CNIL - Délibération n° SAN-2022-026 du 29 décembre 2022 concernant la société VOODOO

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Madame Anne DEBET, Madame Christine MAUGÜÉ et Monsieur Alain DRU, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n° 2021-194C de la présidente de la CNIL du 29 juin 2021 de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par la société VOODOO ou pour son compte ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte du 20 juin 2022 ;

Vu le rapport de Monsieur Claude CASTELLUCCIA, commissaire rapporteur, notifié à la société VOODOO le 22 juillet 2022 ;

Vu les observations écrites versées par la société VOODOO le 26 septembre 2022 ;

Vu la réponse du rapporteur à ces observations notifiée le 21 octobre 2022 au conseil de la société ;

Vu les observations écrites de la société VOODOO reçues le 21 novembre 2022 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 8 décembre 2022 :

- Monsieur Claude CASTELLUCCIA, commissaire, entendu en son rapport ;

En qualité de représentants de la société VOODOO :

- […]

La société VOODOO ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. Créée en 2013, la société VOODOO (ci-après « la société »), spécialisée dans l’édition de jeux pour téléphone, est une société par actions simplifiée dont le siège social est situé 17 rue Henry Monnier à Paris (75009). En septembre 2021, le groupe VOODOO, qui comporte une vingtaine de sociétés, employait […] personnes en France, dont […] au sein de la société VOODOO. La société détient plusieurs filiales au sein de plusieurs États membres de l’Union européenne dont l’activité exclusive est le développement de jeux mobiles qui sont ensuite publiés et exploités par la société VOODOO.

2. En 2020, la société VOODOO a réalisé un chiffre d’affaires de plus de […] euros pour un résultat de près de […] euros. En 2021, son chiffre d’affaires s’est élevé à environ […] euros pour un résultat net supérieur à […] euros.

3. En application de la décision n° 2021-194C de la présidente de la CNIL du 29 juin 2021, une délégation de la Commission a procédé à un contrôle en ligne le 19 août 2021 à la fois sur « www.voodoo.io » à partir d’un ordinateur et sur l’application « Helix Jump » à partir d’un téléphone de marque APPLE. Il avait notamment pour objet de constater les cookies et traceurs déposés et/ou lus par la société VOODOO. A cette occasion, la délégation a suivi le parcours d’un utilisateur qui télécharge une application éditée par la société VOODOO puis l’ouvre pour la première fois sur son téléphone. Elle a constaté qu’à l’ouverture de l’application, une première fenêtre conçue par la société APPLE et dénommée « App Tracking Transparency » (ci-après « la sollicitation ATT ») est présentée à l’utilisateur afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone. Ensuite, elle a constaté que quel que soit le choix exprimé par l’utilisateur en réponse à la « sollicitation ATT » une seconde fenêtre relative au suivi publicitaire effectué par VOODOO lui est présentée. La délégation a alors suivi deux scénarios, l’un dans lequel l’accord est donné à la « sollicitation ATT » et l’autre dans lequel la « sollicitation ATT » est refusée. Le procès-verbal n° 2021-194/1, dressé par la délégation à l’issue du contrôle, a été notifié à la société VOODOO le jour-même.

4. Le 2 septembre 2021, une mission de contrôle sur pièces a également été réalisée par l’envoi d’un questionnaire auquel la société a répondu le 21 septembre 2021.

5. Une demande de complément d’informations a été adressée à la société le 17 janvier 2022, laquelle y a répondu le 31 janvier 2022.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné Monsieur Claude CASTELLUCCIA en qualité de rapporteur, le 20 juin 2022, sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019 modifié.

7. Le 18 juillet 2022, à la demande du rapporteur et sur décision de la présidente de la CNIL, de nouvelles vérifications en ligne ont été réalisées à la fois sur le site « www.voodoo.io » à partir d’un ordinateur et sur onze applications à partir d’un téléphone de marque APPLE, à savoir « Paper.io 2 » ; « Aquapark.io » ; « Crowd City » ; « Hole.io » ; « Snake VS Block » ; « Shortcut Run » ; « Woodturning 3D » ; « Spiral Roll » ; « Scribble Rider » ; « Cube Surfer » et « Helix Jump », présentées sur le site web précité comme étant les plus téléchargées.

