CNIL - Délibération n° SAN-2022-025 du 29 décembre 2022 concernant la société APPLE DISTRIBUTION INTERNATIONAL

Délibération de la formation restreinte n°SAN-2022-025 du 29 décembre 2022 concernant la société APPLE DISTRIBUTION INTERNATIONAL

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Monsieur Alain DRU et Monsieur Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2021-113C du 17 mai 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à la vérification de la conformité des traitements de données à caractère personnel mis en œuvre dans le cadre de l’utilisation des systèmes d’exploitation iOS (anciennement " iPhone OS ") et MacOs aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 10 janvier 2022 ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié à la société APPLE DISTRIBUTION INTERNATIONAL le 27 juillet 2022 ;

Vu les observations écrites versées par la société APPLE DISTRIBUTION INTERNATIONAL le 19 septembre 2022 ;

Vu la réponse du rapporteur à ces observations notifiée à la société APPLE DISTRIBUTION INTERNATIONAL le 19 octobre 2022 ;

Vu les nouvelles observations écrites versées par la société APPLE DISTRIBUTION INTERNATIONAL le 21 novembre 2022, ainsi que les observations orales formulées lors de la séance de la formation restreinte du 12 décembre 2022 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte :

- Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société APPLE DISTRIBUTION INTERNATIONAL :

- […] ;

La société APPLE DISTRIBUTION INTERNATIONAL ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. Le groupe APPLE (la société APPLE INC. et ses filiales, collectivement le " groupe APPLE ") conçoit, fabrique et commercialise des dispositifs de communication et de média mobiles, des ordinateurs personnels et vend une gamme de logiciels, services et périphériques, solutions réseau, contenus numériques et applications tierces en relation avec ces produits.

2. Les produits du groupe APPLE, qui incluent notamment l’iPhone (téléphone mobile multifonctions), sont fournis chacun avec un système d’exploitation spécifique pré-installé conçu au sein du groupe APPLE (iOS pour ce qui concerne l’iPhone).

3. Le groupe APPLE vend et délivre ses contenus numériques et ses applications à travers ses magasins d’applications en ligne qui sont l’App Store, l’iTunes Store, l’iBooks Store et le Mac App Store.

4. La société APPLE INC. détient, en règle générale, directement ou indirectement au travers d’entités intermédiaires, des participations dans toutes les filiales du groupe. Il s’agit notamment des sociétés APPLE DISTRIBUTION INTERNATIONAL LTD (ci-après la société " ADI "), APPLE FRANCE, APPLE RETAIL FRANCE et APPLE EUROPE INC. (ci-après la société " AEI ").

5. La société ADI est située à Hollyhill Industrial Estate, à Cork, en Irlande et emploie environ […] salariés. Elle se présente comme étant l’entité responsable des ventes et de la distribution des produits du groupe APPLE en Europe. Elle se considère également comme responsable de traitement des données à caractère personnel en lien avec l’activité des plateformes de publicité du groupe APPLE dans l’Espace économique européen.

6. Pour l’année 2021, la société ADI a réalisé un chiffre d’affaires d’environ […] dollars, soit environ […] euros (selon le taux de change actuel).

7. La société APPLE FRANCE est située 7, place d’Iéna à Paris (75116) et emploie environ […] salariés. Elle ne vend ni ne distribue de produits en France. Son rôle est de soutenir les ventes et le marketing des produits commercialisés par la société ADI auprès des partenaires de distribution sur le marché français, en vertu d’un " contrat de service d’aide à la vente et de marketing " en vigueur depuis le 1er octobre 2018.

8. La société APPLE RETAIL FRANCE est située 3-5, rue Saint-Georges à Paris (75009). Son rôle est de vendre et de distribuer en France des produits du groupe APPLE.

9. La société AEI, qui a son siège social dans l’Etat du Delaware, aux États-Unis d’Amérique, possède une succursale en France qui porte le même nom (AEI), dont le siège social est situé 7 place d’Iéna à Paris (75116).

10. La société AEI, qui a son siège social dans l’Etat du Delaware, aux États-Unis d’Amérique, possède une succursale en France qui porte le même nom (AEI), dont le siège social est situé 7 place d’Iéna à Paris (75116).

11. Le 10 mars 2021, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie par l’association FRANCE DIGITALE d’une plainte à l’encontre d’APPLE. La plainte concerne les traitements mis en œuvre par le groupe APPLE au travers de ses systèmes d’exploitation iOS et MacOs. Il est notamment indiqué dans cette plainte que le paramètre de confidentialité " Publicités personnalisées " présent dans les réglages des appareils commercialisés par le groupe APPLE et fonctionnant avec les systèmes d’exploitation iOS et MacOs est activé par défaut, ce qui ne permet pas aux utilisateurs de consentir valablement aux traitements de ciblage publicitaire.

12. Deux missions de contrôle en ligne sur des appareils équipés du système d’exploitation iOS et MacOS ont été effectuées les 8 et 16 juin 2021.

13. Les procès-verbaux n° 2021-113/1 et 2021-113/2, dressés par la délégation le jour des contrôles, ont été notifiés aux sociétés ADI et AEI le 24 juin 2021. À cette occasion, des demandes de complément d’information leur ont été adressées. La société ADI y a répondu par courriels des 5 et 12 juillet 2021. En revanche, par courriels des 30 juin et 8 juillet 2021, la société AEI a indiqué ne pas être en mesure de répondre aux demandes de la délégation, ne jouant pas un " un rôle déterminant dans les traitements faisant l’objet du contrôle ".

14. Un contrôle sur pièces a également été effectué auprès des sociétés ADI, AEI et APPLE FRANCE le 13 juillet 2021. Ces sociétés ont communiqué leur réponse à la CNIL, par courriels du 25 août 2021. Par courriels du 31 août 2021, les sociétés APPLE FRANCE et AEI ont complété ces réponses en transmettant, chacune pour ce qui la concerne, le registre des traitements mis en œuvre. À cette occasion, une demande de complément d’information a été adressée à la société ADI, qui y a répondu par courriel du 5 octobre 2021.

15. Un contrôle sur place, dans les locaux de la société APPLE FRANCE, a enfin été effectué le 13 octobre 2021 afin qu’elle apporte des précisions sur ses relations avec la société ADI, sur l’activité des salariés occupant la fonction de " Search Ads Platform Specialists " ou de " Search Ads Platform Specialists Managers " et sur le fonctionnement du service " Apple Search Ads ".

16. Le procès-verbal n° 2021-113/3, dressé par la délégation le jour du contrôle, a été notifié aux sociétés APPLE FRANCE et ADI, respectivement les 19 octobre et 14 décembre 2021. À cette occasion, une demande de complément d’information a été adressée à la société APPLE FRANCE, qui y a répondu par courriel du 25 octobre 2021.

17. Une demande de complément d’information a été adressée à la société ADI par courrier du 15 novembre 2021, qui y a répondu par courriels des 17 novembre et 3 décembre 2021.

18. Par courriel du 7 décembre 2021, la CNIL a adressé une nouvelle demande de complément à la société ADI, qui y a répondu par courriel du 22 décembre 2021.

19. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 10 janvier 2022, désigné Monsieur François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.

20. Par courriel du 18 février 2022, la société ADI a sollicité une audition afin d’exposer au rapporteur le contexte dans lequel s’inscrit la plainte déposée par l’association FRANCE DIGITALE et de lui faire part d’informations relatives au cadre dans lequel s’effectuent les opérations techniques réalisées sur les terminaux mobiles exécutant le système d’exploitation iOS.

21. Le rapporteur ayant répondu favorablement à cette demande, l’audition de la société a eu lieu le 16 mars 2022 dans les locaux de la CNIL.

22. Le procès-verbal n° CTX-2021-106 dressé à l’issue de cette audition a été notifié par courriel à la société ADI le 17 mars 2022. La communication de documents complémentaires a de nouveau été sollicitée par la CNIL.

