Jeux mobiles : la CNIL sanctionne VOODOO à hauteur de 3 millions d’euros

17 janvier 2023

Le 29 décembre 2022, la CNIL a sanctionné la société VOODOO, éditrice de jeux pour smartphone, d’une amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique pour de la publicité sans le consentement de l’utilisateur.

Le contexte

Entre août 2021 et juillet 2022, la CNIL a effectué plusieurs contrôles sur voodoo.io et sur différentes applications mobiles éditées par la société VOODOO, telles que le jeu Helix Jump.

Les vérifications effectuées ont uniquement été réalisées dans le cadre du téléchargement et du fonctionnement des applications sur un iPhone (APPLE), avec le système d’exploitation iOS.

Lorsqu’un éditeur propose une application sur l’App Store, APPLE met à sa disposition un système d’identifiant technique « IDentifier For Vendors » (ou IDFV), permettant à cet éditeur de suivre l’utilisation qui est faite de ses applications par les utilisateurs. Un IDFV est attribué pour chaque utilisateur et est identique pour toutes les applications distribuées par un même éditeur. Donc ici pour toutes les applications de la société VOODOO.

En le combinant avec d’autres informations du smartphone, l’IDFV permet de suivre les habitudes de navigation des personnes, notamment les catégories de jeu qu’elles privilégient, afin de personnaliser les annonces vues par chacune d’entre elles.

Le manquement à la loi Informatique et Libertés

À l’ouverture d’une application de jeu, une première fenêtre conçue par la société APPLE (App Tracking Transparency ou ATT) est présentée à l’utilisateur afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone.

Lorsque que l’utilisateur refuse la « sollicitation ATT », une seconde fenêtre est présentée par la société VOODOO indiquant que le suivi publicitaire a été désactivé tout en précisant que des publicités non-personnalisées seront tout de même proposées.

Lors de ses contrôles, la CNIL a toutefois constaté que lorsqu’un utilisateur exprime son refus de faire l’objet d’un suivi publicitaire, la société VOODOO lit tout de même l’identifiant technique associé à cet utilisateur (l’IDFV) et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires, donc sans son consentement et en contradiction avec ce qu’elle lui indique dans l’écran d’information qu’elle affiche.

L’utilisation de l’identifiant IDFV à des fins publicitaires sans le consentement de l’utilisateur constitue un manquement à l’article 82 de la loi Informatique et Libertés.

La sanction de la CNIL

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a sanctionné la société VOODOO d’une amende de 3 millions d’euros, rendue publique.

Elle a notamment justifié ce montant par le nombre de personnes concernées, par les avantages financiers obtenus du fait du manquement et par le chiffre d’affaires réalisé par la société en 2020 et 2021.

En complément de l’amende administrative, la formation restreinte a également adopté une injonction sous astreinte afin que la société recueille le consentement de l’utilisateur à l’utilisation de l’IDFV à des fins publicitaires dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 20 000 euros par jour de retard.