Une sanction rare en matière de confidentialité pour Apple : la CNIL l’a imposée annoncer Il a infligé une amende de 8 millions d’euros (~ 8,5 millions de dollars) au fabricant d’iPhone pour ne pas avoir obtenu le consentement des utilisateurs mobiles locaux avant de placer (et/ou de lire) des identifiants publicitaires sur leurs appareils en violation de la loi locale sur la protection des données.
La décision de sanctions a été rendue le 29 décembre, mais elle n’a été annoncée qu’hier ( Le texte de la résolution est disponible ici en français).
La CNIL opère dans le cadre de la directive européenne sur la confidentialité électronique – qui permet aux autorités de protection des données au niveau des États membres de prendre des mesures en cas de plainte locale pour violation, plutôt que d’exiger qu’elles soient transmises à un responsable du contrôle des données dans le pays où se trouve l’entreprise en question. . Son organisation principale se trouve dans l’Union européenne (comme c’est le cas avec le dernier règlement général sur la protection des données de l’UE, ou RGPD).
Alors que la taille de cette amende de confidentialité électronique ne causera pas de nuits blanches à Cupertino, Apple tire parti de ses revendications inégalées en matière de confidentialité des utilisateurs pour redorer sa marque haut de gamme – et différencier les iPhones des appareils Android moins chers de Google – ce qui devrait être le cas. les données sont cinglantes.
La CNIL indique qu’elle donnait suite à une plainte contre Apple pour avoir diffusé des publicités personnalisées sur son App Store. L’action concernait une ancienne version (14.6) du système d’exploitation de l’iPhone, selon laquelle – après des enquêtes du chien de garde en 2021 et 2022 – il a été constaté que le géant de la technologie n’avait pas obtenu le consentement préalable des utilisateurs pour traiter leurs données à des fins de publicité ciblée qui a été servi lorsqu’un utilisateur a visité une boutique d’applications. apple.
La CNIL a constaté qu’iOS 14.6 lit automatiquement les identifiants sur l’iPhone d’un utilisateur — ce qui sert à plusieurs fins, notamment le déclenchement de publicités personnalisées sur l’App Store — et que le traitement a eu lieu sans le consentement approprié d’Apple, selon le régulateur. Ce consentement est recueilli via un paramètre pré-vérifié par défaut. (Remarque : 2019 Guide de la CNIL sur la directive vie privée électronique Il indique que le consentement est nécessaire pour le suivi des publicités.)
Extrait d’un communiqué de la CNIL [translated from French with machine translation]:
Du fait de la finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du Service (App Store). Ainsi, il ne doit pas pouvoir être lu et/ou déposé sans que l’utilisateur n’ait exprimé son consentement préalable. Cependant, en pratique, les paramètres de ciblage publicitaire disponibles à partir de l’icône Paramètres de l’iPhone sont pré-cochés par défaut.
De plus, l’utilisateur devait effectuer un grand nombre d’actions pour réussir à désactiver ce paramètre puisque cette possibilité n’était pas intégrée au processus de configuration du téléphone. L’utilisateur devait cliquer sur l’icône Paramètres sur l’iPhone, puis aller dans le menu Confidentialité et enfin dans la section intitulée Apple Ads. Ces éléments n’ont pas permis de recueillir le consentement éclairé des utilisateurs.
La CNIL a déclaré que le niveau de l’amende reflète la portée du traitement (qui, selon elle, était limité à l’App Store) ; le nombre d’utilisateurs français concernés ; Et les bénéfices qu’Apple tire des revenus publicitaires générés indirectement à partir des données collectées par les identifiants – plus le régulateur conscient d’Apple s’est depuis rendu obligé.
Apple a été contacté pour commenter la sanction de la CNIL. Un porte-parole de la société a confirmé son intention de faire appel — envoyez-nous cette déclaration :
Nous sommes déçus de cette décision étant donné que la CNIL a précédemment reconnu que la façon dont les annonces de recherche sont diffusées dans l’App Store donne la priorité à la confidentialité des utilisateurs, et nous ferons appel. une pomme Les annonces de recherche vont plus loin que toute autre plate-forme de publicité numérique que nous connaissons en offrant aux utilisateurs un choix clair quant à savoir s’ils souhaitent ou non des annonces personnalisées. En outre, une pomme Search Ads ne suit jamais les utilisateurs sur des applications et des sites Web tiers, et utilise uniquement des données de première partie pour personnaliser les annonces. Nous pensons que la confidentialité est un droit humain fondamental et que l’utilisateur doit toujours décider si et avec qui partager ses données.
Ce n’est pas la première fois qu’Apple fait l’objet d’un examen critique de ses doubles normes de confidentialité. De retour en 2020le groupe de campagne européen sur les droits à la vie privée noyb a déposé une série de plaintes auprès des organismes de surveillance de la protection des données de l’UE concernant un identifiant pour les annonceurs (également connu sous le nom d’IDFA) caché dans l’iPhone par défaut par Apple, arguant que l’existence de l’IDFA était une violation similaire de consentement préalable au principe de traçabilité.