23. Les 30 mars, 12 avril et 3 juin 2022, la société ADI a communiqué les documents sollicités à la CNIL.

24. Le rapporteur a, le 27 juillet 2022, fait notifier à la société un rapport proposant à la formation restreinte de prononcer une amende administrative d’un montant de six millions d’euros au regard du manquement à l’article 82 de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi Informatique et Libertés ") qu’il estimait constitué en l’espèce. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

25. Le 29 juillet 2022, la société a sollicité un délai complémentaire pour présenter ses observations en réponse.

26. Le 4 août 2022, le président de la formation restreinte a rejeté cette demande.

27. Le 19 septembre 2022, la société a produit ses observations en réponse au rapport de sanction.

28. Le 19 octobre 2022, le rapporteur a adressé sa réponse aux observations de la société.

29. Le 24 octobre 2022, la société a sollicité un délai complémentaire pour présenter ses deuxièmes observations en réponse.

30. Le 26 octobre 2022, la président de la formation restreinte a rejeté cette demande.

31. Le 21 novembre 2022, la société a produit de nouvelles observations en réponse à celles du rapporteur.

32. Le 22 novembre 2022, le rapporteur a informé la société et le président de la formation restreinte de la clôture de l’instruction. Le même jour, le président de la formation restreinte a adressé une convocation à la séance de la formation restreinte du 8 décembre 2022.

33. Le 23 novembre 2022, la société a sollicité le report de la séance de la formation restreinte.

34. Le 24 novembre 2022, la président de la formation restreinte a fait droit à cette demande en fixant la date de la séance au12 décembre 2022.

35. Le rapporteur et la société ADI ont présenté des observations orales lors de la séance de la formation restreinte.

36. Aux termes de l’article 82 de la loi Informatique et Libertés, qui constitue la transposition en droit interne de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, " tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. […] ".

37. Le rapporteur considère que la CNIL est matériellement compétente pour contrôler et engager une procédure de sanction concernant les opérations d’écriture et / ou de lecture d’informations mis en œuvre par la société ADI, à savoir sur l’équipement terminal des utilisateurs et qui relèvent du champ d’application de la directive " ePrivacy ".

38. Il relève qu’il ressort des éléments communiqués par la société que ce traitement s’inscrit dans le cadre du service mis en œuvre par la société ADI, appelé " Search Ads " à des fins de personnalisation des annonces sur l’App Store. Celui-ci permet aux développeurs de promouvoir leur application auprès des utilisateurs sur l’App Store à partir des seuls critères suivants : le " type d’appareil " (iPad, iPhone ou les deux), le " type de clientèle " (nouveaux, anciens utilisateurs ou tous les utilisateurs existants), le " profil démographique " (sexe et tranche d’âge), la " localisation " (ville, région ou pays) et la " planification de campagne " (date de début et de fin d’une campagne publicitaire).

39. Si le paramètre relatif à la réception de la publicité ciblée dans l’App Store est activé dans les réglages de l’iPhone, l’utilisateur verra s’afficher en priorité en haut des résultats de sa recherche les applications promues via le service " Search Ads ". À l’inverse, si ce paramètre n’est pas activé, les utilisateurs recevront tout de même une annonce, qui ne sera alors pas personnalisée mais contextuelle, dépendant de la recherche effectuée.

40. Pour ce faire, le rapporteur relève que la société a mis en place une " architecture technique " qui fonctionne en plusieurs temps.

41. La première étape est relative à la collecte de données : lors de la création du compte utilisateur Apple (couramment appelé " Apple Id "), un identifiant technique nommé " directory services identifier " (ci-après " DSID ") est attribué à chaque compte utilisateur. Le DSID est créé sur les serveurs de la société. Il est notamment utilisé pour accéder à iCloud et aux contenus, informations et services associés au compte utilisateur Apple.

42. Lors de sa navigation sur l’App Store, la trace de l’activité de l’utilisateur (c’est-à-dire le fait que l’utilisateur effectue une recherche, télécharge ou achète des applications dans l’App Store), ainsi que les informations qu’il a renseignées dans son compte Apple ID (c’est-à-dire l’année de naissance, le genre et la localisation de l’utilisateur), sont collectées et associées à cet identifiant DSID sur les serveurs " Apple Media Platforms " d’Apple (ci-après " AMP ").

43. Si le paramètre relatif à la réception de la publicité ciblée dans l’App Store est activé, ces données sont utilisées pour déterminer les segments auxquels un utilisateur sera affecté et, par conséquent, les publicités qu’il recevra. Un " segment " est un groupe d’au moins 5 000 utilisateurs partageant des caractéristiques similaires et dont le paramètre relatif à la réception de la publicité ciblée dans l’App Store est activé dans les réglages de l’iPhone.

44. La deuxième étape est relative à la création d’identifiants spécifiques à la personnalisation des annonces visant à promouvoir les applications mobiles sur l’App Store : afin d’éviter que la distribution et la mesure des contenus publicitaires impliquent l’utilisation de l’identifiant DSID, l’appareil de l’utilisateur va générer localement sur le terminal de l’utilisateur deux autres identifiants :

- d’une part, le " device pack identifier " (ci-après le " DPID ") qui est synchronisé via iCloud afin de s’assurer que tous les appareils d’un même utilisateur ont le même DPID ;

- d’autre part l’iADID qui est spécifique à chaque appareil et ne nécessite pas de synchronisation via iCloud.

45. Enfin, la troisième étape est relative à l’affichage d’annonces personnalisées sur le terminal de l’utilisateur : lorsque l’utilisateur effectue une recherche d’application dans l’App Store, son appareil adresse une requête publicitaire aux serveurs " Ad Platforms " contenant le mot recherché, le DPID, l’iADID et les identifiants relatifs aux segments le concernant, afin qu’ils déterminent la publicité ciblée à diffuser en priorité (l’ensemble de ces éléments étant disponibles en local sur le terminal, le procédé permet d’éviter que les serveurs " Ad Platforms " puissent identifier le compte Apple associé à chaque requête). L’iADID peut également servir à comptabiliser le nombre d’" impressions publicitaires " réalisées sur un appareil, c’est-à-dire le nombre d’affichages d’une publicité donnée.

46. Au regard de ces éléments, le rapporteur soutient, d’une part, que la société procède à des opérations de lecture et / ou d’écriture sur les terminaux des utilisateurs afin d’authentifier le DSID d’un compte utilisateur enregistré comme actif sur les serveurs Apple dans le but de personnaliser des annonces destinées à promouvoir les applications mobiles sur l’App Store et, d’autre part, que la société procède à une opération de lecture du DPID et de l’iAdId (ainsi que la liste des segments associés à la personne préalablement écrites dans le terminal par les serveurs AMP) dans les terminaux des utilisateurs lors des requêtes envoyées aux serveurs " Ad Platforms ".

47. En défense, la société soutient que le traitement à des fins de personnalisation des annonces sur l’App Store qu’elle met en œuvre est effectué soit sur ses serveurs et ne fait pas partie du périmètre des investigations de la CNIL, soit sur le terminal des utilisateurs uniquement à des fins de " d’authentification de manière sécurisée de l’utilisateur " ou de " protection de la vie privée " et constituent donc des opérations relevant des exemptions au recueil du consentement prévues par l’article 82 de la loi Informatique et Libertés.

48. Pour examiner la question de l’existence matérielle d’opérations de lecture ou d’écriture, la formation restreinte estime qu’il faut distinguer entre le DSID et le DPID/iAdId.

49. En défense, la société reconnaît d’abord que " des informations sont stockées sur un seul appareil Apple pour authentifier de manière sécurisée son utilisateur en relation avec le DSID d’un compte Apple sur les serveurs Apple " mais précise que ces " informations ne sont pas […] utilisées à des fins publicitaires ". La société indique ensuite que " les recherches effectuées dans l’App Store par les utilisateurs sont nécessairement suivies d’opérations permettant à Apple de renvoyer les résultats de la recherche sur l’appareil utilisé. Toutefois, les opérations dans ce contexte ne sont pas effectuées pour créer des segments à des fins publicitaires, mais simplement pour fournir le service demandé, c’est-à-dire l’App Store ". La société précise enfin que " toutes les informations utilisées par Apple pour créer les segments décrits dans ses observations n°1 à des fins de personnalisation des publicités sont stockées et conservées sur les serveurs d’Apple ".

