Ciblage publicitaire via un identifiant technique : la société de jeux Voodoo sanctionnée

La Cnil sanctionne la société Voodoo, éditrice de jeux pour smartphone, d’une amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique pour de la publicité sans le consentement de l’utilisateur.

Des contrôles menés dans l’environnement Apple

Entre août 2021 et juillet 2022, la Cnil a effectué plusieurs contrôles sur voodoo.io et sur différentes applications mobiles éditées par la société Voodoo telles que le jeu Helix Jump. Les vérifications ont uniquement été réalisées sur les applications sur un iPhone d’Apple, avec le système d’exploitation iOS, dans le cadre du téléchargement et du fonctionnement.  

Lorsqu’un éditeur de logiciels propose une application mobile sur l’App Store, Apple met à sa disposition un système d’identifiant technique « IDentifier For Vendors » ou IDFV, permettant à cet éditeur de suivre l’utilisation de ses applications par les utilisateurs. Un IDFV est attribué pour chaque utilisateur et est identique pour toutes les applications distribuées par un même éditeur. Donc dans ce cas, pour toutes les applications de la société Voodoo.

La Cnil indique qu’en combinant l’IDFV avec d’autres informations du smartphone, cela permet de suivre les habitudes de navigation des personnes, notamment les catégories de jeu qu’elles privilégient, afin de personnaliser les annonces vues par chacune d’entre elles.

L’ATT d’Apple demande le consentement au suivi publicitaire

Lorsque l’utilisateur ouvre une  application de jeu, une première fenêtre conçue par la société Apple, l’App Tracking Transparency ou ATT, lui est présentée afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone.

La Cnil relève que si l’utilisateur refuse la « sollicitation ATT » d’Apple, une seconde fenêtre est présentée par la société Voodoo indiquant que le suivi publicitaire a été désactivé tout en précisant que des publicités seront tout de même proposées mais qu’elles seront non-personnalisées. La Cnil a toutefois constaté que lorsqu’un utilisateur refuse le suivi publicitaire, la société Voodoo lit tout de même l’identifiant technique l’IDFV associé à cet utilisateur.

La Cnil déclare que Voodoo traite toujours des informations en lien avec les habitudes de navigation de l’utilisateur pour des objectifs publicitaires. « C’est donc sans son consentement et en contradiction avec ce qu’elle indique à l’utilisateur dans l’écran d’information qu’elle affiche » estime la Cnil. La Cnil déclare que l’utilisation de l’identifiant IDFV à des fins publicitaires sans le consentement de l’utilisateur constitue un manquement à l’article 82 de la loi Informatique et Libertés.

Trois mois pour recueillir le consentement de l’utilisateur

En complément de l’amende administrative, la Cnil a également adopté une injonction sous astreinte afin que la société recueille le consentement de l’utilisateur à l’utilisation de l’IDFV à des fins publicitaires dans un délai de 3 mois à compter de la notification de la décision. Dans le cas contraire, la société s’exposera au paiement d’une astreinte de 20 000 euros par jour de retard.