Le 17 février 2023, la Commission nationale de l’informatique et des libertés (Cnil) a clôturé sa consultation publique sur les enjeux économiques liés au traitement de données dans les applications mobiles. Cet appel à contributions avait pour objectif d’avoir une meilleure compréhension du secteur en vue de publier un projet de recommandations au cours du deuxième trimestre 2023.
La consultation publique de la Cnil est intervenue à la suite des sanctions prononcées par la formation restreinte à l’encontre d’un éditeur d’application mobile d’une part, et de la société Apple en tant que gestionnaire de l’App Store de l’autre.
Quelle est la sanction prononcée à l’encontre de l’éditeur d’application mobile ? Quels sont les manquements constatés ? Quelles seront les futures recommandations de la Cnil sur les applications mobiles ?
Sanction prononcée à l’encontre d’un éditeur d’application mobile
Rappel des faits et la procédure
La société en cause édite des applications de jeux pour smartphone, accessibles à partir du magasin d’applications App Store.
Elle a fait l’objet de plusieurs contrôles concernant ses pratiques de dépôt et de lecture des cookies ou autres traceurs via les applications mobiles qu’elle édite. Dans le cadre de ces contrôles, la délégation de la Cnil a notamment suivi le parcours d’un utilisateur en téléchargeant onze applications de l’éditeur à partir d’un téléphone de marque Apple.
Traitement de données en cause
Les manquements constatés concernent le traitement mis en œuvre grâce à la lecture de l’IDFV (Identifier For Vendors) du terminal des utilisateurs. Il s’agit d’un identifiant mis à la disposition des éditeurs par la société Apple, leur permettant de suivre l’utilisation de leurs applications. Il est distinct pour chaque éditeur mais identique pour toutes les applications d’un même éditeur.
L’IDFV est distinct de l’IDFA (Identifier For Advertiser) qui est attribué à chaque appareil. Ce dernier permet aux acteurs publicitaires « d’identifier l’appareil de manière unique dans l’ensemble des applications mobiles installées qui utilisent cet identifiant ».
Ainsi, comparé à l’IDFA, le périmètre d’action de l’IDFV est plus restreint puisque le suivi d’activité sur les applications d’autres éditeurs est exclu.
Absence de recueil du consentement préalable
La Cnil constate qu’à l’ouverture de l’application de la société éditrice, une fenêtre appelée « App Tracking Transparency » (ATT) conçue par la société Apple est présentée à l’utilisateur.
La fenêtre ATT est destinée à recueillir le consentement de l’internaute au suivi de son activité par l’éditeur de l’application en question sur l’ensemble des applications téléchargées, quel que soit leur éditeur. Elle concerne donc les traitements mis en œuvre au moyen de l’IDFA.
La Cnil constate que dans l’hypothèse où l’utilisateur ne donne pas son consentement sur la fenêtre ATT, l’IDFA n’est pas lu par la société éditrice mais remplacé par une chaine de zéros.
En revanche, concernant l’IDFV, il ressort de la délibération de la Cnil que cet identifiant est lu et transmis par la société éditrice « à des domaines ayant des finalités publicitaires » sans recueillir le consentement préalable de ses utilisateurs.
A ce titre, la Cnil précise qu’après la fenêtre ATT, une seconde fenêtre est présentée à l’utilisateur par la société éditrice. Toutefois, l’utilisateur est uniquement invité à affirmer être âgé de plus de seize ans et accepter la politique de protection des données à caractère personnel de l’éditeur. Aucun consentement n’est donc recueilli au moyen de cette nouvelle fenêtre.
Fourniture d’une information erronée
Sur la seconde fenêtre, une information est fournie aux utilisateurs. Il est indiqué que des « données techniques n’impliquant pas de suivi » peuvent être traitées pour plusieurs finalités, y compris l’affichage « des publicités non-personnalisés en fonction de [leurs] habitudes de navigation ».
La formation restreinte considère que les termes employés ne correspondent pas à la réalité du traitement puisque l’exploitation de données de navigation fait obstacle à ce que les publicités puissent être caractérisées comme non-personnalisées. En outre, le fait que les données associées à l’IDFV ne permettent qu’une faible personnalisation est indifférent dans la mesure où il existe bien une personnalisation.
Nature des sanctions prononcées
Par conséquent, la formation restreinte de la Cnil a prononcé une sanction pécuniaire de 3 000 000 euros pour utilisation de l’IDFV à des fins publicitaires sans consentement préalable des utilisateurs.
Elle a également ordonné à l’éditeur de recueillir le consentement des utilisateurs conformément à l’article 82 de la loi Informatique et Libertés, dans un délai de 3 mois sous peine d’une astreinte de 20 000 euros par jour de retard.
Projet de recommandations de la Cnil sur les applications mobiles
Le futur projet de recommandations s’inscrit dans le cadre du plan d’action de la Cnil relative aux applications mobiles tel qu’annoncé le 24 novembre 2022.
Ces recommandations visent à fournir à l’ensemble des acteurs de l’écosystème d’applications mobiles une meilleure compréhension de leurs obligations. Seront notamment concernés les développeurs d’application, les fournisseurs de systèmes d’exploitation, les gestionnaires de magasin d’applications et les éditeurs de SDK (Software Development Kits).
Selon les discussions abordées avec les acteurs concernés, le périmètre des préconisations serait large et inclurait notamment la conception des applications, les flux de données, le recueil du consentement des utilisateurs ou encore la qualification de différents acteurs au regard de la réglementation applicable.
Une fois publié, le projet de recommandations sera soumis à consultation publique.
Mathias Avocats ne manquera pas de vous tenir informé de la publication de ce projet.