8. Le 22 juillet 2022, le rapporteur a fait notifier à la société un rapport détaillant le manquement à l’article 82 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la « loi Informatique et Libertés ») qu’il estimait constitué en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société, ainsi qu’une injonction, assortie d’une astreinte, de cesser d’utiliser l’« identifier for vendors » (ci-après « IDFV ») des terminaux à des fins publicitaires en l’absence de consentement de l’utilisateur. Il proposait également que la décision de sanction soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

9. Le 26 septembre 2022, la société a produit ses observations en réponse au rapport de sanction.

10. Le rapporteur a répondu aux observations de la société le 21 octobre 2022.

11. Le 21 novembre 2022, la société a produit de nouvelles observations en réponse à celles de la rapporteure.

12. Par courrier du 22 novembre 2022, le rapporteur a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n°2019-536 du 29 mai 2019.

13. Par courrier du même jour, le conseil de la société a été informé que le dossier était inscrit à l’ordre du jour de la formation restreinte du 8 décembre 2022.

14. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

15. S’agissant des traitements en cause, la formation restreinte note que la procédure porte sur les opérations de lecture et d’écriture effectuées sur l’équipement terminal des utilisateurs et qui relèvent du champ d’application de la directive « ePrivacy », en particulier, la lecture de l’« Identifier For Advertisers » (ci-après « IDFA ») et de l’IDFV, du terminal des utilisateurs embarquant le système d’exploitation iOS.

16. L’IDFA est un identifiant unique attribué à chaque appareil par le système d’exploitation iOS de la société APPLE. Il s’agit d’une série de caractères hexadécimaux créée dans le but de permettre aux acteurs publicitaires d’identifier l’appareil de manière unique dans l’ensemble des applications mobiles installées qui utilisent cet identifiant.

17. L’IDFV est quant à lui un identifiant qui est mis à la disposition des éditeurs par APPLE, leur servant à suivre l’utilisation de leurs applications par les utilisateurs. Contrairement à l’IDFA, l’IDFV n’a la même valeur que pour les applications identifiées comme provenant du même éditeur. L’IDFV est ainsi distinct pour chaque éditeur d’application, mais identique pour toutes les applications distribuées par un même éditeur.

18. S’agissant de la responsabilité de ces traitements, la formation restreinte relève, tout d’abord, que l’article 4, paragraphe 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données (ci-après « RGPD ») est applicable à la présente procédure en raison du recours à la notion de « responsable de traitement » dans l’article 82 de la loi Informatique et Libertés, lequel est justifié par le renvoi opéré par l’article 2 de la directive « ePrivacy » à la directive 95/46/CE sur la protection des données personnelles à laquelle s’est substitué le RGPD.

19. Aux termes de l’article 4, paragraphe 7, du RGPD, le responsable de traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

20. La formation restreinte relève ensuite qu’il ressort des éléments versés au dossier que la société VOODOO indique qu’elle détermine les finalités et les moyens des traitements des données à caractère personnel des utilisateurs des applications. Les éléments au dossier corroborent cette déclaration.

21. La société VOODOO doit donc être regardée comme responsable du traitement consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation des applications qu’elle édite.

22. La société considère que la procédure suivie par la CNIL ne respecte pas le principe du droit à un procès équitable dans la mesure où le rapporteur n’aurait pas conduit son instruction à charge et à décharge. La société considère que le rapporteur n’aurait pas pris en compte les chiffres qu’elle a fournis le 3 août 2022 relatifs au nombre d’utilisateurs des applications VOODOO visées par le contrôle, lesquels sont bien plus représentatifs du nombre de personnes concernées que le nombre de téléchargements sur lequel se fonde le rapporteur dans son rapport initial. Compte tenu de ces éléments, la société demande à la formation restreinte d’écarter des débats le procès-verbal de contrôle du 18 juillet 2022.

23. En premier lieu, la formation restreinte relève que, si la procédure de sanction est bien soumise à certaines exigences du droit à un procès équitable, la société n’apporte pas d’élément tendant à démontrer que la procédure en cause n’aurait pas respecté les droits de la défense.

24. En second lieu, s’agissant des chiffres relatifs au nombre de téléchargements ou d’utilisateurs uniques actifs en France sur iOS, la formation restreinte relève qu’ainsi qu’il l’a exposé en séance, le rapporteur a fait mention du nombre de téléchargements des applications VOODOO afin de mettre en avant le nombre de personnes potentiellement concernées par le manquement qu’il estime constitué. Elle note par ailleurs que la phase de contradictoire entre le rapporteur et la société VOODOO a permis que soient versés aux débats des chiffres relatifs au nombre de personnes concernées et, qu’en séance, le rapporteur a pris en compte cette volumétrie afin de moduler le montant de l’amende proposée.

