Commission Nationale de l’Informatique et des Libertés (CNIL) har bötfällt Apple Distribution International Ltd. med 8 miljoner euro för att inte ha inhämtat samtycke från franska iPhone-användare (version iOS 14.6) innan de deponerade och/eller skrev identifierare som användes i reklamsyfte på företagets terminaler. Apple Distribution International, med huvudkontor i Irland, är det företag som ansvarar för behandlingen av personliga annonser på App Store i den europeiska regionen.
Av beslutet framgår att CNIL, efter ett klagomål om personliga annonser som visas i App Store, genomfört flera granskningar under 2021 och 2022 för att kontrollera att gällande bestämmelser följs.
CNIL konstaterade att när en användare besökte App Store i den gamla versionen 14.6 av iPhone-operativsystemet lästes identifierare för flera ändamål, bland annat för att personalisera annonser som visades i App Store, som standard automatiskt av terminalen utan användarens samtycke.
På grund av deras reklamsyfte är dessa identifierare enligt CNIL inte strikt nödvändiga för att tillhandahålla tjänsten (App Store). De bör därför inte läsas och/eller lagras utan användarens förhandstillstånd. I praktiken var dock inställningarna för annonsering som finns tillgängliga via ikonen “Inställningar” på iPhone förkryssade som standard.
Dessutom var användaren tvungen att utföra ett stort antal åtgärder för att inaktivera denna inställning, eftersom denna möjlighet inte var integrerad i telefonens initialiseringsväg. Användaren var tvungen att klicka på ikonen “Inställningar” på iPhone, gå till menyn “Integritet” och slutligen till avsnittet “Apple Advertising”. Dessa faktorer gjorde det inte möjligt att inhämta användarnas samtycke i förväg.
CNIL är materiellt behörig att kontrollera och sanktionera verksamhet som rör identifierare som företaget har deponerat och/eller läst av företaget på Internetanvändares terminaler som befinner sig i Frankrike. Den samarbetsmekanism som föreskrivs i dataskyddsförordningen (mekanismen med en enda kontaktpunkt) är enligt myndigheten inte avsedd att tillämpas i dessa förfaranden, eftersom de åtgärder som rör användningen av identifierare omfattas av direktivet om integritet och elektronisk kommunikation, som införlivats i artikel 82 i dataskyddslagen. CNIL är också territoriellt behörig eftersom identifierarna används inom ramen för verksamheten hos Apple Retail France och Apple France, som utgör etableringar på Apple-koncernens franska territorium.
Mot bakgrund av ovanstående beslutade CNIL:s organ som ansvarar för att införa sanktionsavgifter om att bötfälla Apple Distribution International med 8 miljoner euro och att offentliggöra sitt beslut på myndighetens webbplats. CNIL motiverade detta belopp med omfattningen av behandlingen, som var begränsad till App Store, med antalet berörda personer i Frankrike och de vinster som företaget gjorde genom de reklamintäkter som indirekt genererades av de uppgifter som samlades in med hjälp av dessa identifierare, samt med det faktum att företaget sedan dess har uppfyllt sina skyldigheter.