Helix Jump, Paper.io, aquapark.io : l'éditeur et licorne Voodoo sanctionné par la CNIL, voilà pourquoi

Le développeur de jeux mobiles français Voodoo a été sanctionné par la CNIL d'une amende de 3 millions d'euros assortie d'une injonction sous astreinte pour avoir passé outre le refus de suivi publicitaire de ses utilisateurs sur iOS.

La Commission nationale de l'informatique et des libertés a rendu publique, ce mardi 17 janvier, une sanction prononcée le 29 décembre 2022 à l'encontre de Voodoo. L'éditeur français de jeux pour mobile s'est vu infliger une amende de 3 millions d'euros pour une entorse à l'article 82 de la Loi informatique et libertés. Il n'a en effet pas respecté le choix de l'utilisateur quant au suivi publicitaire.

Voodoo épinglée sur iOS

Membre des deux dernières promotions de l'indice Next 40 cher à Bruno Le Maire et à la French Tech, et valorisée à près de 2 milliards d'euros aux dernières nouvelles (avec un chiffre d'affaires annuel de plusieurs centaines de millions d'euros), Voodoo est une start-up qui pèse sur le marché mondial des éditeurs. Elle compte plus de 6 milliards de téléchargements et 300 millions d'utilisateurs actifs mensuels sur plus de 200 jeux, parmi lesquels Helix Jump, Paper.io, aquapark.io, Crazy Kick ou encore Mob Control.

Mais l'entreprise parisienne, qui emploie plus de 700 personnes dans le monde, a failli ces dernières années aux yeux de la CNIL. Au détour de contrôles menés en 2021 et 2022 sur voodoo.io et sur plusieurs applications que la start-up édite, le gendarme des données s'est aperçu que celle-ci utilisait un identifiant de suivi/technique à des fins publicitaires, sans le consentement de l'utilisateur, pourtant indispensable.

Les vérifications effectuées par la CNIL portaient sur le téléchargement et le fonctionnement des applications Voodoo sur iPhone, donc sur le système d'exploitation iOS. Rappelons qu'Apple met à disposition de l'éditeur, dès lors qu'il propose une application sur l'App Store, un système d'identifiant technique appelé IDentifier For Vendors (ou IDFV). Il permet à l'éditeur de suivre l'utilisation faite de ses applications par les utilisateurs. Chaque utilisateur se voit attribuer un IDFV, identique pour l'ensemble des applications d'un même éditeur, en l'occurrence Voodoo.

Le recueil du consentement de l'utilisateur à des fins publicitaires biaisé

Une fois combiné à d'autres informations fournies par l'iPhone, l'IDFV permet de suivre les habitudes des utilisateurs, et donc de personnaliser les annonces qui leur sont proposées. En théorie, lors de l'ouverture d'un jeu, une fenêtre propulsée par Apple (on appelle cela la « sollicitation ATT », pour App Tracking Transparency) s'ouvre dans le but de recueillir le consentement de l'utilisateur quant au suivi de ses activités sur les apps téléchargées sur son mobile.

Sauf que lorsque l'utilisateur la refuse depuis un jeu édité par Voodoo sur iOS, une seconde fenêtre s'ouvre, cette fois à son initiative directement. Celle-ci indique « que le suivi publicitaire a été désactivé tout en précisant que des publicités non personnalisées seront tout de même proposées », explique la CNIL. Jusqu'ici, tout va bien.

Mais l'autorité s'est aperçue qu'en réalité, lorsqu'un utilisateur refuse de faire l'objet d'un tracking publicitaire, Voodoo lit malgré tout l'identifiant technique rattaché à l'utilisateur, dont nous parlions plus haut. Cela lui permet de toujours traiter des informations pouvant lui indiquer ses habitudes de navigation, à des fins publicitaires. Voodoo ne recueille ici pas le consentement de l'utilisateur et se place en contradiction avec la seconde fenêtre présentée au mobinaute, ce qui constitue le manquement à la loi.

Outre l'amende de 3 millions d'euros, la CNIL a placé Voodoo sous la menace d'une astreinte de 20 000 euros par jour, dans le cas où l'entreprise ne se met pas en conformité sur le recueil du consentement de l'utilisateur. Elle a désormais 3 mois pour le faire.

Source : CNIL