25. Au regard de ces éléments, la formation restreinte estime que la procédure n’est pas entachée d’irrégularité.

26. Aux termes de l’article 82 de la loi Informatique et Libertés, transposant l’article 5, paragraphe 3, de la directive « ePrivacy »,

27. Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 précité doit s’entendre au sens de l’article 4, paragraphe 11 du RGPD, c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque et se manifester par un acte positif clair.

28. La CNIL a précisé dans sa délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux
« cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 : « les présentes lignes directrices concernent tous les équipements terminaux visés par cette définition, quels que soient les systèmes d’exploitation ou les logiciels applicatifs (tels que les navigateurs web) utilisés. Elles portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que […] les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc. » (§§ 12 et 13).

29. Le rapporteur observe que lors du contrôle réalisé le 19 août 2021 sur un appareil de la marque APPLE embarquant le système d’exploitation iOS, lorsqu’un utilisateur ouvre pour la première fois une application éditée par la société VOODOO, la « sollicitation ATT » est présentée à l’utilisateur afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone. L’utilisateur a alors la possibilité de cliquer sur « Demander à l’app de ne pas suivre mes activités » ou sur « Autoriser ». Quel que soit le choix exprimé par l’utilisateur en réponse à la « sollicitation ATT », une seconde fenêtre, propre à la société VOODOO, lui est présentée. Lorsque l’utilisateur clique sur « Demander à l’app de ne pas suivre mes activités », la fenêtre qui lui est ensuite présentée par la société VOODOO ne contient aucun bouton ou case à cocher destinés à un recueillir son consentement à d’autres formes d’annonces personnalisées. L’utilisateur doit uniquement certifier être âgé de plus de seize ans et accepter la politique de protection des données à caractère personnel de la société.

30. Le rapporteur note que, dans ce scénario, l’IDFA, qui est l’identifiant publicitaire d’APPLE, n’est pas lu mais est remplacé par une chaîne de zéros (« 00000000-0000-0000-0000-000000000000 »). En revanche, il constate que l’IDFV est quant à lui lu et transmis à des domaines ayant des finalités publicitaires, avec d’autres informations propres à l’appareil (langue du système, modèle de l’appareil, luminosité de l’écran, niveau de la batterie, espace mémoire disponible notamment) et à son utilisation (application utilisée et temps passé), sans que l’utilisateur ait donné son consentement à cette opération. Il observe que la société VOODOO ne conteste pas la finalité publicitaire de cette opération de lecture et il en conclut qu’en utilisant l’identifiant IDFV à cette fin sans consentement préalable de l’utilisateur, la société VOODOO méconnaît les obligations de l’article 82 de la loi Informatique et Libertés. Le rapporteur relève en outre que le manquement commis par la société VOODOO est d’une particulière gravité dans la mesure où l’information qu’elle présente à l’utilisateur est trompeuse. En effet, lorsque l’utilisateur a refusé la « sollicitation ATT », la seconde fenêtre présentée à l’utilisateur contient un texte lui indiquant que les paramètres de son téléphone « empêchent le suivi à des fins de personnalisation des annonces et publicités en fonction de l’identifiant publicitaire de votre appareil ». Le rapporteur considère dès lors que l’utilisateur s’attend légitimement à ce qu’aucun suivi, quel que soit sa forme, ne soit effectué à des fins publicitaires.

31. En défense, la société conteste l’affirmation du rapporteur selon laquelle la « sollicitation ATT » n’est plus présentée à l’utilisateur qui a téléchargé plusieurs applications VOODOO dès lors qu’il a refusé le suivi publicitaire à l’occasion de l’ouverture de la première application. Elle précise que la « sollicitation ATT » est présentée à l’utilisateur à chaque téléchargement d’une nouvelle application VOODOO, sauf si l’utilisateur a désactivé l’option « Autoriser les demandes de suivi des apps » disponible dans les réglages « Confidentialité » / « Suivi » de son iPhone et non pas une seule fois pour toutes les applications VOODOO. Elle considère que son dispositif de recueil du consentement à l’utilisation des identifiants à des fins publicitaires et l’information fournie aux utilisateurs sont partiellement conformes aux dispositions de l’article 82 de loi Informatique et Libertés. La société indique que, s’agissant de l’information fournie aux utilisateurs, celle-ci est certes maladroite, mais ne saurait pour autant être qualifiée de trompeuse et ne présente pas le caractère de gravité souligné par le rapporteur. En effet, si, dans la fenêtre qu’elle affiche, la société mentionne qu’elle collecte des données pour une « finalité de publicité non ciblée » « en fonction [des] habitudes de navigation » des utilisateurs, cette information doit s’interpréter par rapport au traçage des « habitudes de navigation » rendu possible par l’IDFA qui permet un suivi à travers toutes les applications téléchargées par un utilisateur sur son terminal embarquant le système d’exploitation iOS. La société fait valoir que par contraste, lorsqu’il est collecté, l’IDFV ne permet qu’un suivi parmi les applications proposées par un même éditeur. La société indique que c’est en ce sens que la société VOODOO affirmait ne pas faire de « suivi » des utilisateurs en cas de refus de l’ATT.

32. En premier lieu, la formation restreinte rappelle que l’article 82 de la loi Informatique et Libertés exige un consentement aux opérations de lecture et d’écriture d’informations dans le terminal d’un utilisateur mais prévoit des cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque celui-ci a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

33. En l’espèce, la formation restreinte relève que la société ne conteste pas qu’une opération de lecture de l’IDFV propre au terminal de l’utilisateur est réalisée lorsque celui-ci refuse la « sollicitation ATT » - laquelle sollicitation permet, lorsqu’elle est acceptée, de recueillir le consentement de l’utilisateur au suivi de ses activités sur les applications téléchargées. La société confirme également que la lecture de l’IDFV des utilisateurs poursuit une finalité publicitaire.

34. La formation restreinte relève que cette opération n’a ainsi pas pour finalité de permettre ou de faciliter la communication par voie électronique et n’est pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Par conséquent, une telle opération de lecture de l’IDFV ne relève d’aucune des exceptions définies à l’article 82 de la loi « Informatique et Libertés » et ne peut être effectuée sur le terminal de la personne sans consentement préalable.

35. La formation restreinte considère que, quand bien même l’IDFV ne permet pas un traçage aussi étendu que celui rendu possible par l’IDFA, il n’en demeure pas moins que, comme cela ressort des pièces du dossier et des écritures de la société et en particulier de la fenêtre qu’elle présente à l’utilisateur, que cet identifiant permet de suivre l’activité de l’utilisateur au sein des applications édités par VOODOO à des fins publicitaires et sans l’accord préalable des intéressés. La formation restreinte note de surcroît qu’en refusant la « sollicitation ATT », l’utilisateur a déjà exprimé sa volonté que son activité ne soit pas suivie par quel qu’acteur que ce soit. Ainsi, le fait pour la société de tout de même procéder à des opérations de lecture et/ou d’écriture à des fins publicitaires prive d’effectivité le choix exprimé par l’utilisateur.

36. En deuxième lieu, la formation restreinte relève qu’en cas de refus de la « sollicitation ATT », l’information suivante est présentée à l’utilisateur : « Vous avez désactivé le suivi publicitaire sur votre terminal » (en rouge) et « La protection des données est un enjeu primordial pour Voodoo et nous respectons votre choix. Veuillez noter que les paramètres de votre appareil empêchent le suivi à des fins de personnalisation des annonces et publicités en fonction de l’identifiant publicitaire de votre appareil. D’autres données techniques n’impliquant pas de suivi (telles que des informations liées au type d’appareil, au type de connexion ou à son adresse IP par exemple) peuvent toujours être collectées tel que décrit dans notre politique de confidentialité, notamment pour vous permettre de profiter de nos jeux mais aussi pour que nous puissions continuer à améliorer et résoudre les problèmes potentiels de nos jeux (finalité d’analyse et de correction) et à vous proposer des publicités non-personnalisées en fonction de vos habitudes de navigation (finalité de publicité non ciblée) ». La formation restreinte considère que l’utilisateur qui prend connaissance de ces informations peut légitimement s’attendre à ce qu’aucun suivi de son activité ne soit effectué à des fins de personnalisation des annonces. En outre, la formation restreinte observe que les termes employés dans cette fenêtre ne correspondent pas à la réalité du traitement effectué par la société. En effet, la société indique collecter des « données techniques n’impliquant pas de suivi » afin de proposer « des publicités non personnalisées en fonction de vos habitudes de navigation ». Or, la formation restreinte considère que le fait de collecter des informations sur les « habitudes de navigation » des utilisateurs afin de leur proposer des publicités fait nécessairement obstacle à ce que ces publicités puissent être qualifiées de « non personnalisées », quand bien même les données associées à l’identifiant ne permettent qu’une faible personnalisation, limitée au contexte de l’application utilisée. Elle considère ainsi que l’information est de nature à induire en erreur les utilisateurs quant aux conséquences du refus de la « sollicitation ATT ».

