Rare sanction de la vie privée pour Apple : l’organisme de surveillance français de la protection des données, la CNIL, a annoncé qu’il imposerait une amende de 8 millions d’euros (~8,5 millions de dollars) au fabricant d’iPhone pour avoir omis d’obtenir le consentement de l’utilisateur mobile local avant de placer (et/ou de lire) un identifiant publicitaire sur leurs appareils qui enfreignent les lois locales sur la protection des données.

La décision de sanctions a été rendue le 29 décembre mais n’a été annoncée qu’hier (le texte de la décision est disponible ici en français).

La CNIL agit dans le cadre de la directive ePrivacy de l’Union européenne – qui permet aux autorités de protection des données au niveau des États membres de prendre des mesures sur les plaintes locales concernant les violations, plutôt que de les renvoyer à l’inspecteur principal des données dans le pays où l’entreprise les détient. établissement majeur de l’UE (comme cela s’est produit avec le plus récent règlement général sur la protection des données de l’UE, ou RGPD).

Bien que cette mesure d’amendes ePrivacy ne conduise pas à des nuits blanches à Cupertino, Apple tire parti de ses revendications inégalées en matière de confidentialité des utilisateurs pour peaufiner sa marque haut de gamme – et différencier les iPhones du matériel moins cher exécutant la plate-forme Android de Google – donc toute baisse de sa réputation de protection des données des utilisateurs doit piquer.

La CNIL a indiqué donner suite à une plainte contre Apple pour avoir affiché des publicités personnalisées sur son App Store. Les actions concernent les anciennes versions (14.6) du système d’exploitation de l’iPhone, où – après une enquête des inspecteurs en 2021 et 2022 – il a été constaté que le géant de la technologie n’avait pas obtenu le consentement préalable des utilisateurs pour traiter leurs données pour les publicités ciblées diffusées. lorsqu’un utilisateur visite l’App Store d’Apple.

La CNIL a constaté qu’iOS v14.6 lit automatiquement les identifiants sur l’iPhone d’un utilisateur — qui servent à plusieurs fins, y compris la possibilité de publicité personnalisée dans l’App Store — et que le traitement se produit sans qu’Apple obtienne le consentement approprié, de l’avis des régulateurs, car ce consentement est recueilli via les paramètres, qui ont été cochés auparavant par défaut. (NB : Les directives CNIL 2019 sur la directive ePrivacy stipulent que le consentement est requis pour le suivi des publicités.)

Extrait du communiqué de presse de la CNIL [translated from French with machine translation]:

Du fait de ses finalités publicitaires, cet identifiant n’est pas strictement nécessaire à la fourniture du service (App Store). En conséquence, elles ne peuvent être lues et/ou stockées sans l’accord préalable de l’utilisateur. Cependant, en pratique, les paramètres de ciblage publicitaire disponibles à partir de l’icône « Paramètres » de l’iPhone sont pré-cochés par défaut.

De plus, l’utilisateur doit effectuer de nombreuses actions pour réussir à désactiver ce paramètre car cette possibilité n’est pas intégrée au processus d’initialisation du téléphone. Les utilisateurs doivent cliquer sur l’icône « Paramètres » de l’iPhone, puis accéder au menu « Confidentialité » et enfin à la section intitulée « Publicité Apple ». Ces éléments rendent impossible le recueil du consentement préalable des utilisateurs.

La CNIL a déclaré que le niveau de l’amende reflétait la portée du traitement (qui, selon elle, était limité à l’App Store) ; le nombre d’utilisateurs français concernés ; et les bénéfices qu’Apple tire des revenus publicitaires générés indirectement à partir des données collectées par les identifiants – et les régulateurs d’affacturage d’Apple se sont depuis conformés.

Apple a été contacté pour commenter les sanctions de la CNIL. Un porte-parole de la société a confirmé son intention de faire appel en nous envoyant cette déclaration :

Nous sommes déçus par cette décision étant donné que la CNIL a précédemment reconnu que la façon dont nous diffusons des annonces de recherche sur l’App Store accorde la priorité à la confidentialité des utilisateurs, et nous ferons appel de cela. Apple Search Ads va plus loin que toute autre plate-forme de publicité numérique que nous connaissons en donnant aux utilisateurs un choix clair s’ils veulent ou non des publicités personnalisées. De plus, Apple Search Ads ne suit jamais les utilisateurs sur des applications et des sites Web tiers et utilise uniquement des données de première partie pour personnaliser les annonces. Nous pensons que la confidentialité est un droit humain fondamental et que les utilisateurs doivent toujours décider s’ils souhaitent partager leurs données et avec qui.

