logo DrDataLe tiers de confiance des données de santé.
Nous contacter

Finalités publicitaires et non respect du consentement ou comment Apple se fait sanctionner par la CNIL

23 janvier 2023Temps de lecture : 5min
ConsentementAppleCookiesCNIL
permission-dont-have-permission-no-permission-gif-12128480

Du "profiling" utilisateurs à la publicité ciblée : le vrai sujet du consentement posé par la CNIL

Le vœu pieux de tout publicitaire serait de pouvoir “profiler” ses clients/utilisateurs sans contrainte et sans limite, dans le monde physique ou numérique. L’espace numérique offre la possibilité de tracer presque tout, comme le nombre de clics, le temps passé sur un écran, la localisation de l’internaute, ses habitudes de consommation (compulsif ou raisonné…). Heureusement pour les consommateurs, les autorités de contrôle de protection des données veillent, surveillent et quand une violation de la loi est avérée, sanctionnent.

Dans l’affaire étudiée dans le présent article, le contexte est le suivant, comme décrit dans l’article récapitulatif de la CNIL sur cette sanction: 

À la suite d’une plainte portant sur les traitements de personnalisation des annonces publicitaires diffusées dans l’App Store, la CNIL a effectué plusieurs contrôles en 2021 et 2022 afin de vérifier le respect de la réglementation applicable.

Les services de la CNIL ont constaté que sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement.

Le 29 décembre 2022, la formation restreinte de la CNIL a sanctionné la société APPLE DISTRIBUTION INTERNATIONAL à hauteur de 8 millions d’euros pour ne pas avoir recueilli le consentement des utilisateurs français d’iPhone (version iOS 14.6) avant de déposer et/ou d’écrire des identifiants utilisés à des fins publicitaires sur leurs terminaux.

Nous observons dans ce court extrait de l’article de la CNIL que deux notions sont en jeu:

i) celle de la finalité publicitaire et surtout ii) celle du consentement

Il est possible d’ajouter la notion de design utilisateur dans la conception des réglages par défaut d’un système d’exploitation. L’Affaire Apple permet d’illustrer de manière très opérationnelle comment appliquer ce principe juridique de privacy by design.

Démarrons par la définition de la finalité publicitaire et l’enjeu de son efficacité avant d’exposer comment l’articuler avec le consentement de la personne concernée (bien souvent, le prospect ou le consommateur).

La publicité ciblée (ou personnalisée) est une technique publicitaire qui vise à identifier les personnes individuellement afin de leur diffuser des messages publicitaires spécifiques en fonction de caractéristiques individuelles.

Pour effectuer de la publicité ciblée il faut donc connaître la personne consultant la publicité et disposer d’informations sur elle afin de choisir un contenu publicitaire plus susceptible de la faire interagir, par exemple concernant l’un de ses centres d’intérêt supposés ou une intention d’achat. Dans ce but, les acteurs de la publicité constituent des « profils » qui sont associés aux utilisateurs.

Sur Internet, ces informations sur les intérêts de la personne sont souvent obtenues via des traceurs comme des cookies ou bien sont achetées à des tiers. En raison de l’impossibilité de traiter toutes ces informations manuellement, la publicité ciblée est presque exclusivement programmatique. La publicité programmatique permet de planifier l’achat automatique d’éléments d’inventaire selon des critères prédéfinis (prix, caractéristiques de l’audience, géolocalisation…). 

Pour être efficace, cette publicité nécessite l’obtention d’une quantité volumineuse et conséquente de données personnelles afin d’offrir une personnalisation extrême. Chaque individu a des publicités spécialement choisies et élaborées pour lui.

Cette collecte massive permet de profiler très précisément une personne (préférences et goûts du moment grâce au contenu consulté en ligne, mode de vie, niveau socio-culturel…). Ces profils sont construits par de nombreux acteurs qui accumulent les données personnelles au fil du temps et cela dépeint une image plus ou moins complète d’une personnalité. Il est possible de révéler grâce à des croisements de données des informations que vous n’auriez pas envie de divulguer (exemple: état de votre santé grâce à votre historique de recherche sur internet et par l’identification d’élément de votre bracelet connecté qui donne des constantes).