50. La formation restreinte relève d’abord qu’il ressort de ces éléments que la société ne conteste pas procéder à des opérations d’écriture d’informations sur les terminaux des utilisateurs afin d’authentifier le DSID d’un compte utilisateur enregistré comme actif sur les serveurs Apple.

51. Ensuite, la formation restreinte relève que si la société soutient qu’aucune information n’est stockée et /ou lue sur le terminal des utilisateurs afin d’affecter des segments à ces derniers, il n’en demeure pas moins qu’elle est en mesure d’identifier l’ensemble des requêtes relatives à des recherches dans l’App Store vers les serveurs Apple comme provenant d’un unique terminal associé à un compte précis.

52. La formation restreinte note également en ce sens qu’interrogée sur ledit mécanisme, lors de l’audition du 16 mars 2022, la société a indiqué que " Lorsque l’utilisateur effectue une recherche dans l’App Store et télécharge des applications ou effectue des transactions au travers de cette plate-forme, son activité est enregistrée par le serveur de ladite plate-forme et est associée à son "directory services ID" (DSID), qui est l’identifiant technique relatif au compte utilisateur APPLE de l’usager (un DSID correspond à un APPLE ID) ". De plus, lors de cette audition, le DSID a été présenté comme " essentiel pour authentifier en toute sécurité un terminal et un compte Apple ". La formation restreinte relève également que le rapporteur a décrit le traitement en cause, en indiquant notamment que " le DSID est l’identifiant technique relatif au compte utilisateur de chaque usager et permet le maintien de la connexion lors de la navigation de l’utilisateur sur différents services Apple " et que ce point n’a pas été contesté par la société. Il ressort de ces éléments que des " informations ", qui sont ensuite rattachées au DSID, sont lues sur le terminal de l’utilisateur afin d’associer ses téléchargements et le résultat de ses recherches à son compte Apple.

53. En conséquence, la formation restreinte considère que la société procède à des opérations de lecture et / ou d’écriture d’informations sur les terminaux des utilisateurs pour authentifier le DSID d’un compte utilisateur enregistré comme actif sur les serveurs Apple.

54. En défense, la société reconnaît que " des mesures techniques, telles que des opérations de " stockage " et " d’accès " au terminal […] ont pour objet de procéder à un remplacement du DSID par le DPID, ce afin d’éviter d’établir un lien entre l’identité de l’utilisateur (le DSID) et les segments pertinents applicables à cet utilisateur ", conformément à l’obligation de protection des données dès la conception prévue par l’article 25 du RGPD. S’agissant de l’identifiant DPID, elle précise néanmoins que cette opération de remplacement a lieu uniquement pour protéger " la vie privée de ses utilisateurs ". S’agissant de l’identifiant iAdId, elle indique que celui-ci " ne permet aucun suivi et qu’il est utilisé uniquement comme identifiant de renforcement de la confidentialité, dans le contexte de mesures statistiques ".

55. La formation restreinte rappelle à nouveau que la seule action tendant à accéder à des informations déjà stockées dans un équipement terminal de l’utilisateur situé en France entraîne l’application de l’article 82 de la loi Informatique et Libertés.

56. La formation restreinte considère dès lors que si le remplacement d’informations rattachées au DSID par des identifiants tiers (DPID et l’iAdId, lesquels sont générés directement par le téléphone de l’utilisateur) a pour intérêt d’éviter la diffusion du DSID vers les serveurs " Ad Platforms " dédiés à la publicité d’APPLE (et donc de rompre le lien entre l’identifiant et l’identité de la personne concernée), il n’en demeure pas moins que ces deux nouveaux identifiants, (ainsi que la liste des segments associés à la personne préalablement écrite dans le terminal par les serveurs AMP) sont par la suite lus dans le terminal de l’utilisateur lors de la construction des requêtes envoyées aux serveurs " Ad Platforms ". Ils sont en effet utilisés lors des étapes relatives à la sélection et à la distribution des annonces destinées à promouvoir les applications ciblées sur l’App Store ainsi que pour le décompte du nombre d’affichage d’une annonce sur un appareil (mesure des " impressions publicitaires "), ce qui implique donc bien un accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur.

57. En conséquence, la formation restreinte considère que la société procède à une opération de lecture du DPID et de l’iAdId (ainsi que la liste des segments associés à la personne préalablement écrites dans le terminal par les serveurs AMP) dans le terminal de l’utilisateur lors des requêtes envoyées aux serveurs " Ad Platforms ".

58. En défense, la société fait valoir le caractère indissociable des opérations d’écriture et / ou de lecture d’identifiants qui ont lieu sur l’équipement terminal de l’utilisateur lors de leur utilisation de l’App Store et de l’utilisation subséquente des données collectées par ces identifiants pour les finalités poursuivies par le responsable de traitement. Ainsi, la société considère que " le rapporteur ne répond pas à l’analyse […] selon laquelle la CNIL ne serait pas compétente en application du RGPD ". Elle affirme que les opérations visant à affecter des segments à un utilisateur donné ont lieu sur les serveurs AMP du groupe APPLE et non sur le terminal de l’utilisateur, " à condition qu’un appareil Apple se soit authentifié auprès du serveur ". Elle en déduit que " ce traitement ne peut donc être qu’un " traitement ultérieur " effectué après toute opération de " lecture " ou de " stockage " effectué pour l’authentification ". Dès lors, la société estime que, dans la mesure où la CNIL a engagé une procédure de sanction à son encontre s’agissant uniquement des opérations d’écriture et / ou de lecture d’identifiants qui ont lieu sur l’équipement terminal de l’utilisateur lors de leur utilisation de l’App Store, elle n’est pas fondée à mobiliser, dans sa démonstration, des éléments liés aux traitements subséquents à ces opérations, en l’occurrence les activités réalisées ultérieurement sur les serveurs Apple qui ne " consistent pas à stocker, ou à accéder, à des informations sur l’appareil de l’utilisateur ". Elle estime que ces traitements ne relèvent pas de l’article 82 de la loi Informatique et Libertés mais du RGPD et que, dans la mesure où son établissement principal est situé en Irlande, la compétence pour engager une telle procédure reviendrait à l’autorité de protection des données irlandaise, autorité cheffe de file en vertu de l’article 56 du RGPD, compétente pour mettre en œuvre le mécanisme de coopération entre autorités de contrôle, dit mécanisme de " guichet unique ", prévu au chapitre VII de ce règlement.

59. La formation restreinte rappelle tout d’abord, qu’il convient de distinguer, d’une part, les opérations de lecture et d’écriture sur un terminal, qui sont régies par les dispositions de l’article 82 de la loi Informatique et Libertés et pour lesquelles le législateur français a confié à la CNIL une mission de contrôle et notamment le pouvoir de sanctionner toute méconnaissance de cet article et, d’autre part, l’utilisation qui est faite ultérieurement des données produites ou collectées via ces opérations, qui est régie par le RGPD et peut donc, le cas échéant, être soumise au dispositif de " guichet unique ".

60. Elle rappelle ensuite que le Conseil d’État a, dans sa décision Société GOOGLE LLC et société GOOGLE IRELAND LIMITED du 28 janvier 2022, confirmé que le contrôle des opérations d’accès ou d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, relève de la compétence de la CNIL et que le système du guichet unique prévu par le RGPD n’est pas applicable : " il n’a pas été prévu l’application du mécanisme dit du " guichet unique " applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE du 12 juillet 2002, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive. Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978 […] " (CE, 10ème et 9ème chambres réunies, 28 janvier 2022, société GOOGLE LLC et société GOOGLE IRELAND LIMITED, n° 449209, pt. 12). Le Conseil d’État a réaffirmé cette position dans un arrêt du 27 juin 2022 (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423).

61. La formation restreinte relève enfin que si les écrits du rapporteur contiennent des références aux conséquences de l’écriture et / ou de la lecture d’informations sur les terminaux des utilisateurs afin d’authentifier les informations rattachées au DSID d’un compte utilisateur ainsi que celles du DPID et de l’iAdId pour les internautes, il ne contiennent aucune analyse sur la conformité au RGPD des traitements de données à caractère personnel subséquents effectués à partir des données collectées par le biais de ces traceurs. Seules les opérations de lecture et / ou d’écriture des identifiants DPID, DSID et iAdId et leurs finalités seront analysées pour déterminer si l’article 82 de la loi Informatique et Libertés est applicable.

