Avez-vous déjà entendu parler de l’IDFA ? Si non, sachez que si vous utilisez un IPhone ou un IPad, vous pourrez être victime de pistage publicitaire, à en croire le Centre Européen pour la Défense des Droits numériques (Nyod).

Nul n’est étranger au phénomène de la commercialisation des données personnelles par les réseaux sociaux et plusieurs entités militent pour une meilleure protection des données recueillies sur ces plateformes.  C’est dans cette même optique que s’insère le projet d’ Apple à vouloir au mieux protéger ses utilisateurs, en renforçant la gestion de la vie privée au sein des applications qui seront déployées sur l’App Store.  Pour Apple ce serait le lieu, d’apporter plus de clarté aux utilisateurs sur la manière dont les applications fonctionneront au regard de leur vie privée. En ce sens que les applications devront mentionner la nature des données qui seront collectées et dans quel objectif.

Pourtant en date du 16 novembre 2020, le Centre Européen pour la Défense des Droits numériques, intentait un recours contre Apple pour atteinte à la vie privée devant les juridictions allemande et espagnol.

Les poursuites portées devant les autorités de régulation, mettent en cause un système d’identification pour les annonceurs, sans que le consentement de l’utilisateur ne soit valablement recueilli. En effet, il s’agit de l’IDFA ( Identify For Advertisers), qui est un numéro unique à chaque appareil sous IOS, permettant ainsi aux réseaux mobiles publicitaires des utilisateurs, de leur diffuser des publicités ciblées. Autrement dit, grâce à ce système Apple peut recueillir et conserver une trace du comportement en ligne de l’utilisateur, directement sur son appareil. Ce système est assimilable aux cookies, mais à la différence de ceux-ci, il est inclus sur chaque appareil et est activé par défaut sans l’accord de l’utilisateur.  Ainsi selon l’Association, ne pas obtenir le consentement préalable des utilisateurs avant tout suivi généré par l’IDFA violerait la directive e-Privacy de 2002.

Face à cette accusation, Apple déclare que l’IDFA n’est associé à aucun Identifiant Apple et ne génère que des informations recueillies de façon aléatoire, ce qui ne permet pas une identification personnelle de l’utilisateur et donc ne soumet pas Apple à une obligation d’obtenir le consentement de ce dernier. Ainsi les pratiques d’Apple ne sauraient être en déphasage avec le RGPD.

Notons que si les juridictions compétentes statuent en faveur de l’association, Apple pourrait être sommé de payer des amendes allant jusqu’à 4% de son chiffre d’affaire.

Mais pour Stephano Rossetti, avocat de Noyb, l’objectif n’est pas de faire payer des amendes à Apple mais plutôt de faire supprimer l’IDFA des IPhone et des IPad.

En attendant la décision des autorités de régulation, faisons une analyse de la problématique soulevée : 

Apple irait-il à l’encontre d’une directive sur le traitement des données à caractère personnel et la protection de la vie privée?

Que disent le E-Privacy et le RGPD

Avant toute analyse, rappelons que l’association Noyb a assimilé le système IDFA aux cookies. Ainsi partant de leur définition, les cookies regroupent un ensemble de données numériques sous forme de fichier texte, envoyé par un site web et stocké localement sur l’appareil de l’utilisateur par le biais du navigateur web, souvent à son insu. Or selon l’article 5 du e-Privacy :

“Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. ”

Ainsi, les cookies que génèrent les navigateurs web regroupant plusieurs fonctions telles que, l’authentification ou encore le suivi ne sauraient être déposés sans que l’utilisateur ne soit informé ou n’ait donné son consentement préalable.

Mais les cookies collectent-ils des données personnelles?

Selon que les cookies soient des données personnelles ou non, le RGPD nous apporte un éclaircissement et défini les données personnelles en son article 4 comme :

“Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”

Aussi, l’article 30 soutien que :

“Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes”.

De la combinaison de ces deux dispositions, il ressort donc que les cookies pourraient effectivement collecter des données personnelles si ceux-ci sont associés des informations ou aux identifiants uniques pouvant ainsi identifier les utilisateurs. Or Apple affirme que son système IDFA n’est combiné à aucun identifiant et donc ne permet pas d’identifier l’utilisateur. Le consentement de l’utilisateur n’est donc pas nécessaire d’où l’activation de l’IDFA par défaut, ce qui établirait son adéquation avec le RGPD.

Toutefois cet argument pourrait-il être valide selon le e-Privacy, directive sur laquelle Noyb forge ses allégations?

En termes de consentement et d’information préalables, la Loi est très claire. L’utilisateur donne son consentement préalablement au regard du traitement de ses données et ce, selon les termes de l’article 5 du e-Privacy.

Et si l’on veut étendre la plainte de l’association au RGPD, les données à caractère personnel, une fois recueillies doivent être traitées de manière licite, loyale et transparente. Et pour que le traitement des données recueillies soit licite, il est de rigueur que la personne concernée ait valablement consenti au traitement desdits données. Ce qui n’est pas le cas en ce qui concerne le IDFA d’Apple, qui est activé par défaut dans chaque appareil et ce à l’insu de l’utilisateur.

Dans  une décision récente,  rendue par la Cour de Justice de l’UE dans le cadre des cases précochées, il ressortait que des données recueillies à la suite d’un contrat portant mention d’un consentement donné et ce au regard d’une case coché à l’avance par l’entité chargée du traitement des données, ne saurait être valable. De ce fait, Apple ne devrait pas recueillir les données personnelles de ses utilisateurs à des fins de publicité ciblées encore moins si le système chargé du profilage, est activé par défaut et que le consentement n’est pas préalablement requis, tel que les textes l’exigent.

Devant cette affaire Apple perd toute sa crédibilité en raison de son acharnement à vouloir protéger ses utilisateurs face aux applications contenues sur l’App Store.  D’autant plus que selon les dires de  Facebook, cet acharnement  n’est que la manifestation de l’hypocrise d’Apple , utilisant sa position dominante sur le marché pour traiter de manière privilégiée les données en rendant presque impossible leur utilisation par la concurrence. Le bon vouloir d’Apple reposerait donc sur des propos fallacieux.