C’est au tour d’une société française (Voodoo) d’être condamnée par la CNIL, dans une décision du 29 décembre 2022, pour un usage illicite des identifiants publicitaires/cookies. L’éditeur de jeux mobiles est condamné à une amende de 3 millions d’euros par la CNIL pour non-respect de l’article 82 de la loi du 6 janvier 1978.
La CNIL a d’abord constaté que l’App Store permettait aux éditeurs d’applications utilisant la plateforme d’attribuer un « IDentifier For Vendors » (ou IDFV) aux utilisateurs des applications qu’ils éditent afin de suivre l’utilisation qui en est faite. Or, en le combinant avec d’autres informations du smartphone, l’IDFV permet de suivre les habitudes de navigation des personnes, notamment les catégories de jeux qu’elles privilégient, afin de personnaliser les annonces vues par chacune d’entre elles.
L’utilisateur a la possibilité, à l’ouverture de l’application objet du contrôle de la CNIL, de donner son consentement au suivi de ses activités sur les applications par le biais d’une fenêtre conçue par Apple. En cas de refus, une seconde fenêtre, conçue par Voodoo, indique que le suivi publicitaire est désactivé et que des publicités non-personnalisées seront proposées.
Pourtant, la CNIL a constaté que, malgré le refus, Voodoo lit l’IDFV associé à l’utilisateur et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires. Cette utilisation sans le consentement de l’utilisateur constitue un manquement à l’article 82 de la loi Informatique et Libertés.
Compte tenu du nombre de personnes concernées, des avantages financiers obtenus et du chiffre d’affaires réalisé par Voodoo, la formation restreinte a prononcé une amende de 3 millions d’euros assortie d’une injonction sous astreinte afin que Voodoo recueille le consentement des utilisateurs dans un délai de 3 mois au risque de s’exposer au paiement de 20 000 euros par jour de retard.