Ce n’est pas la première fois qu’Apple fait l’objet d’un examen critique de la double norme en matière de confidentialité. En 2020, le groupe de campagne européen pour les droits à la vie privée noyb a déposé une série de plaintes auprès de l’organisme de surveillance de la protection des données de l’UE concernant l’identifiant pour les annonceurs (alias IDFA) entré par défaut dans les iPhones par Apple, arguant que l’existence des IDFA était une violation similaire de son précédent accords sur les principes de suivi.

La société a également été accusée d’hypocrisie en matière de confidentialité ces dernières années en raison de son traitement différentiel lié au suivi de l’activité des applications des utilisateurs d’iPhone pour diffuser ses propres « annonces personnalisées » par rapport à l’exigence récemment introduite selon laquelle les applications tierces obtiennent le consentement des utilisateurs – après l’introduction du Fonction de transparence App Tracking (alias ATT) vers iOS en 2021.

Apple continue de faire valoir cet argument, affirmant qu’il respecte les lois locales sur la confidentialité et offre un niveau de confidentialité et de protection des données plus élevé pour les utilisateurs d’iOS que les plates-formes concurrentes.

La France, quant à elle, a été très active dans l’application des violations d’ePrivacy contre le géant de la technologie ces dernières années, avec un autre exemple le mois dernier lorsqu’il a infligé à Microsoft une amende de 60 millions d’euros pour la conception de modèles sombres en relation avec le suivi des cookies – après avoir trouvé le La société n’avait pas encore proposé de mécanisme aux utilisateurs pour refuser les cookies, c’est aussi simple qu’un bouton qui leur est donné pour accepter les cookies.

Amazon, Google et Meta (Facebook) font également l’objet de sanctions de la CNIL pour des violations liées aux cookies depuis 2020. ‘tout refuser’. ‘ au niveau supérieur.

tl ; dr : L’application des règles de confidentialité fonctionne.

Le flux constant d’application et de corrections que l’intervention de la CNIL peut apporter aux utilisateurs en France via ePrivacy – une directive européenne bien plus ancienne que le RGPD – a mis en lumière le fonctionnement du dernier règlement phare sur la protection de la vie privée où la surveillance et l’application chez les géants de la technologie continue d’être entravé par le forum shopping, les goulots d’étranglement procéduraux et les problèmes de ressources qui y sont liés, ainsi que par les différends entre les régulateurs sur la manière de résoudre ces affaires transfrontalières.

Mais alors que les plaintes GDPR contre les géants de la technologie peuvent prendre des années, plusieurs fois pour être appliquées – comme les ~ 4,8 ans qu’il a fallu pour résoudre les plaintes publicitaires de «consentement forcé» contre deux propriétés Meta, Facebook et Instagram, et encore potentiellement des années pour faire appel de cette décision avant (et avec d’autres plaintes encore plus anciennes encore péniblement vers une décision finale) – les différences entre la directive de l’UE et les réglementations signifient que l’application est paneuropéenne par défaut, plutôt que d’être localisée dans la juridiction du pays. appliquer la DPA. Cela signifie qu’avec ePrivacy, les déploiements de conformité plus larges restent à la discrétion de l’entité sanctionnée, de sorte que l’impact pour les utilisateurs peut être plus localisé.

De plus, toute sanction GDPR (éventuellement) peut également être plus substantielle que l’aiguillon d’ePrivacy – le GDPR autorisant des amendes pouvant atteindre 4% du chiffre d’affaires annuel mondial, tandis que ePrivacy est resté fidèle à l’ancien régime, laissant aux États membres le soin de fixer des sanctions qui étaient « effectives, proportionnées et dissuasives ». (Ergo, les droits des utilisateurs ici sont liés à la politique locale.)

Bien que les ordonnances correctives puissent avoir beaucoup plus d’effet pour les grandes technologies que les sanctions financières, compte tenu des revenus générés par ces géants – car même des amendes atteignant des centaines de millions ou plus peuvent être amorties comme de simples coûts de faire des affaires. Alors que les ordres de changer les pratiques pour se conformer aux lois sur la protection de la vie privée peuvent forcer des réformes significatives.

Il convient de noter que l’UE essaie – depuis des années – de remplacer la directive ePrivacy, vieille de plus de deux décennies, par un règlement ePrivacy mis à jour. Mais le grand lobby technologique et les querelles des législateurs sur les propositions de la Commission de 2017 ont conspiré pour retarder le dossier pendant une grande partie de cette période.

Les États membres se sont finalement mis d’accord sur des positions de négociation communes en février 2021, ce qui a finalement permis le début des négociations en trilogue. Mais le débat entre les législateurs européens sur les petits et grands détails se poursuit – et on ne sait pas quand (ou même si) un consensus pourra être finalisé.

Et cela signifie que les directives ePrivacy vétérans peuvent encore avoir des années de service – et des millions d’autres dans des amendes technologiques majeures – devant eux.