Conseil d'État
N° 473833
ECLI:FR:CECHR:2025:473833.20251015
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Alexandra Poirson, rapporteure
SCP PIWNICA & MOLINIE, avocats
Lecture du mercredi 15 octobre 2025
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et six nouveaux mémoires, enregistrés les 4 mai 2023, 4 août 2023, 23 mai, 28 juin, 20 septembre et 14 octobre 2024, 16 janvier et 12 septembre 2025 au secrétariat du contentieux du Conseil d'Etat, la société Apple Distribution International Limited demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2022-025 du 29 décembre 2022 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 8 millions d'euros ;
2°) le cas échéant, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
" 1) Les dispositions du paragraphe 3 de l'article 5 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, qui imposent au responsable de traitement d'obtenir le consentement des utilisateurs ou des abonnés d'un service lorsqu'il utilise des réseaux de communications électroniques pour stocker des informations ou accéder à des informations stockées dans leur équipement terminal, doivent-elles être interprétées, notamment à la lumière de l'avis 5/2019 du 12 mars 2019 du Comité européen de la protection des données et du champ d'application du RGPD, comme incluant dans leur champ d'application matériel tout traitement ultérieur au sein d'un univers authentifié qui n'implique pas le stockage ou l'accès à des informations sur l'appareil d'un utilisateur mais qui ne pourrait pas avoir lieu si n'étaient pas d'abord réalisées des opérations de lecture ou d'écriture d'informations sur l'équipement terminal de l'utilisateur à des fins de sécurité '
" 2) Les dispositions du paragraphe 3 de l'article 5 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, doivent-elles être interprétées, compte tenu notamment du considérant 9 de la directive ePrivacy et des dispositions de l'article 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, comme exigeant le recueil du consentement des utilisateurs ou des abonnés à l'occasion de l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans leur équipement terminal, lorsque ce stockage ou cet accès technique est strictement nécessaire pour assurer les fonctionnalités protectrices de leur vie privée et de la sécurité de leurs données, selon une approche fondée sur la prise en compte du respect de la vie privée dès la conception (privacy by design) ' "
3°) de mettre à la charge de la CNIL la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Poirson, auditrice,
- les conclusions de Mme Leila Derouich, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Piwnica et Molinié, avocat de la société Apple Distribution International Limited ;
Considérant ce qui suit :
1. La société Apple Distribution International Limited demande l'annulation de la délibération du 29 décembre 2022 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 8 millions d'euros pour manquement à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en raison de pratiques de lecture et d'écriture de données à des fins publicitaires et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ".
En ce qui concerne la compétence matérielle de la CNIL :
4. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".
5. Il résulte de l'instruction que l'utilisateur d'appareils de la marque Apple doit, pour utiliser les services associés, se créer un compte Apple (Apple ID), ce qui entraîne l'attribution au compte utilisateur d'un identifiant qualifié de DSID (" directory services identifier "). L'utilisation de son compte par l'utilisateur entraîne le recueil de données sur les serveurs de la compagnie Apple, permettant d'associer l'utilisateur à un ou plusieurs segments de population, représentant des cohortes d'utilisateurs partageant certaines caractéristiques, à des fins de personnalisation de la publicité. Par ailleurs, deux identifiants sont créés sur l'appareil même de l'utilisateur : le DPID (" device pack identifier ") et l'iADID, permettant de remplacer le DSID, nécessaire pour authentifier l'utilisateur lors de l'utilisation de l'App Store (magasin d'applications en ligne), par des informations moins intrusives, lesquelles sont lues par les serveurs " Ad Platforms " lorsqu'une recherche est effectuée sur l'App Store afin de déterminer la publicité ciblée à afficher dans les résultats de recherche. Enfin, il ressort également des pièces du dossier que sur les appareils de marque Apple utilisant la version iOS 14.6 du système d'exploitation, le paramètre de confidentialité " publicités personnalisées " présent dans les réglages des appareils était activé par défaut, ce qui a permis à Apple, grâce à la lecture du DPID et de l'iADID stockés sur le terminal des utilisateurs, de procéder à des publicités ciblées sur l'App Store.
6. Il résulte ainsi de l'instruction que les traitements de personnalisation des annonces publicitaires en cause impliquent une opération comprenant l'enregistrement et la lecture d'informations sur l'équipement terminal de l'utilisateur, sans que le consentement de celui-ci ait été préalablement recueilli. La circonstance que la création des segments de population employés à des fins de personnalisation publicitaire soit, lors d'une étape ultérieure, réalisée sur les serveurs d'Apple et non sur l'équipement terminal de l'utilisateur, est sans incidence sur la matérialité des opérations réalisées en amont et, ainsi, sur l'applicabilité des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 4.
7. En l'absence de tout doute raisonnable quant à l'application correcte des dispositions en cause du droit de l'Union européenne, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel d'une question portant sur l'interprétation des dispositions du droit de l'Union en cause dans la présente affaire.
