La CNIL a sanctionné la société VOODOO, le 29 décembre 2022, pour n’avoir pas respecté la législation française relative à l’utilisation de traceurs[1].

La société VOODOO édite des jeux pour appareils APPLE. Lors de l’ouverture de onze de ses jeux[2], l’appareil affichait une notification à l’utilisateur pour demander son consentement au pistage de ses activités. Cette notification est affichée par APPLE, dès qu’une application tente d’accèder à certaines données de l’appareil[3].

Une seconde notification était ensuite présentée à l’utilisateur. Cette notification, réalisée par la société VOODOO cette fois, demandait à l’utilisateur d’accepter la politique de protection des données de la société et de certifier être agé de plus de seize ans. Cette seconde notification ne contenait toutefois « aucun bouton ou case à cocher destinés à recueillir [le] consentement à d’autres formes d’annonces personnalisées ».

Une fois les deux notifications présentées, quel que soit le choix de l’utilisateur, la société VOODOO utilisait l’identifiant « IDFV » de l’appareil, un identifiant proposé par APPLE pour permettre aux éditeurs de « suivre l’utilisation de leurs applications par les utilisateurs », et l’envoyait « à des [sites] ayant des finalités publicitaires ». D’autres informations[4] liées à l’appareil de l’utilisateur et à son utilisation étaient également envoyées, comme le nom de l’application utilisée et le temps passé.

La CNIL a rappelé à l’éditeur de jeux VOODOO que le consentement des utilisateurs devait être obtenu avant de lire des informations sur son appareil, sauf si le traitement effectué « a pour finalité exclusive de permettre ou faciliter la communication ». L’identifiant « IDFV », proposé par APPLE et utilisé par la société, ne rentre pas dans cette exception, car il permet « de suivre l’activité de l’utilisateur au sein des applications éditées par VOODOO à des fins publicitaires ». La société VOODOO devait, par conséquent, obtenir le consentement des personnes avant de l’utiliser, ce qu’il n’a pas fait.

La Commission française reproche également à la société VOODOO le contenu du message affiché en cas d’opposition au suivi. Les termes employés étaient « de nature à induire en erreur les utilisateurs » et « ne correspond[ai]ent pas à la réalité du traitement effectué par la société ». La société indiquait, par exemple, collecter des « données techniques n’impliquant pas de suivi » pour proposer « des publicités non personnalisées en fonction de vos habitudes de navigation ». La CNIL a estimé que des publicitées ne peuvent pas être qualifiées de « non personnalisées » si elles dépendent des « habitudes de navigation » de l’utilisateur.

Une amende de 3 millions d’euros a été prononcée contre la société VOODOO. Une astreinte de 20 000 € par jour a également été prononcée, si la société ne se met pas en conformité sous trois mois.

Lire :

Ma réaction à cette décision

Pour le moment, la CNIL n’a jamais publiquement sanctionné une entreprise pour des manquements à la règlementation sur les cookies/traceurs au sein d’applications. C’est une première et c’est une très bonne chose, car les éditeurs ne se privent pas, comme l’attestent les audits réalisés par l’association française Exodus Privacy.

Cette délibération parle du module « App Tracking Transparency », introduit par APPLE en 2021 pour améliorer la vie privée de ses utilisateurs. Ce module notifie les utilisateurs dès qu’une application accède à l’identifiant publicitaire de l’appareil. Lorsque ce module avait été annoncé, les sociétés dont le modèle économique repose sur la collecte de données personnelles ou l’affichage de publicités (ciblées), s’étaient révoltées. FACEBOOK, qui avait probablement peur de voir ses revenus s’effondrer, avait même financé une vaste campagne de publicité à l’encontre d’APPLE, dans laquelle il prétextait défendre les petites entreprises.

« We’re standing up to Apple for small businesses everywhere »
Une affiche publicitaire financée par FACEBOOK

Comme FACEBOOK, la société VOODOO a fait le choix de dépendre « quasi exclusivement de l’affichage de publicités ». La tentation est donc forte de contourner le module de protection d’APPLE et de ne pas respecter les contraintes strictes en matière de consentement. Les risques, eux, sont minimes, car même si la CNIL finit (parfois) par sanctionner, la sanction est relativement petite. Pour le cas de VOODOO, qui revendique 5,8M d’utilisateurs français, dont 57% qui refusent le suivi, 3 M€ représentent ≃1 € par utilisateur. La société VOODOO a certainement gagné plus en collectant des données sur ses utilisateurs et en affichant des publicités ciblées. Le « crime » paie.

Notes et références

  1. L’article 82 de la loi Informatique et Libertés est le principal texte encadrant l’utilisation de cookies et autres traceurs. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  2. Les contrôles de la CNIL ont porté sur les jeux nommés « Paper.io 2 », « Aquapark.io », « Crowd City », « Hole.io », « Snake VS Block », « Shortcut Run », « Woodturning 3D », « Spiral Roll », « Scribble Rider », « Cube Surfer » et « Helix Jump ».
  3. La notification imposée par APPLE aux éditeurs d’application fait partie de son module « App Tracking Transparency » (ATT), introduit dans la version iOS 14 d’avril 2021 pour obliger les éditeurs à obtenir le consentement des utilisateurs avant d’accéder aux identifiants publicitaires contenus dans le téléphone.
  4. Les informations liées à l’appareil envoyés étaient notamment la langue du système, le modèle de l’appareil, la luminosité de l’écran, le niveau de la batterie et l’espace mémoire disponible. Les informations liées à l’utilisation étaient le nom de l’application utilisée et le temps passé.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés