«  Les services de la CNIL ont constaté que sous l’ancienne version 14.6 de système d’exploitation de l’iPhone, lorsqu’un utilisateur se rendait sur l’App Store, des identifiants poursuivant plusieurs finalités, dont des finalités de personnalisation des annonces publicitaires diffusées sur l’App Store, étaient par défaut automatiquement lus sur le terminal sans recueil du consentement. De par leur finalité publicitaire, ces identifiants ne sont pas strictement nécessaires à la fourniture du service (l’App Store). En conséquence, ils ne doivent pas pouvoir pas être lus et/ou déposés sans que l’utilisateur ait exprimé son consentement préalable. Or, en pratique, les paramètres de ciblage de la publicité disponibles à partir de l’icône « Réglages » de l’iPhone étaient pré-cochés par défaut. De plus, l’utilisateur devait effectuer un grand nombre d’actions pour parvenir à désactiver ce paramètre puisque cette possibilité n’était pas intégrée au parcours d’initialisation du téléphone. L’utilisateur devait ainsi cliquer sur l’icône « Réglages » de l’iPhone, se rendre ensuite dans le menu « Confidentialité » puis enfin dans la rubrique intitulée « Publicité Apple ». Ces éléments ne permettaient pas de recueillir le consentement préalable des utilisateurs. En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a relevé un manquement à l’article 82 de la loi Informatique et Libertés et a sanctionné la société APPLE DISTRIBUTION INTERNATIONAL d’une amende de 8 millions d’euros, rendue publique. Elle a justifié ce montant par la portée du traitement limitée à l’App Store, par le nombre de personnes concernées en France et les bénéfices que la société tire des revenus publicitaires indirectement générés à partir des données collectées par ces identifiants et par le fait que la société s’est depuis mise en conformité. » indique la CNIL sur son site internet.

 « C’est une victoire pour France Digitale et l’ensemble de l’écosystème start-up : Apple applique désormais les mêmes règles que les autres sur le terrain de la privacy. Pour permettre l'émergence de champions européens du numérique, nous souhaitons désormais une mise en œuvre rapide du Digital Markets Act, assortie de contrôles efficaces et de sanctions réellement contraignantes, pour que les mêmes règles s'imposent à tous sur le terrain concurrentiel. » déclare Maya Noël, Directrice générale de France Digitale.
 

« C’est une très grande victoire pour la vie privée de Français et des Européens. Apple est enfin pris la main dans le pot de confiture : les mêmes qui nous assènent de messages pour nous raconter à quel point leurs produits et services sont précurseurs en matière de protection des données violent allègrement le droit applicable et donc la vie privée de leurs utilisateurs. Il y a ici un véritable problème de publicité mensongère et trompeuse à grande échelle, dont nous invitons les autorités françaises à se saisir. Nous espérons désormais que cette condamnation en appelle d’autres, et que les pratiques anticoncurrentielles d’Apple qui entrainent de nombreuses destructions d’emplois seront bientôt sanctionnées, en France et ailleurs en Europe. » ajoute Nicolas Rieul, Président d’Alliance Digitale.

«  Nous sommes déçus par cette décision, la CNIL ayant précédemment reconnu que la façon dont nous diffusons les annonces dans l'App Store donne la priorité à la protection de la vie privée des utilisateurs, et nous allons faire appel. Apple Search Ads va plus loin que toute autre plateforme de publicité numérique que nous connaissons en offrant aux utilisateurs un choix clair sur leur souhait de recevoir ou non des publicités personnalisées. En outre, Apple Search Ads ne suit jamais les utilisateurs sur des applications ou sites tiers, et n'utilise que des données de première main (first-party data) pour personnaliser les publicités. Nous pensons que le respect de vie privée est un droit humain fondamental et qu'un utilisateur devrait toujours avoir la possibilité de décider de partager ou non ses données et avec qui. » commente sobrement Apple, dans un communiqué.

Dans un e-mail, un porte-parole de Discord a déclaré à Information Security Media Group que le rapport de la CNIL "est basé sur des fonctionnalités et des pratiques de produits de 2020 qui ont depuis été mises à jour". La société apprécie "l'opportunité de dialoguer avec la CNIL car la protection de la vie privée des utilisateurs est très importante pour nous", a également déclaré le porte-parole.

C’est l’heure de notre chronique Mobile Business avec Jérôme Bouteiller, fondateur d’EcranMobile.fr , qui revient cette semaine sur le troisième anniversaire du RGPD, un règlement général pour la protection des données qui aurait, selon vous, raté son objectif.

JB - Bonjour Delphine, effectivement, nous avons célébré ce mardi les 3 ans du RGPD, un texte qui est entré en vigueur le 25 Mai 2018, et qui faisait lui même écho aux 40 ans de la loi Informatique et Liberté de 1978, qui a conduit notamment à la création de la CNIL.

Ce texte, qui dispose désormais d’une portée européenne, et qui a considérablement augmenté le pouvant de sanctions des autorités, vise à protéger les consommateurs contre tout exploitation excessive des données personnelles. 

Mais c’est également un texte qui a considérablement étendu la notion même de donnée personnelle, compliquant le travail de nombreux professionnels du numérique.

Des exemples ?

Pendant longtemps dans le marketing, on opposait les données nominatives, permettant d’identifier un utilisateur, et les données non nominatives, comme une donnée technique, qui n’était pas exploitable sans croisement des données.

Avec le RGPD, toutes les données électroniques deviennent de facto des données « personnelles » : des noms, des numéros de téléphone ou des adresses emails, évidemment, mais également des meta-données purement techniques permettant d’individualiser des internautes ou des mobinautes.

Par exemple, le niveau de batterie de votre téléphone, peut être utilisé pour distinguer différents utilisateurs partageant une même adresse IP, et cela devient de facto une donnée « personnelle » soumise au RGPD. 

Un texte également très attentif aux données de géolocalisation ?

Oui la CNIL a même décrété que la localisation était une donnée « hautement sensible » alors que cette notion n’existe pas dans le RGPD.

Lorsque la police mène une enquête, il lui faut généralement au moins 3 points de localisation pour permettre d’identifier un individu. Mais selon la CNIL, toute donnée de géolocalisation est de facto une donnée personnelle dont la collecte est soumise au consentement. 

Et tant pis si c’est le code postal d’un arrondissement de 200 000 habitants à Paris, qui n’a évidemment rien de « personnel » et qui ne permettrait à personne, pas même à la police, d’identifier un individu.

Un texte qui s’accompagne également d’un durcissement des règles du consentement ?

Oui, il faut savoir que le RGPD prévoit en réalité 7 cadres de gestion pour les données personnelles, comme le contrat, l’intérêt public, l’intérêt légitime, l’intérêt vital ou encore l’anonymisation. 

Mais selon la CNIL, le seul cadre valable serait celui du consentement pour collecter ou exploiter une donnée électronique. C’est ce qui explique pourquoi les fenêtres de consentement se sont multipliées ces derniers mois, rendant toute navigation sur le web particulièrement pénible, parfois encore plus pénible que la publicité elle-même.

Et puisqu’il faut des cookies pour mémoriser vos préférences, on vous bombarde de fenêtres de consentement tant que vous n’avez pas répondu à la question… Cela devient absurde.

En quoi la CNIL a t’elle raté son objectif ?

Avant le lancement du RGPD, la CNIL entendait généraliser la notion de « privacy by default » mais en fragilisant le web ouvert, le RGPD a paradoxalement renforcé les environnements fermés comme ceux des GAFAS, des environnements imposant un « login par défaut ». 

Le RGPD entendait d’ailleurs renforcer les start-up européennes, face aux géants américains. Et c’est exactement l’inverse qui s’est passé, avec la fermeture ou la fragilisation de nos champions européens, pour le plus grand bonheur des géants américains ou chinois qui captent désormais 70% du marché publicitaire digital et même 90% sur mobile.

Trois ans plus tard, personne n’ose ouvertement critiquer la CNIL. Les politiques ont brillé par leur absence et la « Start-Up Nation », chère à notre président, est surtout devenue une « DPO Nation ».

Le replay : 
https://www.bsmart.fr/video/6392-smart-tech-partie-27-mai-2021

"En 2017, la CNIL a procédé à une vague de contrôles portant sur de nouvelles modalités de collecte de données de géolocalisation fines depuis les ordiphones via des logiciels SDK. Il s’agissait d’une pratique particulièrement intrusive nécessitant un consentement préalable tant au regard de l’ancienne loi informatique et libertés que du RGPD dont l’entrée en application n’a rien changé dans le cas d’espèce. En effet, les utilisateurs des applications mobiles concernées (météo, recettes de cuisine, applications de rencontre) étaient géolocalisés sans avoir consenti et sans en avoir été correctement informés, ce qui permettait de leur adresser de la publicité ciblée en lien avec les lieux qu’ils fréquentaient. Ils faisaient ainsi l’objet d’un suivi fin et permanent révélant leurs habitudes quotidiennes.
 
La CNIL a ainsi souhaité lancer une action avec un large écho pour alerter les millions de personnes dont les données étaient collectées et traitées à leur insu. De surcroît, un écosystème était en train de se construire sur la base de telles pratiques, il est apparu nécessaire d’envoyer rapidement une alerte collective pour toutes les entreprises susceptibles de les mettre en œuvre, ce que seule la publicité permet.
 
Il peut être, par ailleurs, rappelé que la publicité des mises en demeure n’est pas une pratique exceptionnelle : en 2018, 13 mises en demeure sur 48 ont été rendues publiques.
 
En outre, la Présidente de la CNIL a préféré permettre aux sociétés concernées de se mettre en conformité en adoptant une mise en demeure alors, qu’au regard de la gravité des manquements constatés et du nombre de personnes concernées, elle aurait pu faire le choix de saisir la formation restreinte (organe de la CNIL chargé de prononcer des amendes). Les sociétés ont ainsi évité une sanction pécuniaire, le cas échéant publique, qui aurait pu être très lourde.
 
Il s’est écoulé 10 mois entre le déroulement du contrôle et l’adoption de la mise en demeure à l’encontre de FIDZUP. Si ce délai peut paraître effectivement long dans ce contexte économique, il ne s’agit pas de délais particulièrement inhabituels ou inadaptés au regard des pratiques de la CNIL, de la nécessité d’instruire juridiquement et techniquement un dossier de cette nature, et compte tenu des ressources dont la CNIL dispose. 
 
Sur ce cas particulier, il est d’abord rappelé que des échanges et communications de pièces entre la CNIL et la société ont eu lieu jusqu’en novembre 2017, rallongeant ainsi le délai d’instruction nécessaire. Par ailleurs, ce contrôle s’inscrivait dans un cadre plus large d’investigations à l’encontre d’autres sociétés du secteur. La CNIL a donc souhaité réaliser une harmonisation et une coordination de ces différentes procédures, pour assurer un traitement équitable entre les sociétés contrôlées.
 
Dans ce dossier, la CNIL n’a pas fait application des règles applicables aux cookies ou traceurs (qui ont changé avec le RGPD et le récent plan d’action de la CNIL sur ces traceurs), mais du « droit commun ». En effet, il ne s’agissait pas de l’application de l’article 82 (relatif aux cookies et traceurs) mais de l’article 7 de la loi informatique et libertés (devenu article 5 et repris à l’article 6 du RGPD) relatif à la base légale des traitements. La nécessité d’un consentement préalable ainsi que le fait que celui-ci doit être spécifique et résulter d’une action positive, étaient connus des acteurs depuis plusieurs années, et avant même que les mises en demeure publiques ne soient adoptées.
 
Si ces exigences, ainsi que la procédure répressive visant à les faire respecter par tous, peuvent avoir un impact économique, cette obligation était connue et ancienne, pourtant plusieurs acteurs, dont Fidzup ont maintenu un système de collecte massive de données à l’insu des utilisateurs.
 
La CNIL cible également, sur ce même sujet, les grands acteurs, comme en témoigne la sanction publique contre Google prononcée en janvier 2019, pour 50 millions d’euros (sans mise en demeure préalable), pour défaut de consentement valide couvrant, entre autres, des traitements de géolocalisation."  explique un porte parole de la CNIL.

« La recommandation de 2013 sera révisée et nous publierons nos nouvelles lignes directrices début juillet. Les médias auront alors quelques mois pour se mettre en conformité et nous n’excluons pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. Nous souhaitons par ailleurs discuter des modalités opérationnelles avec l’interprofession au cours de cette période. » a expliqué Maire Laure Denis.

Mauvaise semaine pour les géants américains des nouvelles technologies. Alors que Bruxelles vient d'infliger un redressement fiscal de 13 milliards d'euros à Apple, c'est au tour de Facebook d'être dans le collimateur du G29, un groupement des autorités européennes de protection des données personnelles dont fait partie la CNIL française.

Rachetée en 2014 par Facebook pour 22 milliards de dollars, WhatsApp a annoncé le 25 août dernier qu'il partagerait désormais certaines données personnelles comme le numéro de téléphone mobile avec sa maison mère afin de proposer des offres publicitaires plus ciblées, suscitant la critique de très nombreux utilisateurs.

Longtemps payant et n'affichant aucune publicité, WhatsApp change ainsi de stratégie de monétisation, en s'alignant sur les pratiques de sa maison mère, Facebook, qui a déjà transformé Messenger ou Instagram, ses deux autres applications mobiles de messagerie, en véritables supports publicitaires.

« Les changements des politiques de vie privée  sont suivis avec beaucoup de vigilance par le G29 et chacune des autorités européennes. L’enjeu est celui de la maîtrise par l’individu sur ses données quand elles sont combinées par les grands acteurs d’Internet », a indiqué la CNIL, qui présidence en ce moment le G29.

Reste toutefois à savoir si le changement de politique de Facebook est juridiquement contestable et si les CNIL européennes, longtemps désarmées face aux géants américains du Net, sont désormais capables de se faire entendre.