Accueil //Blog //RGPD //Zoom sur //[DÉLIBÉRATION COMMENTÉE] CNIL vs. Apple, 29 décembre 2022

Résumé des faits

Après avoir reçu une plainte au sujet des traitements de personnalisation des annonces publicitaires diffusées dans l’App Store, la CNIL a effectué des contrôles et a constaté que sous l’ancienne version de système d’exploitation de l’iPhone, des identifiants étaient utilisés à des fins publicitaires sans recueil préalable du consentement.

La CNIL a ainsi sanctionné la société Apple Distribution International d’une amende publique de 8 millions d’euros, pour non-respect des exigences sur le consentement.

Motifs de la sanction / Manquements

  • Non-respect de l’art. 82 de la loi Informatique et Libertés

Absence de recueil de consentement préalablement au dépôt de certains traceurs.

Que retenir de la décision ?

  • Le dépôt de traceurs ayant pour objectif de diffuser des annonces pour des applications ciblées en fonction du profil de l’utilisateur nécessite la collecte préalable du consentement.
  • Pour savoir si les opérations de lecture et/ou d’écriture d’identifiants multi-finalités nécessitent le recueil préalable du consentement, il est nécessaire de déterminer si toutes les finalités définies sont exemptées du recueil du consentement.
  • Le consentement doit être univoque et se manifester par le biais d’une action positive, ce qui n’est pas le cas lorsque les paramètres sont pré-cochés par défaut.
  • Pour garantir la validité du consentement, son recueil ne doit pas intervenir tardivement dans la phase de prise en main du téléphone et doit être obligatoire, intégré au parcours d’initialisation du téléphone.
  • La CNIL est compétente pour sanctionner les pratiques qui concernent des traceurs impliquant un dépôt sur les terminaux d’utilisateurs se trouvant en France. Ces opérations relevant de la directive e-privacy qui a été transposée à l’article 82 de la loi Informatique et Libertés, le mécanisme de « guichet unique » ne s’applique pas.

Le + DLD

  • Un contrôle effectué par la CNIL peut être à l’origine d’une seule plainte.
  • Lors de la détermination du montant de l’amende, la CNIL tient, entre autres, compte non seulement du nombre de personnes concernées et des bénéfices que la société tire des manquements, mais également du fait que la société s’est mise en conformité avant le prononcé de la sanction.
  • Le CA mondial n’est pas considéré comme un critère pertinent pour décider du montant de l’amende mais permet d’éviter que le montant de l’amende ne dépasse le plafond introduit par le RGPD.
  • Pour décider de la durée de publication de la sanction, la CNIL tient notamment compte de la taille de l’entreprise, de la gravité des manquements, et de l’intérêt que représente la décision pour l’information du public.

Délibération Complète de la CNIL

Consulter

À lire aussi