La CNIL vient de rendre une très attendue décision en matière de consentement des utilisateurs d'iPhone en France. Pour autant, même si elle est dotée des plus grands pouvoirs que lui confère la loi informatique et libertés, la condamnation -pourtant exemplaire dans l'Hexagone- risque de paraître un peu chiche...
Une condamnation plus lourde que prévue...
Dans une décision parue ce jour sur son site web, la Commission vient de retoquer Cupertino à hauteur de huit millions d'euros pour ne pas avoir recueilli le consentement des utilisateurs français de l’iPhone (iOS 14.6) avant de déposer et/ou d’écrire des cookies (identifiants) utilisées à des fins publicitaires sur leurs terminaux.
Finalement, l’amende retenue est bien plus importante que les recommandations adressées par François Pellegrini. Ce dernier affirmait qu'Apple devrait être condamnée à une amende de six millions d'euros, estimant qu'iOS 14 ne répondait pas aux exigences de confidentialité de l'UE. Mais certaines pourraient la trouver dérisoire face au poids et aux revenus de la firme. Après tout, Meta vient bien d'écoper d'une nouvelle amende de 400 millions d'euros pour violation du règlement de l'UE, ce même jour...
A l'époque, les utilisateurs pouvaient décider si oui ou non des applications tierces pouvaient les suivre. Pour autant, les paramètres par défaut permettaient à Apple de mener ses campagnes publicitaires sans demander le consentement préalable à ces mêmes utilisateurs.
Selon le rapporteur de l'enquête, ne pas demander le consentement des utilisateurs correctement sous iOS14.6 était une violation des règles de confidentialité en vertu de la directive ePrivacy de l'UE. D'ailleurs, il soulignait qu'iOS 15 avait prévu depuis cette possibilité. Il demandait donc que soit sanctionné le fonctionnement de la publicité personnalisée sur l'iPhone.
De par leur finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du service (l’App Store). En conséquence, ils ne doivent pas pouvoir être lus et/ou déposés sans que l’utilisateur ait exprimé son consentement préalable. Or, en pratique, les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut.
De plus, l’utilisateur devait effectuer un grand nombre d’actions pour parvenir à désactiver ce paramètre puisque cette possibilité n’était pas intégrée au parcours d’initialisation du téléphone. L’utilisateur devait ainsi cliquer sur l’icône « Réglages » de l’iPhone, se rendre ensuite dans le menu « Confidentialité » puis enfin dans la rubrique intitulée « Publicité Apple ». Ces éléments ne permettaient pas de recueillir le consentement préalable des utilisateurs.
une plainte de 2021
Pour rappel, dans la plainte déposée en 2021, France Digitale estimait que les utilisateurs ne disposaient pas assez d'informations sur le sujet.
Apple s'octroie le droit de choisir qui est un "partenaire" et qui est un "tiers", et ce, de manière arbitraire. Cette qualité peut même évoluer dans le temps, sans que l'utilisateur soit informé d'un tel changement, sous-entendant que l'entreprise californienne jouerait double jeu. Une accusation que l'on retrouve parfois, notamment dans le dossier contre Epic Games.
Apple va faire appel
En réponse, Apple se dit vraiment déçue par cette décision et affirme ne va pas vouloir en rester là. Elle entend défendre ses directives et ses lignes de conduite. Mais osons le rappeler, le problème ne repose pas sur les politiques actuelles d'Apple mais bien d'un précédent système d'il y a quelques années...
La CNIL a précédemment reconnu que la façon -dont nous diffusons des annonces de recherche dans l'App Store- donne la priorité à la confidentialité des utilisateurs, et nous ferons appel.
Apple Search Ads va plus loin que toute autre plate-forme de publicité numérique que nous connaissons en offrant aux utilisateurs un choix clair quant à savoir s'ils souhaitent ou non des publicités personnalisées.
De plus, Apple Search Ads ne suit jamais les utilisateurs sur des applications et des sites Web tiers et utilise uniquement des données de première partie pour personnaliser les annonces. Nous pensons que la confidentialité est un droit humain fondamental et qu'un utilisateur doit toujours décider de partager ses données et avec qui.
