Une sanction rare pour la vie privée d’Apple : la CNIL l’a fait annoncé il a imposé une amende de 8 millions d’euros (~ 8,5 millions de dollars) au fabricant d’iPhone pour ne pas avoir obtenu le consentement de l’utilisateur mobile local avant de placer (et/ou de lire) des identifiants publicitaires sur leurs appareils en violation des lois locales sur la protection des données.
La décision de sanctions a été rendue le 29 décembre mais n’a été annoncée qu’hier (le le texte de la décision est disponible ici en France).
La CNIL agit dans le cadre de la directive européenne ePrivacy – qui permet aux autorités de protection des données au niveau des pays membres de prendre des mesures sur les plaintes locales concernant les violations, au lieu de les renvoyer au principal organisme de surveillance des données dans le pays où l’entreprise en question a un établissement principal dans l’UE (comme ce fut le cas avec le règlement général sur la protection des données ou le nouveau RGPD de l’UE).
Bien que la taille de cette amende ePrivacy ne conduise pas à des nuits blanches à Cupertino, Apple tire parti de ses revendications de confidentialité des utilisateurs inégalées pour peaufiner sa marque haut de gamme – et différencier l’iPhone du matériel moins cher exécutant la plate-forme Android de Google – de sorte que toute atteinte à sa réputation protège Les données des utilisateurs devraient piquer.
La CNIL a indiqué donner suite à une plainte contre Apple pour avoir affiché des publicités personnalisées sur son App Store. L’action concerne les anciennes versions (14.6) du système d’exploitation iPhone, où – après une enquête des inspecteurs en 2021 et 2022 – il a été constaté que le géant de la technologie n’avait pas obtenu le consentement préalable des utilisateurs pour traiter leurs données pour des publicités ciblées diffusées lorsque les utilisateurs ont visité l’App Store d’Apple.
La CNIL a constaté qu’iOS v14.6 lit automatiquement les identifiants sur les iPhones des utilisateurs – ce qui a plusieurs objectifs, y compris l’activation de la publicité personnalisée dans l’App Store – et que ce traitement se produit sans le consentement approprié d’Apple, de l’avis des régulateurs, en tant que consentement est en cours de collecte via les paramètres précédemment cochés par défaut. (NB : 2019 Lignes directrices de la CNIL sur la directive ePrivacy spécifie que l’autorisation est requise pour le suivi des publicités.)
Extrait du communiqué de presse de la CNIL [translated from French with machine translation]:
Du fait de ses finalités publicitaires, cet identifiant n’est pas strictement nécessaire à la fourniture du service (App Store). En conséquence, elles ne peuvent être lues et/ou stockées sans l’accord préalable de l’utilisateur. Cependant, en pratique, les paramètres de ciblage publicitaire disponibles depuis l’icône « Paramètres » de l’iPhone sont pré-cochés par défaut.
De plus, l’utilisateur doit effectuer de nombreuses actions pour réussir à désactiver ce paramètre car cette possibilité n’est pas intégrée au processus d’initialisation du téléphone. Les utilisateurs doivent cliquer sur l’icône « Paramètres » de l’iPhone, puis aller dans le menu « Confidentialité » et enfin dans la section intitulée « Apple Ads ». Ces éléments rendent impossible le recueil du consentement préalable des utilisateurs.
La CNIL a déclaré que le niveau de l’amende reflétait l’étendue du traitement (qui se limitait à l’App Store), le nombre d’utilisateurs français concernés et les bénéfices qu’Apple a tirés des revenus publicitaires générés indirectement à partir des données collectées par les identifiants. ainsi que les régulateurs d’affacturage chez Apple depuis quand il lui avait obéi.
Nous avons contacté Apple pour commenter les sanctions de la CNIL. Un porte-parole de l’entreprise a confirmé son intention de faire appel — nous a envoyé cette déclaration :
Nous sommes déçus par cette décision étant donné que la CNIL a précédemment reconnu que la façon dont nous diffusons des annonces de recherche sur l’App Store accorde la priorité à la confidentialité des utilisateurs, et nous ferons appel de cela. Apple Search Ads va plus loin que toute autre plate-forme de publicité numérique que nous connaissons en donnant aux utilisateurs un choix clair s’ils veulent ou non des publicités personnalisées. De plus, Apple Search Ads ne suit jamais les utilisateurs sur des applications et des sites Web tiers et utilise uniquement des données de première partie pour personnaliser les annonces. Nous pensons que la confidentialité est un droit humain fondamental et que les utilisateurs doivent toujours décider s’ils souhaitent partager leurs données et avec qui.
Ce n’est pas la première fois qu’Apple fait l’objet d’un examen critique de la double norme en matière de confidentialité. De retour en 2020Le groupe de campagne européen sur les droits à la vie privée NOYB a déposé une série de plaintes auprès de l’organisme de surveillance de la protection des données de l’UE concernant l’identifiant pour les annonceurs (IDFA) intégré par défaut dans les iPhones par Apple, arguant que l’existence d’IDFA constituait une violation similaire de son accord antérieur sur les principes de suivi.