L’entreprise était trop Accusé d’hypocrisie en matière de vie privée ces dernières années Dans le cadre de son traitement différent en ce qui concerne le suivi de l’activité des applications des utilisateurs d’iPhone pour diffuser ses propres « annonces personnalisées » par rapport à une exigence récemment introduite selon laquelle les applications tierces obtiennent le consentement des utilisateurs – ayant soumis Transparence du suivi des candidatures (également connue sous le nom d’ATT) pour iOS en 2021.
Apple a continué à contester ces arguments – affirmant qu’ils adhèrent aux lois locales sur la confidentialité et offrent un niveau de confidentialité et de protection des données plus élevé pour les utilisateurs iOS que les plates-formes concurrentes.
Pendant ce temps, la France a été très active dans l’application des violations de la cyber-vie privée contre les géants de la technologie ces dernières années, avec un seul exemple de plus le mois passé Lorsqu’il a infligé une amende de 60 millions d’euros à Microsoft pour la conception en mode sombre en relation avec les cookies de suivi – après avoir découvert que l’entreprise ne fournissait pas de mécanisme permettant aux utilisateurs de refuser les cookies aussi simple que le bouton qu’il leur avait donné pour accepter les cookies.
AmazoneEt Google et méta (Facebook) font tous l’objet de sanctions de la CNIL pour violation de cookies depuis 2020. ET Google l’année dernière Mise à jour de la fenêtre contextuelle de consentement aux cookies dans toute l’UE (enfin) pour offrir une simple option « tout accepter » ou « tout refuser » au niveau supérieur.
TL ; D : Application réglementaire de la Loi sur la protection des renseignements personnels.
Le flux constant d’applications et de corrections que les interventions de la CNIL ont permis d’obtenir pour les utilisateurs en France via ePrivacy – une directive bien plus ancienne que le règlement général sur la protection des données (RGPD) de l’UE – a apporté un éclairage plus crucial sur le fonctionnement d’une récente loi majeure sur la protection de la vie privée. règlement qui fait l’objet d’un examen minutieux. Et l’application de la loi sur les géants de la technologie continue d’être embourbée par le forum shopping, les goulots d’étranglement procéduraux associés et les problèmes d’approvisionnement en ressources, ainsi que les désaccords entre les régulateurs sur la manière de régler ces problèmes transfrontaliers.
Mais alors qu’une plainte GDPR contre un géant de la technologie peut prendre des années, pour que le pluriel soit appliqué – comme les 4,8 années qu’il a fallu Mettre fin aux plaintes publicitaires de «consentement coercitif» contre Meta TwoFacebook et Instagram, et nous (et avec d’autres) avons encore des années potentielles d’appels à cette décision à l’avenir Même les griefs de longue date peuvent encore être durement gagnés Vers une décision finale) – La différence entre les directives et les règlements de l’UE signifie que l’application est paneuropéenne par défaut, plutôt que d’être locale à la juridiction de l’autorité de protection des données de mise en œuvre. Cela signifie qu’avec ePrivacy, toute libération de conformité plus large est à la discrétion de l’entité sanctionnée – de sorte que l’impact sur les utilisateurs peut être plus local.
» sanctions efficaces, proportionnées et dissuasives ». (Ergo, les droits des utilisateurs ici sont liés à la politique locale).
Bien que les ordres correctifs puissent avoir un impact plus important sur les grandes technologies que les sanctions financières compte tenu du montant des revenus générés par ces géants, même des amendes de centaines de millions ou plus peuvent être annulées comme un simple coût de faire des affaires. Alors que les ordres de changer les pratiques pour se conformer aux lois sur la protection de la vie privée peuvent forcer des réformes significatives.
Il convient de noter que l’Union européenne tente depuis des années de remplacer la directive e-Privacy, vieille de plus de deux décennies, par une version mise à jour. Règlement sur la confidentialité électronique. Mais pression sur les grandes technologies Les controverses et les législateurs ont conspiré sur la proposition de la commission de 2017 de bloquer le dossier pendant la majeure partie de cette période.
Les États membres ont finalement convenu d’une position de négociation commune en février 2021 – permettant enfin aux négociations tripartites de commencer. Mais Discussions entre les législateurs européens participants Les détails, grands et petits, persistent – et on ne sait pas quand (ou même si) le consensus peut être fragmenté.
Cela signifie que la directive vétéran sur la confidentialité en ligne peut encore avoir encore des années de travail à faire – et des millions de plus en grosses amendes technologiques – devant elle.
« Guru de l’alcool. Analyste. Défenseur de l’alimentation. Passionné de bacon extrême. Totalement féru d’Internet. Accro à la culture pop. Pionnier du voyage subtilement charmant. »