La donnée a de la valeur, l'information éthique et le consentement de l'utilisateur aussi !

Bien évidemment, plus un profil est complet, plus il sera valorisable et devient une manne financière pour la société de revente (vous vous demandez combien coûte vos données personnelles? DrData l’a évalué ici grâce à son Simulateur!). Ces organismes de ventes de données personnelles ont donc tout intérêt à ce que le maximum d’informations sur une personne soit récolté et ainsi que le dépôt d’un maximum de traceurs puisse être effectué sur les outils (ordinateur, smartphone, objet connecté) de la personne concernée.

Cependant, la personne concernée n’a pas toujours l'information sur cette collecte qui peut s’effectuer à son insu.
C’est le deuxième élément qui va être illustré ici, l'expression du choix de la personne obtenue avec son consentement.

L’article 82 de la loi informatique et libertés qui transpose une des mesures de la directive ePrivacy dispose : 

Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

  • De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement;

  • Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Afin de parachever cette disposition de l’article 82, il convient de préciser les conditions d’un consentement en bonne et due forme.
Le consentement est valable si et seulement s’il est

  • libre (sans contrainte pour la personne)

  • éclairé ( la personne est informée des finalités du recueil du consentement)

  • univoque (garde un sens unique, n’est pas ambigu)

  • spécifique (pour une finalité de traitement précise et non pas une multitude de finalités)

C’est ce consentement qui va autoriser le dépôt de traceurs et le recueil de données de la personne concernée. Dans l'affaire d’Apple, la société n’a pas effectué ce recueil de consentement. Le dépôt de l'identifiant utilisé à des fins publicitaires sur les terminaux des clients Apple s’est fait illégalement. De plus, dans les réglages de l'iPhone, les paramètres de ciblage de publicité étaient pré-cochés par défaut sans être présenté lors de l’initialisation du téléphone. L’utilisateur devait effectuer un nombre d’actions important avant de pouvoir finalement désactiver cette fonctionnalité.
Ce fonctionnement ne permet évidemment pas de recueillir le consentement préalable de l’utilisateur. Ce n’est pas non plus conforme au principe de Privacy by design, soit de protection de la vie privée dès la conception imposé par le RGPD. Certes, cette réglementation ne s’applique pas en l’espèce mais le cas Apple illustre avec éclat l’exemple à ne pas suivre! Apple devrait proposer à ses clients un case décochée par défaut pour le dépôt d’identifiant publicitaire.

Que dit le Conseil européen de la protection des données (CEPD) ?

Cette plainte contre Apple concernait la France, mais le cas n’est pas isolé en Union Européenne. 

Les autorités de contrôles européennes cogitent ensemble sur le sujet des cookies et des bannières publicitaires. Plusieurs centaines de plaintes relatives au design et au caractéristique des bannières de cookies étaient portées par l’association NOYB. Le 17 janvier 2023, le comité européen de protection des données (CEPD/ EDPB) composé des autorités de contrôles européennes, a adopté un rapport issu du groupe de travail formé en réaction à ces plaintes. 

Ce rapport indique que la grande majorité des autorités considère que l’absence de toute option de refus ou rejet des cookies au même niveau que celle prévue pour en accepter le dépôt constitue un manquement à la législation (article 5(3) de la directive ePrivacy).
Concernant le design des bannières, les autorités ont conclu que l’information délivrée doit permettre aux internautes de comprendre ce à quoi ils consentent et comment exprimer leur choix.

En revanche, les autorités ont considéré qu’il n’était pas possible d’imposer à l’ensemble des sites web un standard de design des cookies.
L’examen au cas par cas s’impose encore afin de finaliser l’instruction des plaintes dont les autorités européennes ont été saisies.