La société a également accusé d’hypocrisie en matière de vie privée ces dernières années pour son traitement différent du suivi de l’activité des applications des utilisateurs d’iPhone pour diffuser ses propres « annonces personnalisées » par rapport à l’exigence nouvellement introduite selon laquelle les applications tierces obtiennent le consentement des utilisateurs – après l’introduction Transparence du suivi des applications (ATT) vers iOS en 2021.
Apple continue de faire valoir ces arguments, affirmant qu’il respecte les lois locales sur la confidentialité et offre un niveau de confidentialité et de protection des données plus élevé pour les utilisateurs d’iOS que les plates-formes concurrentes.
La France, quant à elle, a été très active dans l’application des violations d’ePrivacy contre le géant de la technologie ces dernières années, avec juste un autre exemple le mois dernier en frappant Microsoft d’une amende de 60 millions d’euros pour la conception de motifs sombres en relation avec le suivi des cookies – après avoir découvert que l’entreprise n’offre aucun mécanisme permettant aux utilisateurs de refuser les cookies aussi facilement qu’un bouton qui leur est présenté pour accepter les cookies.
AmazonesGoogle et Méta (Facebook) fait également l’objet de sanctions de la CNIL pour violation des cookies depuis 2020. Dan Google l’année dernière a ensuite mis à jour les fenêtres contextuelles de consentement aux cookies à l’échelle de l’UE pour (éventuellement) offrir de simples options « tout accepter » ou « tout refuser » au niveau supérieur.
TL ; DR : L’application des règles de confidentialité fonctionne.
Le flux constant d’application et de corrections que l’intervention de la CNIL peut apporter aux utilisateurs en France via ePrivacy – une directive européenne bien plus ancienne que le RGPD – a jeté un éclairage supplémentaire sur le fonctionnement du dernier règlement phare sur la protection de la vie privée où la surveillance et l’application des les géants de la technologie continuent, entravés par le forum shopping, les goulets d’étranglement procéduraux associés et les problèmes de ressources, ainsi que les différends entre les régulateurs sur la manière de résoudre ces affaires transfrontalières.
Mais alors que les plaintes GDPR contre les géants de la technologie peuvent prendre des années, il est courant qu’elles soient appliquées – comme les 4,8 années environ qu’il faut pour résolution des plaintes publicitaires de « consentement forcé » contre deux propriétés MetaFacebook et Instagram, et toujours avec des années d’appels possibles de cette décision à l’avenir (et avec d’autres même les griefs de longue date continuaient d’avancer péniblement vers une décision finale) — la différence entre la directive de l’UE et le règlement signifie que l’application est paneuropéenne par défaut, plutôt que d’être localisée dans la juridiction de l’APD qui l’applique. Cela signifie qu’avec ePrivacy, tout déploiement de conformité plus large est à la merci de l’entité sanctionnée, de sorte que l’impact pour les utilisateurs est plus localisé.
De plus, toute sanction GDPR peut (éventuellement) être plus substantielle que la piqûre d’ePrivacy – avec GDPR autorisant des amendes allant jusqu’à 4% du chiffre d’affaires annuel mondial, tandis qu’ePrivacy s’en tient à l’ancien régime laissant aux États membres le soin de définir « des règles efficaces et proportionnées ». « sanctions. , et dissuasives ». (Ergo, les droits des utilisateurs ici sont liés à la politique locale.)
Cependant, les ordres correctifs peuvent avoir beaucoup plus d’impact pour les grandes technologies que les sanctions financières compte tenu des revenus que ces géants gagnent – car même des amendes atteignant des centaines de millions ou plus peuvent être amorties comme de simples coûts de faire des affaires. Alors que les ordres de changer les pratiques pour se conformer aux lois sur la protection de la vie privée peuvent forcer des réformes significatives.
Il convient de noter que l’UE essaie – depuis des années – de remplacer la directive ePrivacy qui a maintenant plus de deux décennies par une mise à jour. Règlement ePrivacy. Cependant, grand lobby technologique et les querelles des députés au sujet de la proposition de la Commission de 2017 ont conspiré pour retarder sa soumission pendant la majeure partie de cette période.
Les États membres se sont finalement mis d’accord sur des positions de négociation communes en février 2021, ce qui a finalement permis d’entamer les négociations en trilogue. Mais débat entre colégislateurs de l’UE les détails, petits et grands, continuent – et on ne sait pas quand (ou même si) un consensus peut être trouvé.
Et cela signifie que les directives ePrivacy vétérans peuvent encore avoir des années d’inactivité – et des millions d’autres amendes technologiques majeures – devant eux.
« Fanatique de la musique amateur. Ninja de l’alcool. Troublemaker sans vergogne. Passionné de nourriture. Introverti extrême. Nerd du voyage certifié. »
