Blog Données personnelles

La CNIL sanctionne APPLE DISTRIBUTION INTERNATIONAL à hauteur de 8 millions d’euros

Dans sa délibération en date du 29 décembre 2022 [1], la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a prononcé une sanction de 8 millions d’euros à l’encontre d’APPLE pour le dépôt d’identifiants publicitaires (« cookies ») sur les terminaux mobiles sans avoir recueilli le consentement des utilisateurs français de la version iOS 14.6.

I. Les faits et la procédure

Le groupe APPLE met à disposition ses applications à travers l’App Store, l’iTunes Store et le Mac App Store dans l’Espace économique européen.
A la suite d’une saisine le 10 mars 2021, la CNIL a mené plusieurs contrôles et a constaté que sous la version 14.6 iOS (système d’exploitation des iPhones), des identifiants concernant la publicité ciblée étaient lus par défaut automatiquement sur les terminaux et sans le consentement de l’utilisateur lorsque ce dernier se rendait sur l’App Store (magasin d’applications).

II. Les motifs de la décision

A. Sur la compétence de la CNIL
La CNIL est matériellement compétente pour contrôler et le cas échéant adopter des sanctions pour les dépôts de cookies sur des terminaux d’utilisateurs situés en France.
La formation restreinte a considéré que la CNIL est également territorialement compétente car le recours aux identifiants est effectué dans le « cadre des activités » des sociétés APPLE RETAIL France et APPLE France qui constituent des « établissements » sur le territoire français du groupe APPLE.

B. Le manquement à la loi Informatique et Libertés
L’article 82 de la loi Informatique et Libertés exige un consentement de l’utilisateur pour le dépôt et la lecture d’identifiants (« cookies ») sur le terminal sauf lorsque ce dépôt est strictement nécessaire à la fourniture d’un service de communication en ligne.

Or, de par leur finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du service AppStore.

Dans le cas d’espèce :

  • les paramètres de publicité ciblée, modifiables dans le menu « Réglages » de l’iPhone, étaient activés par défaut
  • la désactivation du paramètre de publicité ciblée était compliquée et nécessitait plusieurs actions de la part de l’utilisateur (Menu « Réglages », « Confidentialité », « Publicité Apple »)

Par conséquent, le consentement préalable des utilisateurs au dépôt de ces identifiants publicitaires sur les terminaux étant absent, le manquement à l’article 82 de la loi Informatique et Libertés (transposition en droit interne de l’article 5(3) de la directive « ePrivacy ») est caractérisé. Les versions ultérieures d’iOS se sont mises en conformité avec la législation en vigueur.


[1Délibération de la formation restreinte n°SAN-2022-025 du 29 décembre 2022 concernant la société APPLE DISTRIBUTION INTERNATIONAL