La CNIL inflige une amende de 3 millions d’euros à l’éditeur de jeux Voodoo

La CNIL a condamné ce 17 janvier la société VOODOO à trois millions d’euros d’amende. En cause : l’usage d’un identifiant technique d’Apple pour diffuser de la publicité sans le consentement de l’utilisateur.

Fondée en 2013 par Alexandre Yazdi et Laurent Ritter, Voodoo s’est taillée une jolie place sur le marché international des jeux mobiles. Éditrice d’Helix Jump, Paper.io 1 et 2 ou encore Snake vs Block, elle s’est faite une spécialité des jeux « hypercasual », c’est-à-dire très simples à prendre en main et dont les parties n’excèdent jamais quelques minutes. Un succès qui n’a échappé ni à Goldman Sachs, ni au géant chinois des jeux vidéos Tencent, respectivement montés au capital de l’entreprise en 2018 et en 2020.

D’août 2021 à juillet 2022, cela dit, la CNIL a réalisé une série de contrôles sur le site voodoo.io et sur les téléchargements et le fonctionnement d’une douzaine d’applications de Voodoo à partir d’un téléphone Apple, sous système d’exploitation iOS. Après enquête, elle a constaté que la société persistait à collecter et traiter des informations de navigation des usagers, y compris quand ceux-ci refusent le suivi.

Résultat des courses : une amende de trois millions d’euros et une injonction à recueillir le consentement effectif des joueurs dans un délai de trois mois, faute de quoi la société devrait payer une astreinte de 20 000 euros par jour de retard. 

Une histoire d'identifiants

Quand un éditeur souhaite rendre une application accessible sur l’Apple Store, rappelle la CNIL, Apple lui fournit un IDentifier For Vendors (IDFV), un identifiant technique qui permet aux développeurs de suivre l’usage fait de leurs applications. L’IDFV est attribué à chaque utilisateur et est identique pour toutes les applications produites par un même éditeur. 

L’IDFV a un usage différent de l’IDFA (IDentifier for Advertiser), dans la mesure où ce dernier sert expressément à permettre aux publicitaires d’identifier un appareil de manière unique via toutes les applications qu’il utilise. L’IDFV est de son côté pensé pour l'usage des développeurs d’un éditeur précis. Associé à d’autres informations recueillies sur le smartphone, il permet néanmoins de construire un profil de la personne et de personnaliser les publicités qui lui sont transmises.

Message trompeur et l’App Tracking Transparency d’Apple outrepassé

Depuis avril 2021, à l’ouverture d’une nouvelle application, les usagers d’iPhones voient s’afficher une fenêtre proposée par Apple. Dénommée App Tracking Transparency (ATT), celle-ci demande à la personne si elle consent au suivi de ses activités sur l’application téléchargée.

Dans le cas des applications de Voodoo, la CNIL note que si l’usager refuse la « sollicitation ATT », l’éditeur lui présente une seconde fenêtre « indiquant que le suivi publicitaire a été désactivé » et « précisant que des publicités non personnalisées seront tout de même proposées ». 

• Apple : l’App Tracking Transparency actif au début du printemps, Mark Zuckerberg en colère
• iOS/iPadOS 14.5 et vie privée : l'App Tracking Transparency est là, comment en profiter

Dans sa délibération, la Commission explique avoir aussi constaté que, sur présentation de ce message, l’IDFA était remplacé par une chaîne de zéros (" 00000000-0000-0000-0000-000000000000 "). En revanche, Voodoo persiste à lire l’IDFV et à envoyer certaines des informations ainsi recueillies « à des domaines ayant des finalités publicitaires, avec d’autres informations propres à l’appareil (langue du système, modèle de l’appareil, luminosité de l’écran, niveau de la batterie, espace mémoire disponible notamment) et à son utilisation (application utilisée et temps passé), sans que l’utilisateur ait donné son consentement à cette opération ».

L’éditeur de jeux pour smartphones se met ainsi en contradiction directe avec les informations qu’il affiche et outrepasse le consentement des utilisateurs. En effet, il continue de traiter des informations relatives à ses habitudes de navigation et de jeu à des fins publicitaires malgré le refus explicite de l’usager.

Un manquement « d’une particulière gravité » 

Le rapporteur relève en outre que le manquement commis par la société Vodoo « est d’une particulière gravité dans la mesure où l’information qu’elle présente à l’utilisateur est trompeuse ». En effet, lorsque l’utilisateur a refusé la « sollicitation ATT », la seconde fenêtre présentée à l’utilisateur contient un texte lui indiquant que les paramètres de son téléphone « empêchent le suivi à des fins de personnalisation des annonces et publicités en fonction de l’identifiant publicitaire de votre appareil ».

Le rapporteur considère dès lors que l’utilisateur « s’attend légitimement à ce qu’aucun suivi, quelle que soit sa forme, ne soit effectué à des fins publicitaires ».

Selon la CNIL, il contrevient donc à l’article 82 de la loi Informatique et Liberté qui dispose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète » de ce à quoi peut servir la collecte de ses données, et qu’il doit pouvoir « exprimer son consentement » à l’accès et l’usage de ces informations, faute de quoi l’accès à ces données est interdit.

Un chiffre d’affaires de 425 millions de dollars en 2021

La formation restreinte note par ailleurs que les chiffres transmis par la société indiquent que les 11 applications ayant fait l’objet du contrôle « comptent au total 5,8 millions d’utilisateurs en France sur iOS entre avril 2021 et juillet 2022 ».

S’il ne s’agit pas nécessairement de 5,8 millions d’utilisateurs uniques et que, « selon la société, 43 % d’entre eux acceptent le suivi de leurs activités », il n’en demeure pas moins que ce volume important de personnes « reflète la place centrale occupée par la société dans le secteur des jeux sur téléphone, laquelle revendique sur son site web 150 millions d’utilisateurs actifs par mois dans le monde, faisant d’elle l’une des principales entreprises du secteur ».

Surtout, note la commission, son modèle d’affaires « repose quasi exclusivement sur la publicité ».

« Quand bien même le suivi de l’activité de l’utilisateur réalisé grâce à l’IDFV n’est pas de la même ampleur que le suivi rendu possible par l’IDFA, il n’en demeure pas moins que l’utilisation de l’IDFV à des fins publicitaires sans le consentement de l’utilisateur a indéniablement permis à la société VOODOO de tirer un avantage financier du manquement commis. »

Voodoo déclare employer 700 personnes dans 8 bureaux répartis dans le monde. Elle a dépassé le seuil des six milliards de téléchargements en février 2022 et affirme désormais compter 300 millions d’utilisateurs actifs sur ses plus de 200 jeux. Elle a enregistré un chiffre d’affaires de 425 millions de dollars en 2021 et visait les 600 millions de dollars pour l’exercice 2022.