62. Dès lors, la formation restreinte considère que la CNIL est compétente pour contrôler et engager une procédure de sanction concernant les traitements mis en œuvre par la société relevant du champ d’application de la directive " ePrivacy ", sous réserve que le traitement se rattache à sa compétence territoriale.

63. Aux termes du paragraphe I, de l’article 3 de la loi Informatique et Libertés, qui prévoit la règle d’application territoriale des exigences prévues à l’article 82 de la loi Informatique et Libertés :

" Sans préjudice, en ce qui concerne les traitements entrant dans le champ du règlement (UE) 2016/679 du 27 avril 2016, des critères prévus par l’article 3 de ce règlement, l’ensemble des dispositions de la présente loi s’appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France. "

64. Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement objet de la présente procédure, consistant en des opérations de lecture et /ou d’écriture d’informations dans les terminaux mobiles des utilisateurs résidant en France lors de l’utilisation de l’App Store, est effectué dans le " cadre des activités " des sociétés APPLE RETAIL FRANCE et APPLE FRANCE, qui constituent " l’établissement " sur le territoire français de la société ADI, lesquelles participent à la promotion et à la commercialisation des produits de la société ADI et de leurs solutions publicitaires en France.

65. En défense, la société conteste la compétence territoriale de la CNIL dans la mesure où il n’existe pas de " lien indissociable " entre les activités de la société APPLE RETAIL FRANCE et le traitement en cause. La société considère en ce sens que " la simple vente de matériel informatique ne crée pas […] un lien avec les opérations de traitement effectuées par le logiciel présent sur ce matériel ". Elle considère dès lors que le deuxième critère d’application territoriale de la loi Informatique et Libertés, prévu au paragraphe I de son article 3, n’est pas rempli, à savoir que le traitement en cause est effectué " dans le cadre des activités de cet établissement ". De même, s’agissant de la société APPLE FRANCE, la société ADI estime également que la compétence territoriale de la CNIL n’est pas établie. Elle soutient qu’il ne peut y avoir " lien indissociable " entre les activités de la société APPLE FRANCE et le traitement en cause dans la mesure où " l’embauche des " Search Ads Specialists " en France " n’a pas eu pour effet de générer une différence significative de revenus et qu’ils n’exercent pas une " activité de promotion et de commercialisation d’outils publicitaires ".

66. La formation restreinte rappelle qu’en vertu de l’article 3 de la loi Informatique et Libertés, la CNIL est compétente pour exercer ses pouvoirs dès lors que les deux critères prévus par cet article sont remplis, en l’occurrence, l’existence d’un établissement du responsable de traitement sur le territoire français et l’existence d’un traitement effectué dans le cadre des activités de cet établissement.

67. S’agissant en premier lieu de l’existence d’un établissement du responsable de traitement sur le territoire français, la Cour de justice de l’Union européenne (CJUE) a, dans son arrêt Weltimmo, du 1er octobre 2015, précisé que " la notion d’" établissement ", au sens de la directive 95/46, s’étend à toute activité réelle et effective, même minime, exercée au moyen d’une installation stable ", le critère de stabilité de l’installation étant examiné au regard de la présence de " moyens humains et techniques nécessaires à la fourniture de services concrets en question ". La CJUE estime qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions (CJUE, 13 mai 2014, Google Spain, C-131/12, pt 48).

68. En l’espèce, la formation restreinte relève que les sociétés APPLE RETAIL FRANCE et APPLE FRANCE sont toutes deux filiales de la société APPLE INC et disposent de locaux stables situés en France. Elle relève en outre que la société APPLE FRANCE emploie environ […] personnes. En conséquence, les sociétés APPLE RETAIL FRANCE et APPLE FRANCE constituent bien chacune un établissement de la société ADI au sens de l’article 3 de la loi Informatique et Libertés précité.

69. S’agissant en second lieu de l’existence d’un traitement effectué dans le cadre des activités de cet établissement, la formation restreinte rappelle qu’il n’est pas nécessaire que le traitement en cause soit réalisé " par cet établissement " (CJUE, 13 mai 2014, Google Spain, C-131/12, pt. 57), c’est-à-dire par les sociétés APPLE RETAIL FRANCE ou APPLE FRANCE, en tant que responsables de traitement, et qu’il suffit que l’un et/ou l’autre de ces établissements facilitent ou favorisent suffisamment le déploiement dans le territoire français du traitement de données à caractère personnel mis en œuvre par le responsable de traitement établi dans un autre État membre (la société ADI) pour qu’il y ait obligation de respecter la loi territorialement applicable en France et pour fonder la compétence de l’autorité de contrôle nationale.

70. En ce sens, la formation restreinte relève que, dans sa décision AMAZON EUROPE CORE du 27 juin 2022, le Conseil d’État a rappelé qu’" il résulte de la jurisprudence de la Cour de justice de l’Union européenne, notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par cette directive [la directive " e-Privacy "], consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué " dans le cadre des activités " d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un État membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site " (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société AMAZON EUROPE CORE, n° 451423, pt. 10). Le Conseil d’État a considéré dans cette même décision que tel était le cas lorsque les activités de l’établissement du responsable de traitement consistent en la promotion et la commercialisation d’outils publicitaires contrôlés et exploités par le responsable de traitement fonctionnant notamment grâce aux données collectées par le biais des traceurs de connexion déposés sur les terminaux des utilisateurs du site exploité par le responsable de traitement (pt. 15 de la décision précitée).

71. Tout d’abord, s’agissant de la société APPLE RETAIL FRANCE, la formation restreinte relève que les informations et identifiants déposés et / ou lus par la société ADI permettent d’alimenter les outils publicitaires que cette dernière développe et qui font, notamment, partie de l’App Store intégré aux téléphones vendus par la société APPLE RETAIL FRANCE. Le système d’exploitation embarqué sur les terminaux mobiles est commercialisé en France sur les seuls produits de la société ADI par l’intermédiaire de la société APPLE RETAIL FRANCE. Cette dernière, qui a pour mission de commercialiser spécifiquement en France les terminaux fabriqués par le groupe APPLE, en offrant par ailleurs un ensemble de services, contribue à promouvoir les produits du groupe APPLE. Ainsi, dans la mesure où chaque téléphone vendu par la société APPLE RETAIL FRANCE contient par défaut l’application App Store, la formation restreinte considère que l’activité de cette dernière contribue directement et nécessairement à ce que les personnes détenant un iPhone puissent accéder à l’App Store et y effectuent des recherches dont les résultats seront personnalisés par la société ADI.

72. En outre, s’agissant de la société APPLE FRANCE, la formation restreinte relève que, dans le cadre du service " Search Ads " mis en œuvre par la société ADI permettant aux développeurs de promouvoir leur application auprès des utilisateurs sur l’App Store, la société APPLE FRANCE emploie des " Search Ads Specialists ". Selon la société, leur rôle est " d’assister les éditeurs d’applications afin de les aider à comprendre les outils fournis par Apple dans Search Ads, et d’émettre des recommandations sur la meilleure façon d’optimiser leur campagne et de structurer ces dernières, en les assistant, par exemple, sur les choix des mots clefs à utiliser pour la campagne en fonction de l’application à promouvoir et de les aider à choisir des critères de ciblage (géographie, âge, etc.) ". Dès lors, les informations et identifiants déposés et / ou lus par la société ADI permettent aux développeurs qui souhaitent que leurs applications soient présentées dans l’App Store de mieux cibler leur audience. La circonstance que les " Search Ads Specialists " n’aient généré qu’une " différence insignifiante de revenu " ou n’exercent pas directement eux-mêmes une activité " de promotion et de commercialisation d’outils publicitaires " est inopérante.

73. En conséquence, la formation restreinte estime qu’un lien indissociable est établi entre, d’une part, l’opération de lecture et / ou d’écriture d’informations pour authentifier le DSID d’un compte utilisateur ainsi que celles des identifiants DPID et iAdId dans les terminaux mobiles équipés du système d’exploitation iOS des utilisateurs résidant en France lors de l’utilisation de l’App Store par la société ADI et, d’autre part, les activités des sociétés APPLE FRANCE en ce qu’elle conseille les développeurs d’applications dans leurs campagnes publicitaires et APPLE RETAIL FRANCE en tant que promoteur du système d’exploitation iOS .