37. Au regard de ce qui précède, la formation restreinte considère qu’en utilisant l’identifiant IDFV, à des fins publicitaires sans consentement de l’utilisateur, la société VOODOO méconnaît les obligations de l’article 82 de la loi Informatique et Libertés.

38. Aux termes de l’article 20, III, de la loi du 6 janvier 1978 modifiée,

39. L’article 83 du RGPD prévoit quant à lui que « chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives », avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.

40. En défense, la société fait valoir que la proposition d’amende du rapporteur est insuffisamment motivée. Elle rappelle ensuite que le cadre juridique applicable aux traceurs a évolué de façon constante, pour partie imprévisible et hétérogène aux niveaux français et européen de 2019 à 2021.

41. Elle met également en avant les contraintes auxquelles son activité économique est soumise et notamment sa situation de dépendance et de vulnérabilité vis-à-vis des plateformes en situation de monopole qui contrôlent les magasins d’application. Elle rappelle que l’obligation d’utiliser la « sollicitation ATT » a contraint les éditeurs d’applications à développer leur propre dispositif de recueil du consentement qui doit s’appliquer en plus de la fenêtre ATT. Selon la société, APPLE a ainsi forcé les éditeurs « à adopter des modalités de recueil du consentement peu satisfaisantes car complexes pour l’utilisateur ». Elle souligne que ses revenus dépendent quasi exclusivement de l’affichage de publicités.

42. Elle considère que tout manquement qu’elle aurait commis ne serait que d’une portée limitée dans la mesure où les données collectées ne sont pas directement identifiantes, ne sont pas intrusives, voire ne constituent pas des données à caractère personnel. Elle souligne que la durée de la collecte est très courte, en moyenne 17,4 minutes par mois par utilisateur, que le traitement en cause a été mis en œuvre récemment puisque l’ATT date d’avril 2021 et que le manquement ne concernerait que les utilisateurs disposant du système d’exploitation iOS qui n’auraient pas consenti à la « sollicitation ATT », soit un nombre de personnes concernées largement inférieur au nombre de téléchargements avancé par le rapporteur.

43. Enfin, la société considère que le prononcé d’une sanction à son égard ne serait pas cohérent avec le plan d’action dévoilé le 24 novembre par la CNIL dont l’objectif est d’accompagner les acteurs de l’écosystème des applications mobiles.

44. La formation restreinte rappelle que l’article 20, paragraphe III, de la loi Informatique et Libertés lui donne compétence pour prononcer diverses sanctions, notamment des amendes administratives dont le montant maximal peut être équivalant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent réalisé par le responsable de traitement ou à 10 millions d’euros. Elle ajoute que la détermination du montant de ces amendes s’apprécie au regard des critères précisés par l’article 83 du RGPD.

45. La formation restreinte relève ensuite que l’ensemble des écritures qui ont été portées à sa connaissance, tant par le rapporteur que par la société, contiennent l’ensemble des éléments permettant d’apprécier le montant de l’amende proposée.

46. En premier lieu, s’agissant des contraintes générées par la mise en place de la « sollicitation ATT », la formation restreinte considère que cette circonstance ne saurait exonérer la société de sa responsabilité propre : en l’absence d’un consentement exprès de l’utilisateur, la formation restreinte considère que la société ne peut pas procéder à des opérations de lecture dans le terminal de ce dernier à des fins publicitaires.

47. En deuxième lieu, la formation restreinte souligne qu’il convient, en l’espèce, de faire application du critère prévu à l’alinéa a) de l’article 83, paragraphe 2, du RGPD relatif à la gravité du manquement compte tenu de la portée du traitement et du nombre de personnes concernées par ce dernier.

