La CNIL[1] a sanctionné la société APPLE[2], le 29 décembre 2022, pour n’avoir pas respecté la législation française relative à l’utilisation de traceurs[3].

Lors de l’initialisation d’un iPhone muni de la version iOS 14.6, APPLE activait la personnalisation des publicités sans informer l’utilisateur et sans obtenir son consentement préalable. Des publicités personnalisées étaient ainsi affichées au sein de l’App Store, l’application d’APPLE permettant de rechercher et d’installer d’autres applications.

L’affichage de ces publicités personnalisées était possible, car lorsque l’utilisateur se rendait dans l’App Store, les requêtes envoyées par son appareil contenaient les identifiants[4] publicitaires associés au compte, identifiants qui sont stockés dans l’appareil de l’utilisateur.

La CNIL a rappelé au fabricant d’iPhone que le consentement des utilisateurs devait être obtenu avant de lire des informations contenues dans l’appareil de l’utilisateur, sauf si le traitement effectué « a pour finalité exclusive de permettre ou faciliter la communication ». En l’espèce, APPLE récupérait les identifiants présents dans son appareil et les utilisait pour afficher des publicités personnalisées. APPLE devait donc obtenir le consentement des utilisateurs, ce qu’il ne faisait pas, car « aucun mécanisme destiné à recueillir le consentement préalable de l’utilisateur aux opérations consistant à lire les informations et identifiants précités sur son terminal ne lui a été présenté » lors « du parcours d’initialisation du téléphone équipé de la version iOS 14.6 ».

APPLE a déployé une mise à jour pour modifier le fonctionnement litigieux. Cette mise à jour « obligeait les nouveaux utilisateurs et ceux déjà équipés d’un [appareil] APPLE, pour lesquels le paramètre "Publicités personnalisées" était activé […], à effectuer un choix lors du premier lancement de l’App Store ».

Si cette nouvelle fenêtre est considérée comme une « amélioration en matière de recueil du consentement » par le rapporteur de la Commission, la mention « Apple ne suit pas vos activités » a été jugée « trompeuse », car APPLE collecte des informations sur ses utilisateurs, lorsqu’ils effectuent une recherche dans l’App Store ou télécharge une application par exemple, puis les utilise pour affecter les utilisateurs à des « segments », qui sont des groupes « d’au moins 5 000 utilisateurs partageant des caractéristiques similaires ».

APPLE a finalement indiqué que la mention sera supprimée et remplacée, « d’ici le mois de mars 2023 », par : « Apple ne suit pas vos activités sur les apps et les sites d’entreprises tierces ».

Une amende de 8 millions d’euros a été prononcée contre la société APPLE, ce qui représente 0,002 % du chiffre d’affaires[5] du groupe.

Lire :

Ma réaction à cette décision

APPLE dépense beaucoup d’énergie (et d’argent) pour être perçue comme une société se souciant de la vie privée de ses utilisateurs. APPLE a fait, par exemple, des campagnes publicitaires spécifiques intitulées « Privacy. That’s Apple. ». APPLE a, plus récemment, célébré le « Privacy Day » en annoncant des campagnes d’éducation sur le sujet de la confidentialité.

« How iPhone Helps Protect Your Privacy »
Bannière affichée par APPLE lors du Privacy Day © APPLE

APPLE a aussi déployé l’« App Tracking Transparency » (ATT), un module alertant les utilisateurs lorsqu’une application accède aux données de l’appareil, ce qui avait suscité l’ire de nombreux éditeurs, notamment Facebook[6].

Le patron d’APPLE, Tim Cook, s’est aussi déjà exprimé sur le sujet de la confidentialité, avec des mots forts :

« Si nous acceptons comme normal et inévitable, que tout dans notre vie puisse être collecté et vendu, nous perdons alors beaucoup plus que des données. Nous perdons la liberté d’être humain. »

Bref. APPLE parle et fait beaucoup sur le sujet de la confidentialité. Lorsqu’une telle sanction tombe, elle ne plaît donc pas à Cupertino, car elle vient tâcher le narratif de la marque et met en lumière des traitements qu’APPLE préfèrerait peut-être garder secret.

Oui, APPLE ne se contente pas de vendre des appareils (très chers) ainsi que des services annexes, comme des abonnements iCloud ou Apple Music. APPLE réalise aussi une part significative de son chiffre en affichant des publicités ciblées à ses utilisateurs, dans l’App Store par exemple. Pour afficher de telles publicités, il n’y a pas de secret. Il faut connaître ses utilisateurs en collectant des données sur ce qu’ils font, sur ce qu’ils aiment, sur ce qu’ils recherchent. C’est ce que fait APPLE, comme les autres géants de la Tech. Puis, il faut convaincre ses utilisateurs de bien vouloir accepter ces publicités ciblées. APPLE a vraisemblablement jugé que le plus simple était de les activer par défaut, même si cela sert plus les intérêts (financiers) d’APPLE que ceux de ses utilisateurs.

APPLE a finalement affiché la mention « Apple ne suit pas vos activités » en espérant que cela rassure ses utilisateurs, sauf que, si, APPLE suit bien certaines de vos activités, pas (encore) toutes certes.

Dernière chose, le montant de l’amende est bien sûr ridicule si on prend en compte les ressources financières de la société ($365 milliards de chiffre d’affaires) et la part de marché d’APPLE. La société a indiqué, à ce sujet, que « 27,5 millions de terminaux mobiles […] se sont connectés à l’App Store français en utilisant une adresse IP enregistrée en France entre le 5 juillet 2020 et le 5 juillet 2021 ». Les conséquences des actions d’APPLE sont donc énormes. L’amende devrait être tout aussi énorme.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés.
  2. La sanction vise la société APPLE DISTRIBUTION INTERNATIONAL (ADI), la filiale basée en Irlande de la société APPLE INC.
  3. L’article 82 de la loi Informatique et Libertés est le principal texte encadrant l’utilisation de cookies et autres traceurs. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  4. APPLE utilise plusieurs identifiants notamment le DSID (« Directory Services Identifier »), le DPID (« Device Pack Identifier ») et l’iAdId (« Directory Services Identifier »). Le DSID est l’identifiant principal, associé au compte de l’utilisateur. Le DPID et l’iAdId sont des identifiants spécifiques à la personnalisation des annnonces. Les requêtes envoyées par les iPhone aux serveurs d’APPLE contenaient les identifiants DPID et l’iAdId. APPLE ne pas utilisateur l’identifiant principal (DSID) mais deux spécifiques (DPID et iAdId) pour la personnalisation des annonces pour ne pas pouvoir identifier l’utilisateur.
  5. La société APPLE INC. a déclaré un chiffre d’affaires de 365,817 milliards de dollars en 2021 (source : Apple, Résultats annuels 2021).
  6. Le déploiement de l’« App Tracking Transparency » (ATT) et la réponse de FACEBOOK ont été abordés dans l’analyse de sanction de l’éditeur de jeux VOODOO. Voir « L’éditeur de jeux VOODOO sanctionné pour avoir collecté des données à des fins publicitaires sans le consentement des personnes ».
  7. Tim Cook, patron de Apple, a indiqué dans une vidéo postée le 03/02/2021 sur la chaine YouTube d’APPLE : « If we accept as normal and unavoidable that everything in our lives can be aggregated and sold, then we lose so much more than data. We loose the freedom to be human ».