Identifiant publicitaire : sanction de 8 millions d’euros à l’encontre de APPLE DISTRIBUTION INTERNATIONAL

04 janvier 2023

Le 29 décembre 2022, la formation restreinte de la CNIL a sanctionné la société APPLE DISTRIBUTION INTERNATIONAL à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (version iOS 14.6) avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux.

Le contexte

À la suite d’une plainte portant sur les traitements de personnalisation des annonces publicitaires diffusées dans l’App Store, la CNIL a effectué plusieurs contrôles en 2021 et 2022 afin de vérifier le respect de la réglementation applicable.

Les services de la CNIL ont constaté que sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement.

Le manquement à la loi Informatique et Libertés

De par leur finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du service (l’App Store). En conséquence, ils ne doivent pas pouvoir pas être lus et/ou déposés sans que l’utilisateur ait exprimé son consentement préalable. Or, en pratique, les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut.

De plus, l’utilisateur devait effectuer un grand nombre d’actions pour parvenir à désactiver ce paramètre puisque cette possibilité n’était pas intégrée au parcours d’initialisation du téléphone. L’utilisateur devait ainsi cliquer sur l’icône « Réglages » de l’iPhone, se rendre ensuite dans le menu « Confidentialité » puis enfin dans la rubrique intitulée « Publicité Apple ». Ces éléments ne permettaient pas de recueillir le consentement préalable des utilisateurs.

En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé un manquement à l’article 82 de la loi Informatique et Libertés et a sanctionné la société APPLE DISTRIBUTION INTERNATIONAL d’une amende de 8 millions d’euros, rendue publique.

Elle a justifié ce montant par la portée du traitement limitée à l’App Store, par le nombre de personnes concernées en France et les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants et par le fait que la société s’est depuis mise en conformité.

La compétence de la CNIL

La CNIL est matériellement compétente pour contrôler et sanctionner les opérations liées aux identifiants déposés et/ou lus par la société sur les terminaux des internautes situés en France. Le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer dans ces procédures dans la mesure où les opérations liées à l’utilisation des identifiants relèvent de la directive « ePrivacy », transposée à l’article 82 de la loi Informatique et Libertés.

La formation restreinte a considéré que la CNIL est également territorialement compétente car le recours aux identifiants est effectué dans le « cadre des activités » des sociétés APPLE RETAIL FRANCE et APPLE FRANCE qui constituent des « établissements » sur le territoire français du groupe APPLE.

Note : La société APPLE DISTRIBUTION INTERNATIONAL, dont le siège est en Irlande, se présente comme le responsable des traitements de personnalisation des annonces sur l’App Store dans la région européenne. Les sociétés APPLE RETAIL FRANCE et APPLE FRANCE sont les établissements en France du groupe Apple.