La Cnil a opéré des contrôles au cours de l’année 2021 et 2022 concernant l’accès aux jeux mobiles de l’éditeur Voodoo sur IPhone.
Pour rappel, Apple met à disposition des éditeurs d’applications mobiles un identifiant technique : l’identifiant for vendor (IDFV). Celui-ci permet aux éditeurs de suivre les activités d’un même utilisateur dans chacune des applications publiées et exploitées par lui. Cet identifiant diffère de l’IDFA, qui est un identifiant d’appareil d’un utilisateur et permet donc de le suivre sur toutes les applications, mêmes celles éditées par des tiers.
Lors de la première ouverture d’une application sur un appareil Apple, une page de recueil de consentement au suivi des activités de l’utilisateur dite « App Tracking Transparency » ou ATT apparait.
Dans le cadre du téléchargement des jeux édités par Voodoo, si l’utilisateur avait exprimé son refus via l’ATT, une seconde page, proposée par l’éditeur, indiquait que le suivi publicitaire était désactivé.
Après analyse, il est cependant apparu que Voodoo continuait en réalité à collecter certaines données de ses utilisateurs.
La Cnil a donc infligé une amende administrative à la société Voodoo d’un montant de 3 millions d’euros dans une délibération en date du 29 décembre 2022.
Critères de détermination du montant de l’amende
La Cnil s’est appuyée sur les critères de l’article 83 du RGPD pour fixer ce montant.
La Cnil a prononcé une amende importante à l’encontre de Voodoo estimant que l’éditeur avait trompé ses nombreux utilisateurs, et en avait retiré un avantage financier important.
Des déclarations trompeuses
La Cnil considère que Voodoo n’a pas laissé la possibilité à ses utilisateurs de faire un libre choix concernant le traitement de leurs données.
En outre, la société a induit en erreur ses clients en leur laissant penser qu’ils ne feraient l’objet d’aucune forme de traçage.
Le fait de tromper les utilisateurs de cette manière est d’une particulière gravité pour la Cnil, et constitue une circonstance aggravante du traitement illicite des données personnelles.
Le nombre de personnes concernées
De plus, l’autorité note que le nombre d’utilisateurs touchés par cette collecte de données non autorisée n’est pas négligeable.
En effet, elle met en exergue dans sa décision le nombre important de joueurs, 5,8 millions d’utilisateurs parmi les applications ayant fait l’objet d’un contrôle, et en déduit que la société occupe une place prépondérante dans le secteur des jeux vidéo.
La circonstance aggravante des gains obtenus
Dans un second temps, la Cnil retient comme circonstance aggravante le fait que la société ayant, de son propre aveu, pour revenus quasi exclusifs la publicité, elle avait donc nécessairement profité de ses manquements au RGPD.
La société aurait ainsi obtenu selon la Cnil, des avantages indus en adressant de nombreuses requêtes contenant l’IDFV du terminal de ses utilisateurs, sans leur consentement.
L’inefficacité des arguments de Voodoo
Voodoo a soulevé des arguments pour contester le bien fondé et le montant de l’amende, mais ceux-ci n’ont pas été accueillis par la Cnil.
Voodoo soulignait notamment le fait que le temps de suivi effectif des activités des utilisateurs était particulièrement restreint (17 minutes d’utilisation des applications par mois en moyenne). La Cnil répond toutefois que cette durée ne signifie pas pour autant que la quantité de données collectées est insignifiante. Elle constate d’ailleurs que même une connexion très brève aux applications de la société a pour conséquence d’adresser de nombreuses requêtes contenant l’IDFV du terminal utilisé à plusieurs domaines publicitaires.
Cette décision est susceptible d’appel.