Dans sa délibération en date du 29 décembre 2022 [1], la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») a prononcé une sanction de 3 millions d’euros à l’encontre de la société VOODOO (ci-après « la société ») pour avoir détourné la fonction d’un identifiant technique à des fins de publicité sans le consentement de l’utilisateur.
La société VOODOO est spécialisée dans l’édition de jeux vidéo sur smartphones. Le 19 août 2021, la CNIL a procédé à un contrôle en ligne sur le site www.voodoo.io (à partir d’un ordinateur) et sur l’application Helix Jump (à partir d’un smartphone APPLE) afin d’identifier les cookies et traceurs déposés et lus par la société.
Lors du lancement du jeu mobile, une fenêtre « App Tracking Transparency » (ci-après « fenêtre ATT ») conçue par APPLE apparait afin d’obtenir le consentement de l’utilisateur au suivi de ses activités sur les applications téléchargées. Indépendamment de la réponse apportée par l’utilisateur durant cette étape, une seconde fenêtre relative au suivi publicitaire est présentée à l’utilisateur par l’éditeur de l’application.
A. Sur les traitements de données personnelles et la responsabilité de la société
La procédure de la CNIL porte sur les opérations de lecture de « l’Identifier For Advisers » (« IDFA ») et de « l’Identifier for Vendors » (« IDFV »). L’IDFA est un identifiant unique attribué par le système d’exploitation iOS de la marque APPLE ayant pour but de d’identifier l’appareil de manière unique pour les acteurs publicitaires. L’IDFV est un identifiant unique pour chaque éditeur, mis à disposition par APPLE, et permettant de suivre l’utilisation effectuée de l’ensemble de leurs applications.
Sur la responsabilité des traitements, la société a indiqué au cours de la procédure qu’elle détermine les finalités et les moyens des traitements de données personnelles mis en œuvre. Elle est, par conséquent, responsable de traitement du dépôt et de la lecture des identifiants (« cookies »).
B. Sur le manquement à l’article 82 de la loi Informatique et Libertés
La CNIL retient que lorsque l’utilisateur cliquait sur « Demander à l’app de ne pas suivre mes activités » (fenêtre ATT), la seconde fenêtre présentée par la société dans l’application ne contenait aucun mécanisme destiné à recueillir le consentement de l’utilisateur. Dans ce cas de figure, l’identifiant publicitaire d’APPLE (« IDFA ») n’était pas lu, en revanche l’IDFV était transmis à des domaines ayant des finalités publicitaires avec d’autres informations sur les paramètres de l’appareil (langue, modèle, batterie, etc…). De fait, l’utilisation détournée de l’identifiant IDFV à des fins de publicité et sans le consentement de l’utilisateur entraine la violation de l’article 82 de la loi Informatique et Libertés.
Quant à l’information affichée sur la seconde fenêtre lors du lancement de l’application, même en cas de refus du suivi de l’utilisateur exprimée sur la fenêtre ATT, l’application mentionnait une collecte d’informations sur les « habitudes de navigation » à des fins de publicités non personnalisés. Sur ce point, la formation restreinte de la CNIL retient que le fait de collecter des informations sur les « habitudes de navigation » fait obstacle à la qualification de publicités « non personnalisées ».
Enfin, la CNIL estime que le fait que chaque utilisateur joue pendant une durée de 17 minutes par mois ne rend pas la collecte de données insignifiante. En effet, les contrôles effectués démontraient une collecte significative de données personnelles de l’utilisateur à des fins publicitaires.
[1] Délibération SAN-2022-026 du 29 décembre 2022 concernant la société VOODOO