74. La formation restreinte relève que les deux critères prévus à l’article 3, paragraphe I, de la loi Informatique et Libertés sont donc réunis.

75. Il en résulte que le droit français est applicable et que la CNIL est matériellement et territorialement compétente pour exercer ses pouvoirs, parmi lesquels celui de prendre des sanctions concernant les traitements relevant du champ d’application de la directive " ePrivacy ".

76. En défense, la société fait d’abord valoir que la procédure de sanction est fondée sur des faits obsolètes ou qui n’ont pas fait l’objet de constatations. Elle indique que le " rapport se concentre sur la version 14.6 d’iOS, le système d’exploitation des iPhones, qui n’est pas la version [15 d’iOS] à jour " et que, dès lors, " contrairement à ce qu’affirme le Rapporteur […] le réglage des publicités personnalisées n’était donc en aucun cas activé " par défaut " à la date du Rapport. En outre, iOS 15 était disponible pendant la majeure partie de la procédure de contrôle et d’instruction ayant précédé la communication du rapport ". Au cours de la séance devant la formation restreinte, la société a également fait valoir que dans la mesure où la délégation de contrôle de la CNIL n’a pas créée de compte à l’occasion de l’initialisation du téléphone lors de ses investigations, elle n’a pour cette raison pas pu matériellement constater les opérations de lecture et/ou d’écriture sur lequel le rapporteur se fonde pour caractériser son manquement à l’article 82 de la loi Informatique et Libertés.

77. La société fait ensuite valoir que la procédure suivie par la CNIL ne respecte pas le droit à un procès équitable ainsi que les principes de prévisibilité et de sécurité juridique, tel que garantis par les articles 6 et 7 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales. S’agissant du droit à un procès équitable, la société considère d’abord que son droit de ne pas participer à sa propre incrimination a été violé dans la mesure où, durant la phase d’investigation, elle a volontairement transmis des documents qui ont ensuite été retenus comme étant des " preuves à charge contre elle " dans le cadre de la procédure de sanction. Elle soutient que ces éléments ont été obtenus par la contrainte ou les pressions du fait qu’elle était obligée de répondre aux demandes de la CNIL en application de l’article 18 de la loi Informatique et Libertés. Dès lors, elle considère que la formation restreinte devrait clore la procédure en l’état. La société considère ensuite qu’elle n’a pas bénéficié du temps nécessaire pour préparer équitablement sa défense car ses demandes tendant à obtenir une prolongation du délai pour répondre au rapporteur ont été systématiquement refusées. Elle soutient que des " délais de distance " auraient dû être appliqués du seul fait qu’elle ne se trouve pas sur le territoire métropolitain. Elle fait en outre valoir que le principe de l’égalité des armes n’a pas été respecté car elle n’a pas bénéficié d’un délai suffisant pour préparer les traductions en langue anglaise des " documents essentiels de la procédure de sanction ", à savoir le rapport et la réponse du rapporteur. Enfin, la société fait valoir que le " rapporteur n’a pas inclus dans ses écritures la lettre d’Apple à la CNIL en date du 30 mars 2022 dans laquelle elle a présenté des observations détaillées sur le procès-verbal de l’audition du 16 mars 2022 […] ". S’agissant de la violation des principes de prévisibilité et de sécurité juridique, la société ADI considère qu’elle " ne pouvait pas raisonnablement prévoir qu’elle [la société APPLE RETAIL FRANCE] allait être mise en cause dans la présente procédure " alors qu’elle n’a " jamais reçu de demande ou de question de la CNIL ". Elle demande donc que les éléments relatifs à cette entité soient écartés.

78. La formation restreinte relève tout d’abord que la version 14.6 du système d’exploitation de l’iPhone était le système disponible au jour du contrôle en ligne du 16 juin 2021 et qu’il est donc légitime que l’analyse de la conformité des traitements mis en œuvre ait porté sur ce système. Si la formation restreinte note les efforts que la société a en cours de procédure mis en œuvre pour créer de nouveaux paramètres sollicitant les utilisateurs pour accepter que des informations soient inscrites et / ou lues dans leur terminal, il n’en demeure pas moins que le manquement retenu par le rapporteur est circonscrit à la version 14.6 du système d’exploitation de l’iPhone, sur la base des constations faites par la délégation de contrôle de la CNIL. La formation restreinte constate que la matérialité des opérations de lecture et/ou d’écriture d’informations sur le terminal des utilisateurs au sens de l’article 82 de la loi Informatique et Libertés, ressort des réponses apportées par la société aux contrôles sur pièces et l’existence de ces opérations est dès lors établie au dossier pour les utilisateurs des versions antérieures à la version 14.6.

79. En conséquence, la formation restreinte considère qu’il résulte de ces éléments que la procédure n’est pas fondée sur des " faits obsolètes ".

80. La formation restreinte considère tout d’abord que, contrairement à ce que soutient la société, les éléments visés dans ses écrits n’ont pas été obtenus par la contrainte ou la pression. Elle souligne que le droit de ne pas contribuer à sa propre incrimination a notamment pour objectif d’éviter, par l’exercice de pressions pour l’obtention de preuve, les erreurs judiciaires. Elle note également qu’aux termes de la jurisprudence de la Cour européenne des droits de l’homme, le droit de ne pas s’incriminer soi-même " ne s’étend pas à l’usage, dans une procédure pénale, de données que l’on peut obtenir de l’accusé en recourant à des pouvoirs coercitifs mais qui existent indépendamment de la volonté du suspect, par exemple les documents recueillis en vertu d’un mandat " (CEDH, Saunders c. Royaume-Uni, 17 décembre 1996).

81. En l’espèce, l’ensemble des informations recueillies par la CNIL l’ont été dans le cadre d’une procédure de contrôle fondée sur l’article 19 de la loi Informatique et Libertés, par le biais de contrôles sur pièces et sur place, ainsi que dans le cadre d’une audition qui a été sollicitée par la société. Si les dispositions de l’article 18 de la loi " Informatique et Libertés " obligent les organismes contrôlés à fournir à la CNIL les renseignements demandés, la formation restreinte constate sur ce point que les informations fournies par la société contenaient exclusivement des éléments de faits objectifs, décrivant l’architecture technique de son traitement " Search Ads ".

82. La formation restreinte rappelle, ensuite, que lorsque la délégation de contrôle sollicite des informations, notamment des informations factuelles, de la part d’un organisme, aucune accusation n’est encore portée à son encontre, de sorte que la phase " contradictoire ", telle qu’entendue par la jurisprudence de la Cour européenne des droits de l’homme, n’est pas encore entamée. La formation restreinte constate en outre qu’ensuite, la société a eu tout le loisir de contester les constatations établies par la délégation de contrôle et leur analyse par le rapporteur.

83. Ensuite, concernant le droit de disposer du temps et des facilités nécessaires à la préparation de sa défense, la formation restreinte rappelle que ce droit est l’une des composantes du droit à un procès équitable contenu à l’article 6 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales et qui doit, conformément à la jurisprudence de la Cour européenne des droits de l’homme, être analysé à la lumière de sa fonction dans le contexte général de la procédure (voir entre autres, Mayzit c. Russie, 20 janvier 2005).

84. Au surplus, en application notamment de l’article 40 du décret n° 2019-536 du 29 mai 2019, la mise en œuvre du principe du contradictoire signifie que tout document, tout argument, toute pièce, tout courrier de réponse doit être communiqué au mis en cause, au rapporteur et à la formation restreinte. Cet article prévoit que le responsable de traitement à qui est notifié un rapport proposant une sanction dispose, tout d’abord, d’un délai d’un mois pour transmettre ses observations à la formation restreinte et au rapporteur. Lorsque les circonstances de l’espèce ou la complexité de l’affaire le justifient, le président de la formation restreinte peut décider, sur demande de l’organisme mis en cause, de prolonger, dans la limite d’un mois, ce délai. Ce même article octroie ensuite au responsable de traitement un second délai d’un mois pour répondre aux observations en réponse du rapporteur. Ces délais sont de nature à garantir le respect des droits de la défense. Enfin, le responsable de traitement peut présenter des observations orales lors de la séance devant la formation restreinte.

