RGPD & Editeur d’application mobile : pouvez-vous utiliser l’identifiant technique des smartphones ?
19 février 2023.
Il est impératif de recueillir le consentement des utilisateurs avant d’utiliser l’identifiant technique « IDFV » des smartphones Apple, celui-ci étant considéré comme une donnée personnelle.
C’est sur ce principe que la CNIL a prononcé une sanction pécuniaire de 3 millions d’euros à l’encontre de l’éditeur de jeu mobile VOODOO, le 29 décembre 2022.[1]
La CNIL a publié un communiqué relatif à cette sanction le 17 janvier 2023.
Que s’est-il passé ?
- Entre 2021 et 2022, la CNIL a réalisé plusieurs contrôles en ligne sur le site de VOODOO à partir d’un ordinateur et sur douze jeux mobiles à partir d’un téléphone de marque APPLE. La délégation de la CNIL a suivi le parcours d’un utilisateur qui télécharge et ouvre pour la première fois le jeu.
- Le contrôle a permis de mettre en exergue des manquements relatifs au consentement de la part de l’éditeur de jeu mobile. En effet, le traitement de l’« Identifier for Vendors» (IDFV) était réalisé sans le consentement des joueurs et à des fins publicitaires.
- L’IDFV est un identifiant unique associé à chaque appareil Apple et utilisé pour les besoins des applications mobiles. Il peut servir pour des fins statistiques, notamment pour déterminer le nombre de fois qu’un utilisateur particulier a vu une publicité. Ce numéro est distinct pour chaque éditeur d’application, mais identique pour toutes les applications distribuées par un même éditeur.
Quels sont les manquements constatés ?
Un défaut du recueil du consentement
La CNIL retient plusieurs manquements relatifs au consentement, notamment au regard des dispositions de l’article 82 de la loi Informatique et Libertés, transposant l’article 5§3 de la directive « ePrivacy ».
- Il a été constaté que lorsqu’un utilisateur ouvrait pour la première fois une application éditée par VOODOO, une demande de consentement lui était présenté afin de suivre son activité. Dans le cas où l’utilisateur aurait manifesté son refus, l’IDFV était tout de même lu et transmis à des domaines ayant des finalités publicitaires.
- L’utilisation de l’IDFV à des fins publicitaires et sans consentement préalable, constitue un manquement d’une « particulière gravité» dans la mesure où « l’information qu’elle présente à l’utilisateur est trompeuse ».
Quelles sont les conséquences ?
- La CNIL prononce une amende administrative de 3 millions d’euros. La formation restreinte a pris en compte la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées. De plus, la décision est rendue publique.
- Cette sanction est assortie d’une injonction de mise en conformité qui consiste en la cessation de l’utilisation de l’IDFV à des fins publicitaires en l’absence de consentement de l’utilisateur, cela dans un délai de trois mois. Cette injonction est accompagnée d’une astreinte de 20 000 euros par jour de retard à l’issue de ce délai.
Que faut-il retenir ?
- La CNIL précise que, dans ces circonstances, l’IDFV constitue bien une donnée personnelle. Ce dernier était combiné à d’autres informations caractéristiques du terminal de l’utilisateur (modèle de l’appareil, langue du système…) permettant de suivre les habitudes de navigation des personnes.
- La CNIL rappelle que toutes les opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur exige un consentement, sauf exceptions. Les exceptions sont lorsque l’opération a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou lorsqu’elle est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Claudia Weber, avocat fondateur et Jean-Baptiste Olivo, juriste stagiaire | ITLAW Avocats
Besoin d’aide pour la mise en conformité RGPD de vos applications mobiles ?
Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.
ITLAW Avocats met à votre service son expérience et son expertise en la matière.
ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.
[1] Délibération SAN-2022-026 du 29 décembre 2022
Nous contacter