consentement de la part de l’utilisateur. Ceci constitue clairement une violation de la règlementation européenne en matière de protection des données », ironise noyb dans l’article présentant les deux recours.

L’IDFA : un cookie pas si différent des autres 

L’IDFA, pour IDentifier For Advertisers (« identifiant pour les annonceurs », le nom est sans équivoque), est généré par iOS, le système d’exploitation d’Apple. Relié à un Apple iD, il permet à Apple et aux applications installées de traquer les activités d’un utilisateur sur ses différents appareils. Il combine des informations sur son comportement en ligne et sur ses différents appareils Apple. Il s’agit ainsi d’une « plaque d’immatriculation » virtuelle, pour reprendre la comparaison faite par noyb dans ses deux recours.

La clé de ces recours est à trouver dans la qualification juridique même de ce qu’est cet IDFA. En effet, selon l’article 5(3) de la directive e-privacy visée par les deux recours, les États-membres doivent s’assurer que les « informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition qu'[il] soit muni […] d’une information claire ou complète ».

Cet article accorde aussi un « droit de refuser un tel traitement » à l’utilisateur. En l’espèce, c’est aux États-membres, et plus précisément les deux visés dans ces recours (Allemagne et Espagne), d’assurer le consentement des utilisateurs à l’IDFA d’Apple.

Ce qui pourrait changer : les requêtes de NOYB 

La stratégie de noyb vise donc pour l’instant deux autorités de contrôles, sélectionnées au regard de leur dynamisme et de récents précédents juridiques, sans pour autant exclure d’autres recours, en France ou en Italie par exemple. 

« La première raison c’est que des personnes concernées en Allemagne et en Espagne étaient intéressées par le projet. La seconde, c’est la clarté de la législation et l’activité de son autorité de contrôle pour l’Espagne, et les récentes jurisprudences en Allemagne qui ont l’air d’aller en ce sens », explique Stéfano Rosetti, avocat en protection des données personnelles chez noyb, interrogé par Next Inpact.

Si les requêtes de noyb venaient à aboutir, les autorités de contrôle visées pourraient être amenées à enquêter sur l’IDFA et à prendre des mesures assez fortes. noyb demande aux deux autorités en question d’imposer à Apple la suppression de l’IDFA, une sanction pécuniaire, ainsi que mesures concrètes pour remédier à ce manquement.

Sur le court terme, le groupement vise surtout à sensibiliser les utilisateurs des services visés. « Un effet attendu à court terme est la sensibilisation du public. Les effets à long terme dépendront grandement du résultat de l'action. Si les autorités estiment qu'Apple a enfreint l'art. 5(3), les effets des décisions s'étendraient au-delà des deux seuls plaignants. Il serait difficile, pour l'entreprise, de continuer à faire avec des millions d'utilisateurs ce qui a été déclaré illégal pour deux plaignants. », explique l’avocat.

S’agissant des chances d’aboutir de ces recours, Stéfano Rosetti est confiant. « Nous n’aurions pas déposé ces recours [si nous n’étions pas confiants]. Cependant, supposons que ces actions n’aboutissent pas car le périmètre de la loi en question ne recouvre pas l’IDFA. Ce serait toujours un message important envoyé au législateur », explique-t-il à Next INpact.

Apple n'a, de son côté, pas donné suite.

Commentaires (7)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ce n’est pas cet élément qui devait être modifié dans iOS 14 (de mémoire demander à l’utilisation son accord pour utilisation), et qui finalement a été repoussé dans le futur à cause de Facebook et consorts ?

votre avatar

ma2thias a dit:


Ce n’est pas cet élément qui devait être modifié dans iOS 14 (de mémoire demander à l’utilisation son accord pour utilisation), et qui finalement a été repoussé dans le futur à cause de Facebook et consorts ?


Ah oui oui … pour les autres. Comme ça, ils imposeraient leur service à toute société qui souhaite utiliser le tracking. Ils sont revenus en arrière en raison de l’impact sur le modèle économique d’un grand nombre de sociétés.

votre avatar

Pourtant Apple se vantait de défendre ses client contrairement à Google / Android…
C’est assez décevant… L’éthique toujours après le profit.

votre avatar

Nerg34 a dit:


Pourtant Apple se vantait de défendre ses client contrairement à Google / Android… C’est assez décevant… L’éthique toujours après le profit.


Je pense que nous sommes à un moment délicat pour Apple : Le recul des ventes de l’iphone principalement lié à la maturité / saturation des marchés les obligent à trouver de nouveaux centres de profits. Alors il y a les choix défendables des services (Fitness, Music, TV+ etc…) et les trucs qui le sont beaucoup moins comme feu iAd.



La question très juste que tu poses : Est ce que leur réputation souhaitée de défendeur de la privacy face à Android y survivra ? C’est pas gagné…

votre avatar

Je ne pense pas que le bénéfice d’Apple dépende de ce truc. Faut pas exagérer.

votre avatar

Ohmydog a dit:


Je ne pense pas que le bénéfice d’Apple dépende de ce truc. Faut pas exagérer.


Je ne te suis pas. De quel truc parles tu ? Et ou vois tu une affirmation liée aux bénéfices d’Apple ?

votre avatar

L’IDFA est couvert, il est d’ailleurs cité dans les lignes directrices de la CNIL ici : legifrance.gouv.fr République Française



Pour ce qui est de la directive ePrivacy, celle-ci a été modifiée en 2009. Une version consolidée est accessible ici :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A02002L0058-20091219

Tracking d’Apple : l’association de Max Schrems saisit les CNIL espagnole et allemande

  • L’IDFA : un cookie pas si différent des autres 

  • Ce qui pourrait changer : les requêtes de NOYB 

Fermer