85. En l’espèce, la formation restreinte relève que la société a bénéficié d’un délai d’un mois et 23 jours pour produire ses observations, étant rappelé que l’article 40 du décret n° 2019-536 du 29 mai 2019 impose un délai minimum d’un mois. Par ailleurs, comme rappelé par le Conseil d’Etat dans sa décision Société GOOGLE LLC du 19 juin 2020, " aucune règle ni aucun principe n’impose l’institution, en matière de procédure administrative de sanction, d’un délai de distance, applicable aux requérants domiciliés hors de la France métropolitaine " (CE, 10ème et 9ème chambres réunies, 27 juin 2022, société GOOGLE LLC, n° 430810, pt 13). Enfin, compte tenu de ce que la société a disposé d’un nouveau délai pour présenter des observations écrites à la réponse du rapporteur, et qu’elle a eu la faculté de s’exprimer de nouveau devant la formation restreinte, cette dernière considère qu’il n’a pas été porté atteinte aux droits de la défense de la société.

86. En outre, s’agissant de la mise en cause de la société APPLE RETAIL FRANCE dans la procédure, la formation restreinte relève que la décision de la présidente de la Commission d’engager une procédure de sanction ne vise que la société APPLE DISTRIBUTION INTERNATIONAL. Elle estime donc que contrairement à ce qui est soutenu, la société APPLE RETAIL FRANCE n’est pas mise en cause dans la présente procédure. Elle considère également que les éléments introduits par le rapporteur dans ses écrits concernant cette société n’ont pas entravé la préparation de la société ADI dans sa défense, dans la mesure où ils avaient été communiqués par la société ADI elle-même concernant son appartenance au groupe APPLE ou étaient publiquement accessibles au registre du commerce et des sociétés concernant son objet social.

87. Enfin, la formation restreinte estime que " l’omission " du courrier du 30 mars 2022, pour reprendre les termes de la société, ne la prive pas de garanties procédurales. Cette pièce versée au débat par la société ADI a été examinée par la formation restreinte, qui au demeurant n’est pas en possession de pièces dont la société n’aurait pas eu connaissance.

88. En conséquence, la formation restreinte considère qu’il résulte de ces éléments que le droit de la société à un procès équitable ainsi que les principes de prévisibilité et de sécurité juridique ont été respectés.

89. Ainsi qu’il l’a été rappelé au point 36, l’article 82 de la loi informatique et libertés constitue la transposition en droit interne de l’article 5(3) de la directive " ePrivacy ".

90. Le rapporteur, pour proposer à la formation restreinte de considérer que la société a méconnu ses obligations résultant de l’article 82 de la loi Informatique et Libertés, se fonde sur le fait que les opérations de lecture et /ou d’écriture d’informations pour authentifier le DSID d’un compte utilisateur et des identifiants DPID et iAdId sur le terminal de l’utilisateur à des fins publicitaires, nécessite que ce dernier ait donné son consentement préalable, dans les conditions prévues par les dispositions de l’article 82 de la loi du 6 janvier 1978 modifiée, telles qu’éclairées par l’article 4, paragraphe 11, du RGPD.

91. Or, le rapporteur relève d’abord qu’il ressort des constatations effectuées qu’au terme du parcours d’initialisation du téléphone équipé de la version iOS 14.6 du système d’exploitation, aucun mécanisme destiné à recueillir le consentement préalable de l’utilisateur aux opérations consistant à lire les informations et identifiants précités sur son terminal ne lui a été présenté. Le rapporteur relève ensuite qu’une fois l’initialisation du téléphone achevée, la délégation a constaté que l’onglet intitulé " Publicités personnalisées " figurant dans le menu relatif à la " Publicité Apple " des paramètres de confidentialité était activé. Il considère dès lors que le parcours utilisateur de la version iOS 14.6 du système d’exploitation ne permettait pas un recueil du consentement valable dans les conditions prévues par l’article 82 précité.

92. Le rapporteur relève ensuite que la société a indiqué avoir déployé une mise à jour du système d’exploitation iOS le 20 septembre 2021. Cette mise à jour obligeait les nouveaux utilisateurs et ceux déjà équipés d’un terminal mobile de marque APPLE, pour lesquels le paramètre " Publicités personnalisées " était activé et qui pouvaient installer la mise à jour, à effectuer un choix lors du premier lancement de l’App Store. Ce choix se manifeste par un acte positif et il convient de cliquer sur le bouton " Activer les publicités personnalisées " ou le bouton " Désactiver les publicités personnalisées ", et porte donc sur l’acceptation par l’utilisateur que ses données à caractère personnel fassent l’objet d’un traitement à des fins de publicité ciblée. Il relève que cette nouvelle fenêtre constitue une amélioration en matière de recueil du consentement, dans la mesure où un choix relatif à la publicité ciblée est proposé à l’utilisateur et pourrait, dès lors, constituer un mécanisme valable de recueil du consentement à la lecture des informations et identifiants précités sur le terminal de l’utilisateur, en application de l’article 82 de la loi précitée. Néanmoins, le rapporteur relève que la mention " Apple ne suit pas vos activités " est trompeuse, dans la mesure où des opérations de lecture et /ou d’écriture d’informations et identifiants précités sur le terminal mobile des utilisateurs sont mises en œuvre à des fins publicitaires. Dès lors, il subordonne cette conformité à trois conditions : que la fenêtre soit rédigée en langue française, que la mention " Apple ne suit pas vos activités " soit amendée et qu’aucun identifiant ne soit utilisé pour des finalités publicitaires avant qu’un consentement de l’utilisateur ait été valablement recueilli via cette fenêtre.

93. En défense, la société soutient d’abord, ainsi qu’il a été développé au point 47, que les traitements qu’elle met en œuvre ne relèvent pas du champ d’application de la directive " ePrivacy " ou bénéficient de l’exemption du recueil du consentement au sens de l’article 82 de la loi Informatique et Libertés. La société fait ensuite valoir que la nouvelle fenêtre destinée à recueillir le consentement sous la nouvelle version iOS 15 du système d’exploitation a toujours été disponible en langue française. Elle considère que les informations fournies ne peuvent être considérées comme trompeuses ou insuffisamment précises mais indique en tout état de cause compléter la mention " Apple ne suit pas vos activités " par " Apple ne suit pas vos activités sur les apps et les sites d’entreprises tierces ". Elle précise que cette modification sera effective d’ici le mois de mars 2023. Elle confirme enfin qu’aucun identifiant n’est stocké dans le terminal ou bien lu pour des finalités publicitaires avant que cette fenêtre ne soit présentée à l’utilisateur.

94. En premier lieu, la formation restreinte rappelle, ainsi qu’elle l’a développé aux points 49 et suivants, qu’elle considère que la société ADI effectue des opérations de lecture et /ou d’écriture sur le terminal de l’utilisateur.

95. La formation restreinte rappelle que l’article 82 de la loi Informatique et Libertés exige un consentement aux opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur mais prévoit des cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque celui-ci a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

96. La formation restreinte relève à ce titre que la Commission précise, dans ses lignes directrices du 17 septembre 2020, que " l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices. À titre d’exemple, dans le cas d’un service offert via une plate-forme nécessitant l’authentification des usagers (" univers logué "), l’éditeur du service pourra utiliser un cookie pour authentifier les utilisateurs sans demander leur consentement (car ce cookie est strictement nécessaire à la fourniture du service de communication en ligne). En revanche, il ne pourra utiliser ce même cookie pour des finalités publicitaires que si ces derniers ont effectivement consenti préalablement à cette finalité spécifique ".

97. La formation restreinte considère qu’afin de déterminer si les opérations de lecture et /ou d’écriture d’identifiants multi-finalités, tel que les identifiants DSID, DPID et iAdId, sur le terminal des utilisateurs nécessite le recueil préalable de leur consentement, il convient de déterminer si les finalités annoncées par la société sont toutes exemptées de recueil du consentement.

