Tracking d’Apple : l’association de Max Schrems saisit les CNIL espagnole et allemande

noyb (None Of Your Business) vient de déposer deux recours devant les autorités de contrôle espagnole et allemande. L’association militante de protection de la vie privée accuse la firme de Cupertino de tracer les données de ses utilisateurs sans leur consentement et sans même les prévenir. Elle utilise pour cela un tracker multi-appareil : l’IDFA.

Suite à son succès en juillet 2020 avec l’invalidation par la CJUE du Privacy Shield, un accord transatlantique en matière de transferts de données personnelles, Max Schrems revient sur le devant de la scène.

noyb, l’association du militant autrichien, a déposé deux recours ce lundi 16 novembre pour dénoncer le tracker IDFA d’Apple. Le texte visé est la directive e-privacy en date du 12 juillet 2002. En effet, dans son considérant 24, le texte dispose que « l'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ».

Le texte en question va même jusqu’à préciser que « les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier  ».

En outre, le considérant 24 précise explicitement que  « l'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné. »

Cette définition est, selon noyb, suffisamment large pour inclure des traceurs autres que les cookies traditionnels que l’on retrouve en navigant sur un site web, et potentiellement l’IDFA d’Apple. Elle va dans le sens du recours déposé par NOYB en mai dernier pour dénoncer l’ «Android Advertising ID», un identifiant de tracking unique similaire à celui d’Apple. L’association avait néanmoins fait le choix de s’appuyer sur le RGPD, avec une procédure plus lourde.

Selon noyb, la règlementation européenne protège tout appareil d’un éventuel tracking non consenti au préalable, et ce pour toute technologie. « Tandis qu’Apple introduit des options de blockage de cookies dans son navigateur, [la firme] place des codes similaires dans ses smartphones, sans aucun consentement de la part de l’utilisateur. Ceci constitue clairement une violation de la règlementation européenne en matière de protection des données », ironise noyb dans l’article présentant les deux recours.

L’IDFA : un cookie pas si différent des autres 

L’IDFA, pour IDentifier For Advertisers (« identifiant pour les annonceurs », le nom est sans équivoque), est généré par iOS, le système d’exploitation d’Apple. Relié à un Apple iD, il permet à Apple et aux applications installées de traquer les activités d’un utilisateur sur ses différents appareils. Il combine des informations sur son comportement en ligne et sur ses différents appareils Apple. Il s’agit ainsi d’une « plaque d’immatriculation » virtuelle, pour reprendre la comparaison faite par noyb dans ses deux recours.

La clé de ces recours est à trouver dans la qualification juridique même de ce qu’est cet IDFA. En effet, selon l’article 5(3) de la directive e-privacy visée par les deux recours, les États-membres doivent s’assurer que les « informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition qu'[il] soit muni […] d’une information claire ou complète ».

Cet article accorde aussi un « droit de refuser un tel traitement » à l’utilisateur. En l’espèce, c’est aux États-membres, et plus précisément les deux visés dans ces recours (Allemagne et Espagne), d’assurer le consentement des utilisateurs à l’IDFA d’Apple.

Ce qui pourrait changer : les requêtes de NOYB 

La stratégie de noyb vise donc pour l’instant deux autorités de contrôles, sélectionnées au regard de leur dynamisme et de récents précédents juridiques, sans pour autant exclure d’autres recours, en France ou en Italie par exemple. 

« La première raison c’est que des personnes concernées en Allemagne et en Espagne étaient intéressées par le projet. La seconde, c’est la clarté de la législation et l’activité de son autorité de contrôle pour l’Espagne, et les récentes jurisprudences en Allemagne qui ont l’air d’aller en ce sens », explique Stéfano Rosetti, avocat en protection des données personnelles chez noyb, interrogé par Next Inpact.

Si les requêtes de noyb venaient à aboutir, les autorités de contrôle visées pourraient être amenées à enquêter sur l’IDFA et à prendre des mesures assez fortes. noyb demande aux deux autorités en question d’imposer à Apple la suppression de l’IDFA, une sanction pécuniaire, ainsi que mesures concrètes pour remédier à ce manquement.

Sur le court terme, le groupement vise surtout à sensibiliser les utilisateurs des services visés. « Un effet attendu à court terme est la sensibilisation du public. Les effets à long terme dépendront grandement du résultat de l'action. Si les autorités estiment qu'Apple a enfreint l'art. 5(3), les effets des décisions s'étendraient au-delà des deux seuls plaignants. Il serait difficile, pour l'entreprise, de continuer à faire avec des millions d'utilisateurs ce qui a été déclaré illégal pour deux plaignants. », explique l’avocat.

S’agissant des chances d’aboutir de ces recours, Stéfano Rosetti est confiant. « Nous n’aurions pas déposé ces recours [si nous n’étions pas confiants]. Cependant, supposons que ces actions n’aboutissent pas car le périmètre de la loi en question ne recouvre pas l’IDFA. Ce serait toujours un message important envoyé au législateur », explique-t-il à Next INpact.

Apple n'a, de son côté, pas donné suite.