48. La formation restreinte relève, tout d’abord, qu’en ne recueillant pas le consentement des utilisateurs à la lecture de l’IDFV, la société les prive de la possibilité d’exercer leur choix conformément aux dispositions de l’article 82 précité. En outre, elle observe que le manquement est aggravé par le fait que l’information présentée à l’utilisateur qui a refusé la « sollicitation ATT » lui laisse légitimement penser qu’il ne fera l’objet d’aucune forme de traçage.

49. S’agissant du nombre de personnes concernées, la formation restreinte note qu’il ressort des chiffres transmis par la société dans ses dernières écritures que les onze applications ayant fait l’objet du contrôle comptent au total 5,8 millions d’utilisateurs en France sur iOS entre avril 2021 et juillet 2022. La formation restreinte note que s’il ne s’agit pas nécessairement de 5,8 millions d’utilisateurs uniques et que, selon la société, 43 % d’entre eux acceptent le suivi de leurs activités, il n’en demeure pas moins que ce volume important de personnes reflète la place centrale occupée par la société dans le secteur des jeux sur téléphone, laquelle revendique sur son site web 150 millions d’utilisateurs actifs par mois dans le monde, faisant d’elle l’une des principales entreprises du secteur.

50. S’agissant enfin de la portée du manquement, la formation restreinte considère que le fait que chaque utilisateur ne joue en moyenne que 17 minutes par mois ne signifie pas pour autant que la quantité de données collectée serait insignifiante. Elle observe que lors des contrôles effectués par la délégation de la CNIL, celle-ci n’a ouvert les applications VOODOO que durant quelques minutes mais a néanmoins constaté, d’une part, que de nombreuses requêtes contenant l’IDFV du terminal utilisé ont été adressées à plusieurs domaines publicitaires et que, d’autre part, ces requêtes contenaient des informations liées aux caractéristiques techniques du terminal (langue du système, modèle de l’appareil, luminosité de l’écran, niveau de la batterie, espace mémoire disponible notamment) et à son utilisation (application utilisée et temps passé). Ainsi, l’utilisation d’un jeu VOODOO même durant un laps de temps limité se traduit par une collecte de données, alimentant un traitement à vocation publicitaire, collecte significative pour l’utilisateur.

51. La formation restreinte rappelle en outre que l’IDFV, en ce qu’il est combiné à d’autres informations caractéristiques du terminal de l’utilisateur, permet, comme l’indique la société dans la fenêtre qu’elle présente, de suivre « les habitudes de navigation » des personnes et en particulier les catégories de jeu qu’elles privilégient, afin justement de personnaliser les annonces vues par chacune d’entre elles. L’IDFV constitue bien, dans ces circonstances, une donnée à caractère personnel.

52. En troisième lieu, la formation restreinte estime qu’il convient également de faire application du critère prévu à l’alinéa k) de l’article 83, paragraphe 2, du RGPD relatif à toute autre circonstance applicable aux circonstances de l’espère et aux avantages financiers obtenus du fait du manquement.

53. La formation restreinte relève que le modèle d’affaires de la société repose quasi exclusivement sur la publicité, puisque plus de […] de ses revenus proviennent de cette source de revenus. Or, quand bien même le suivi de l’activité de l’utilisateur réalisé grâce à l’IDFV n’est pas de la même ampleur que le suivi rendu possible par l’IDFA, il n’en demeure pas moins que l’utilisation de l’IDFV à des fins publicitaires sans le consentement de l’utilisateur a indéniablement permis à la société VOODOO de tirer un avantage financier du manquement commis.

54. En quatrième lieu la formation restreinte rappelle que, dès 2013, la CNIL a accompagné les acteurs s’agissant des cookies et traceurs, en rendant publique une recommandation rappelant les principes qu’il convenait de respecter pour permettre l’utilisation des cookies et traceurs, tout en respectant la loi Informatique et Libertés. Dès sa délibération no 2013-378 du 5 décembre 2013, la CNIL visait « l’identifiant généré par un logiciel ou un système d’exploitation » comme étant dans le périmètre de sa recommandation. En outre, comme indiqué ci-avant, dans ses lignes directrices du 17 septembre 2020, la Commission a précisé que « les présentes lignes directrices […] portent, en particulier, sur […] les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.) […] ». Ainsi, le régime applicable à l’IDFV et la position de la CNIL constante vis-à-vis des pratiques objets de la présente procédure sont connus de longue date. En outre, s’agissant du caractère instable du cadre juridique en matière de traceurs, la CNIL rappelle que la rédaction de l’article 82 de la loi Informatique et Libertés n’a pas été modifiée depuis 2011, hormis le remplacement du mot « accord » par « consentement » et le changement de la numérotation de l’article à la suite de la réécriture de la loi par l’ordonnance n° 2018-1125 du 12 décembre 2018. Si l’entrée en application du RGPD, en élargissant le sens donné à la notion de consentement, a effectivement fait évoluer la portée de certaines des dispositions de l’article 82 de la loi Informatique et Libertés, le périmètre de la procédure de sanction en cause est strictement limité aux pratiques dont le régime n’était pas concerné par cette évolution, c’est-à-dire l’utilisation d’un traceur sans consentement préalable. Le cadre juridique était donc parfaitement établi au moment des contrôles.