98. S’agissant des informations rattachées au DSID, la formation restreinte considère que si cet identifiant est créé pour chaque compte utilisateur sur les serveurs du groupe APPLE, des " informations " sont lues sur l’équipement terminal de ce dernier pour permettre d’associer les requêtes émises à un compte utilisateur (c’est-à-dire le fait que l’utilisateur effectue une recherche, télécharge ou achète des applications dans l’App Store) et, plus tard, d’affecter cet utilisateur unique à des segments au sein d’un univers nécessitant une authentification (univers dit " authentifié " ou " logué "), en l’espèce l’App Store. Quand bien même la principale fonction de ces " informations " seraient de permettre l’authentification d’un utilisateur au sein d’un univers logué – et serait qualifiée de finalité essentielle car strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur - , la circonstance que les informations collectées grâce à ces traceurs puissent être utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits traceurs de rentrer dans les catégories de traceurs dont la lecture est exemptée de recueil du consentement au sens de l’article 82 précité. La formation restreinte estime dès lors que la société accède à des informations visant à maintenir la connexion authentifiée, pour plusieurs finalités : d’une part, l’authentification puis le maintien de l’utilisateur au sein de l’univers authentifié de l’App Store et d’autre part, la collecte des traces d’activité de l’utilisateur dans le cadre de l’App Store afin de l’affecter ou de le réaffecter à un ou plusieurs segments qui serviront par la suite à lui adresser des annonces personnalisées destinées à promouvoir les applications mobiles sur l’App Store.

99. S’agissant du remplacement d’informations rattachées au DSID par les identifiants DPID et iAdId sur le terminal des utilisateurs, la formation restreinte relève d’abord que la lecture des identifiants DPID et iAdId qui sont stockés dans l’équipement terminal de l’utilisateur et leur envoi aux serveurs de la société ont pour objectif de diffuser des annonces pour des applications ciblées en fonction du profil de l’utilisateur. Dès lors, la formation restreinte considère que ces opérations poursuivent une finalité publicitaire et n’ont ainsi pas pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, ni ne sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, au sens de l’article 82 de la loi Informatique et Libertés.

100. Ensuite, s’agissant de l’argument selon lequel les étapes relatives au remplacement d’informations rattachées au DSID par le DPID et l’iAdId sont mises en œuvre afin de respecter les principes de protection de la vie privée et qu’en leur absence, la société pourrait relier les informations relatives aux annonces diffusées à l’identité de l’utilisateur, ce qui porterait atteinte à sa vie privée, la formation restreinte souligne que, en effet, l’architecture technique sous tendant le service " Search Ads " permet en soi de rendre les traitements ultérieurs liés à la personnalisation des annonces moins intrusifs pour les personnes concernées. Elle considère en revanche que, dès lors que l’article 82 de la loi Informatique et Libertés trouve à s’appliquer, il est nécessaire d’en respecter les conditions, notamment celles liées au recueil du consentement préalable à toute opération de lecture ayant lieu sur l’équipement terminal de l’utilisateur, hors opérations liées au fonctionnement des communications électroniques ou strictement nécessaires à la fourniture d’un service demandé par l’utilisateur. Autrement dit, la formation restreinte considère que le fait de mettre en œuvre d’autres mesures afin de protéger la vie privée dès la conception ne permet pas de s’affranchir de la règle fixée par l’article 82 de la loi Informatique et libertés.

101. Dès lors, elle considère que ces opérations nécessitent que l’utilisateur ait donné son consentement préalable, dans les conditions prévues par les dispositions de l’article 82 de la loi du 6 janvier 1978 modifiée, telles qu’éclairées par l’article 4, paragraphe 11, du RGPD.

102. En second lieu, la formation restreinte relève que le consentement des personnes doit être univoque et qu’il ressort de la décision " Planet 49 " du 1er octobre 2019 de la CJUE que l’utilisation de cases pré-cochées ne peut être considérée comme un acte positif clair visant à donner son consentement (CJUE, 1er oct. 2019, C-673/17). Au surplus, dans le cadre des lignes directrices du 17 septembre 2020, la Commission a pris soin de préciser qu’un " consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exprimer ".

103. En l’espèce, la formation restreinte relève qu’il ressort des constatations effectuées dans la rubrique intitulée " Publicité Apple ", que les paramètres de ciblage de la publicité sont pré-cochés par défaut. Elle considère qu’en étant autorisés " par défaut ", les traitements de ciblage de la publicité ne sauraient être considérés comme ayant été acceptés par un acte positif des utilisateurs.

104. La formation restreinte rappelle en outre que cette étape du recueil du consentement intervient tardivement dans la phase de prise en main du téléphone par l’utilisateur et qu’elle est facultative car non intégrée au parcours d’initialisation du téléphone. En outre, cette étape n’est accessible qu’après que l’utilisateur a cliqué sur l’icône " Réglages " de l’iPhone, s’est rendu dans le menu " Confidentialité ", puis a cliqué sur la rubrique intitulée " Publicité Apple ". Elle estime qu’il est difficile pour l’utilisateur de parvenir à accepter ou refuser valablement ces opérations, dans la mesure où l’utilisateur qui a terminé le parcours d’initialisation de son téléphone (a fortiori lorsque le parcours comprend un nombre important d’étapes comme en l’espèce) peut légitimement penser ne plus avoir besoin de procéder à d’autres configurations avant de consulter l’App Store.

105. Enfin, la formation restreinte estime que la société met en place des traitements de données d’une ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Apple sur le marché français des systèmes d’exploitation mobiles et de la proportion de recours aux ordiphones par les utilisateurs de téléphone en France. Elle relève également que ce ciblage s’appuie sur les centres d’intérêt et les habitudes de vie des personnes et qu’ainsi, l’utilisation par la société des données de navigation et de profil provenant de l’App Store pour réaliser le ciblage de la publicité est significative. Dès lors, la formation restreinte considère, au regard de l’ampleur des traitements déployés et de la nécessité impérieuse pour les utilisateurs de garder la maîtrise de leurs données, que ceux-ci doivent être mis en situation d’y consentir valablement.

106. En conséquence, la formation restreinte considère que la société ADI accède à des informations déjà stockées ou lues sur le terminal des utilisateurs à des fins de personnalisation des annonces dans l’App Store sans recueillir préalablement leur consentement, en méconnaissance des dispositions de l’article 82 de la loi Informatique et Libertés.

107. La formation restreinte relève que le nouveau dispositif destiné à recueillir le consentement sous la nouvelle version iOS 15 du système d’exploitation est rédigée en langue française. Elle prend note que la société s’engage à compléter la mention " Apple ne suit pas vos activités " d’ici mars 2023. Enfin, elle relève qu’aucun identifiant n’est plus utilisé pour des finalités de personnalisation des annonces sur l’App Store avant que cette fenêtre ne soit présentée à l’utilisateur.

108. En conséquence, la formation restreinte estime que cette nouvelle fenêtre constitue un mécanisme permettant de recueillir préalablement un consentement valable à la lecture des informations et identifiants précités sur le terminal de l’utilisateur, en application de l’article 82 de la loi du 6 janvier 1978 modifiée.

109. La formation restreinte considère qu’un manquement aux obligations qui découlent de l’article 82 de la loi Informatique et Libertés est constitué pour le passé sur la version 14.6 du système d’exploitation dès lors qu’il incombait à la société de recueillir le consentement des utilisateurs préalablement aux opérations d’écriture et / ou de lecture d’informations sur leur équipement terminal à des fins de personnalisation des annonces destinées à promouvoir les applications mobiles sur l’App Store.

110. Elle relève que, dans le cadre de la présente procédure, la société a justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant de l’article 82 de la loi Informatique et Libertés, ce qui ne remet toutefois pas en cause l’existence du manquement pour les faits passés.

111. Aux termes du III de l’article 20 de la loi Informatique et Libertés :

" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes : (…) 7° À l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l’article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires. La formation restreinte prend en compte, dans la détermination du montant de l’amende, les critères précisés au même article 83. "

112. Aux termes de l’article 83 du RGPD, tel que visé par l’article 20, paragraphe III, de la loi Informatique et Libertés :

" 1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.

2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l’article 58, paragraphe 2, points a) à h), et j). Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, il est dûment tenu compte, dans chaque cas d’espèce, des éléments suivants :

a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi ;

b) le fait que la violation a été commise délibérément ou par négligence ;

c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;

d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;

e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;

f) le degré de coopération établi avec l’autorité de contrôle en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

g) les catégories de données à caractère personnel concernées par la violation ;

h) la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;

i) lorsque des mesures visées à l’article 58, paragraphe 2, ont été précédemment ordonnées à l’encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;

j) l’application de codes de conduite approuvés en application de l’article 40 ou de mécanismes de certification approuvés en application de l’article 42 ; et

toute autre circonstance aggravante ou atténuante applicable aux circonstances de l’espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation. "

113. En défense, la société estime, à titre principal, qu’aucune violation de l’article 82 de la loi Informatique et Libertés ne peut lui être reprochée et, dès lors qu’aucune amende ne peut être prononcée à son encontre. Elle rappelle à ce titre que le traitement à des fins de personnalisation des annonces sur l’App Store qu’elle met en œuvre est effectué soit sur ses serveurs et ne fait pas partie du périmètre des investigations de la CNIL, soit sur le terminal des utilisateurs uniquement à des fins de " protection de la vie privée " et relève donc du champ des exemptions prévues à l’article 82 de la loi Informatique et Libertés. La société estime, à titre subsidiaire, que le montant de l’amende proposé par le rapporteur est disproportionné et que plusieurs critères prévus par l’article 83(2) du RGPD sont inopérants en l’espèce, en particulier ceux se référant à la nature, la gravité, la portée du traitement et le niveau de dommage subi par les personnes. Elle fait ensuite valoir que la fenêtre destinée à recueillir le consentement dans la nouvelle version iOS 15 du système d’exploitation a toujours été disponible en langue française pour les utilisateurs ayant sélectionné cette langue, contrairement à ce qu’a soutenu le rapporteur. Elle soutient en outre que le chiffre d’affaires mondial n’est pas un critère pertinent à prendre en compte pour décider du montant de l’amende en lui-même et qu’il a uniquement pour fonction d’empêcher que le montant retenu par la formation restreinte ne dépasse pas le plafond prévu par le RGPD. Elle ajoute que le montant proposé par le rapporteur correspond à […]. Elle note enfin que l’amende proposée par le rapporteur est sans commune mesure avec les amendes qu’elle a déjà prononcées.

114. Au regard des éléments développés ci-dessus, la formation restreinte considère que les faits précités, constitutifs d’un manquement à l’article 82 de la loi Informatique et Libertés, justifient que soit prononcée une amende administrative à l’encontre de la société ADI, personne morale responsable du traitement. Elle rappelle que les changements apportés par la société à la fenêtre destinée à recueillir le consentement dans la nouvelle version iOS 15 du système d’exploitation depuis septembre 2021 sont sans incidence sur le prononcé d’une amende dans la mesure où celle-ci vise à sanctionner les faits constatés au cours des contrôles au sujet de la version iOS 14.6 du système d’exploitation de l’iPhone.

115. La formation restreinte rappelle que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment une amende administrative dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement. Elle ajoute que la détermination du montant de cette amende s’apprécie au regard des critères précisés par l’article 83 du RGPD.

116. Dans le cas d’espèce, la formation restreinte considère que le manquement en cause justifie le prononcé d’une amende administrative à l’encontre de la société pour les motifs suivants.

117. Tout d’abord, la formation restreinte relève la gravité du manquement, dans la mesure où les paramètres de personnalisation des annonces étant pré-cochés par défaut, la société a effectué des opérations de lecture et /ou d’écriture d’informations ou d’identifiants sur les terminaux des utilisateurs situés en France à des fins de personnalisation des annonces sans recueillir préalablement leur consentement et les a privés de la possibilité d’exercer leur choix conformément aux dispositions de l’article 82 précité.

118. La formation restreinte considère que la gravité du manquement est accentuée par le fait que cette étape du recueil du consentement est intervenue tardivement dans la phase de prise en main du téléphone par l’utilisateur et qu’elle était facultative car non intégrée au parcours d’initialisation du téléphone.

119. La formation restreinte observe que la gravité du manquement doit également être appréciée au regard de la portée des opérations de lecture et d’écriture en cause et du nombre de personnes concernées.

120. S’agissant de la portée des opérations de lecture et d’écriture, la formation restreinte relève que l’App Store d’Apple constitue le seul canal de distribution officiel des applications mobiles sur les appareils iOS pour les développeurs, dès lors que la société n’autorise pas le téléchargement d’applications en dehors de son magasin App Store. Les personnes utilisant la version iOS 14.6 du système d’exploitation de l’iPhone sont donc dépendantes des choix effectués par la société ADI relatifs à la protection de leur vie privée.

121. S’agissant du nombre de personnes concernées par les opérations de lecture et /ou d’écriture des informations et identifiants précités sur leur terminal mobile, il ressort des informations fournies par la société que 27,5 millions de terminaux mobiles équipés du système d’exploitation se sont connectés à l’App Store français en utilisant une adresse IP enregistrée en France entre le 5 juillet 2020 et le 5 juillet 2021 (pour des téléchargements gratuits ou payants, des re-téléchargements ou des mises à jour). Si ce nombre ne signifie pas que 27,5 millions d’utilisateurs n’ont pas consenti aux opérations de lecture et /ou d’écriture des informations et identifiants précités sur leur terminal mobile, il reflète la place importante occupée par la société sur le marché des systèmes d’exploitation de téléphones mobiles.

122. Ensuite, la formation restreinte considère que la société ADI, qui a réalisé pour l’année 2021 un chiffre d’affaires mondial d’environ […] dollars, soit environ […] euros (selon le taux de change actuel), a tiré du manquement commis un avantage financier certain. En effet, comme indiqué précédemment, les opérations de lecture et/ou d’écriture permettent à la société de présenter aux utilisateurs, lorsqu’ils effectuent une recherche sur l’App Store, des annonces personnalisées faisant la promotion d’applications. La formation restreinte note que si l’activité principale de la société réside dans la vente et la distribution des produits du groupe APPLE en Europe, la personnalisation des annonces permet justement d’augmenter ses revenus. Or, en ne recueillant pas le consentement des utilisateurs aux opérations de lecture et /ou d’écriture des informations et identifiants précités, la société augmente le nombre d’utilisateurs auprès desquels la personnalisation des annonces sera effectuée.

123. La formation restreinte relève néanmoins, à titre de circonstance atténuante, que les étapes relatives au remplacement d’informations rattachées au DSID par le DPID et l’iAdId sont mises en œuvre afin de respecter les principes de protection de la vie privée et qu’en leur absence, la société pourrait relier les informations relatives aux publicités diffusées à l’identité de l’utilisateur, ce qui porterait davantage atteinte à sa vie privée.

124. Il résulte de tout ce qui précède et des critères dont il a été dûment tenu compte par la formation restreinte, au vu du montant maximum encouru établi sur la base de 2 % du chiffre d’affaires, qu’il est justifié de prononcer une amende administrative à hauteur de 8 millions d’euros.

125. En défense, la société soutient qu’une telle mesure ne serait ni nécessaire ni proportionnée au regard du manquement allégué qu’elle réfute et de sa mise en conformité au titre de la nouvelle fenêtre de recueil du consentement disponible sous la version iOS 15 du système d’exploitation.

126. La formation restreinte considère que compte tenu de ce qui a été exposé précédemment, il est justifié de prononcer une sanction complémentaire de publicité. Il est également tenu compte de la place prépondérante occupée par le système d’exploitation Apple sur le marché français des systèmes d’exploitation mobiles et de la proportion de recours aux ordiphones par les utilisateurs de téléphones en France, de la gravité du manquement et de l’intérêt que représente la présente décision pour l’information du public, dans la détermination de la durée de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société APPLE DISTRIBUTION INTERNATIONAL une amende administrative d’un montant de 8 000 000 (huit millions) d’euros pour manquement à l’article 82 de la loi Informatique et Libertés ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’Etat dans un délai de quatre mois à compter de sa notification.