55. Au demeurant, la formation restreinte note que la présidente de la CNIL n’a pas entendu, au travers du plan d’action de la CNIL lié aux applications mobiles, interrompre toute poursuite en lien avec l’utilisation de traceurs sans consentement des utilisateurs.

56. En dernier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi Informatique et Libertés, la société VOODOO encourt une sanction financière d’un montant maximum de 2% de son chiffre d’affaires, lequel s’est élevé à plus de […]euros en 2020 et à environ […] euros en 2021, ou de 10 millions d’euros, le montant le plus élevé étant retenu. Le montant maximum de l’amende encourue en l’espèce s’élève donc à la somme de 10 millions d’euros.

57. Dès lors, au regard des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de 3 millions d’euros à l’encontre de la société VOODOO apparaît justifiée.

58. Le rapporteur propose à la formation restreinte de prononcer une injonction de mise en conformité, laquelle pourrait consister en la cessation de l’utilisation de l’IDFV à des fins publicitaires en l’absence de consentement de l’utilisateur.

59. En défense, la société a présenté au rapporteur deux options qu’elle envisage de déployer afin de se mettre en conformité : le recueil du consentement par le biais d’une fenêtre présentée avant la « sollicitation ATT » ou l’introduction d’un « pay wall » avant la « sollicitation ATT ». Elle considère que l’injonction requise par le rapporteur est devenue sans objet au vu des mesures envisagées et regrette qu’il ne se soit pas prononcé sur la conformité de ces propositions.

60. En premier lieu, la formation restreinte relève que, si la société décrit les mesures qu’elle envisage de déployer, aucune des mesures évoquées n’est à ce stade mise en œuvre. Ainsi, la formation restreinte considère que la société n’a pas démontré, au jour de la clôture de l’instruction, sa conformité avec les dispositions de l’article 82 précité et qu’il convient donc de prononcer une injonction sur ce point.

61. En second lieu, la formation restreinte rappelle que le montant doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement.

62. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une injonction assortie d’une astreinte d’un montant de 20 000 euros par jour de retard à compter de la notification de la présente décision.

63. S’agissant du délai accordé à la société pour se conformer à l’injonction, la formation restreinte estime, au vu des explications de la société, qu’un délai de trois mois à compter de la notification de la présente décision est suffisant pour régulariser la situation.

64. La société demande à la formation restreinte de ne pas rendre publique sa sanction. Elle soutient que la gravité des faits n’est pas établie, que la durée et la portée du traitement sont sans risque pour les droits et libertés des personnes et relève qu’aucune plainte liée à ce traitement n’a été déposée auprès de la CNIL. Elle évoque également le fait qu’elle opère dans un contexte concurrentiel international particulièrement tendu, avec des concurrents qui sont principalement de nationalité américaine ou israélienne, non soumis au RGPD ni à la loi Informatique et Libertés, qui exploiteront une éventuelle sanction à leur avantage.

65. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité du manquement en cause, de la portée du traitement et du nombre de personnes concernées.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre de la société VOODOO une amende administrative d’un montant de 3 000 000 € (trois millions d’euros) pour manquement à l’article 82 de la loi Informatique et Libertés ;

- prononcer à l’encontre de la société VOODOO une injonction de recueillir le consentement de l’utilisateur à l’utilisation de l’IDFV à des fins publicitaires;

- assortir l’injonction d’une astreinte de 20 000 € (vingt mille euros) par jour de retard à l’issue d’un délai de trois mois suivant la notification de la présente délibération, les justificatifs de la mise en conformité devant être adressés à la formation restreinte dans ce délai ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.