En ce qui concerne la compétence territoriale de la CNIL :
8. Aux termes du I de l'article 3 de la loi du 6 janvier 1978, l'ensemble des dispositions de cette loi s'appliquent " aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ", sans préjudice, en ce qui concerne les traitements entrant dans le champ du RGPD, des critères prévus par les paragraphes 2 et 3 de l'article 3 de ce règlement.
9. Il résulte de l'instruction, d'une part, que la société Apple Retail France commercialise des appareils équipés, par défaut, de l'application App Store par laquelle les utilisateurs peuvent effectuer des recherches dont les résultats font l'objet d'une personnalisation publicitaire, et d'autre part, que la société Apple France contribue, par l'emploi de Search Ads Specialists (consultants spécialisés), à rentabiliser et optimiser les espaces publicitaires mis en oeuvre par la société requérante. En déduisant de ces éléments que le traitement de données mis en oeuvre par la société Apple Distribution International Limited était effectué dans le cadre des activités des établissements Apple Retail France et Apple France, situés en France, au sens de l'article 3 de la loi du 6 janvier 1978, la formation restreinte de la CNIL a fait une exacte application de ces dispositions.
10. Il résulte de ce qui a été dit aux points précédents que les moyens mettant en cause la compétence de la formation restreinte de la CNIL pour prendre la décision attaquée doivent être écartés.
Sur la régularité de la procédure de sanction :
En ce qui concerne le moyen tiré du défaut de notification du droit de se taire :
11. Aux termes de l'article 9 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable, s'il est jugé indispensable de l'arrêter, toute rigueur qui ne serait pas nécessaire pour s'assurer de sa personne doit être sévèrement réprimée par la loi. " Il en résulte le principe selon lequel nul n'est tenu de s'accuser, dont découle le droit de se taire. Ces exigences s'appliquent non seulement aux peines prononcées par les juridictions répressives mais aussi à toute sanction ayant le caractère d'une punition. Au nombre de ces sanctions figurent notamment celles susceptibles d'être prononcées par la formation restreinte de la CNIL.
12. Toutefois, le droit de se taire ne s'applique pas lors des contrôles ou enquêtes, tels que, s'agissant de la CNIL, les vérifications prévues au g) du 2° de l'article 8 de la loi du 6 janvier 1978, diligentées antérieurement à la notification des griefs. Ne saurait ainsi constituer une méconnaissance des exigences découlant de l'article 9 de la Déclaration de 1789 le fait que, dans le cadre d'un tel contrôle ou d'une telle enquête, les agents de la CNIL auraient recueilli des éléments portant sur des faits susceptibles d'être ultérieurement reprochés au responsable de traitement. Par suite, le moyen tiré de ce que la décision attaquée de la formation spécialisée de la CNIL serait irrégulière au motif que les représentants de la société Apple n'ont pas été informés du droit qu'ils avaient de se taire dans le cadre de leurs échanges avec les contrôleurs de la CNIL ne peut être qu'écarté. Il en va de même, en tout état de cause, du moyen tiré de ce que, pour ce même motif, la décision contestée serait intervenue en méconnaissances des exigences découlant de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
13. Par ailleurs, par sa décision n° 2025-1154 QPC du 8 août 2025, le Conseil constitutionnel a estimé que l'inconstitutionnalité tirée de ce que la procédure devant la CNIL, prévue par l'article 22 de la loi du 6 janvier 1978, ne comportait pas de notification, à la personne mise en cause, du droit qu'elle a de se taire, ne pouvait fonder la contestation des décisions prises avant la publication de sa décision. Par suite, le moyen tiré de l'inconstitutionnalité de la procédure doit être écarté.
14. Enfin, il ne résulte pas de l'instruction que la décision de sanction reposerait de manière déterminante sur les propos que le représentant légal de la société Apple aurait tenus lors de son audition devant le rapporteur ou devant la formation spécialisée. Dès lors, le moyen tiré de ce que le défaut de notification du droit qu'elle avait de se taire méconnaitrait l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, en tout état de cause, qu'être écarté.
En ce qui concerne les autres moyens tirés de la méconnaissance des droits de la défense :
15. En premier lieu, la procédure de contrôle a été diligentée par la CNIL, comme le prévoient les dispositions citées au point 2, au titre d'une méconnaissance de l'article 82 de la loi du 6 janvier 1978. Par suite, la société n'est pas fondée à soutenir que ses droits de la défense auraient été méconnus au motif que la procédure de contrôle aurait également fait mention d'autres textes, comme le RGPD.
16. En deuxième lieu, aux termes du paragraphe 3 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " Tout accusé a droit notamment à : / (...) b. disposer du temps et des facilités nécessaires à la préparation de sa défense. " Il résulte de l'instruction qu'à la suite de la notification du rapport le 28 juillet 2022, la société requérante a présenté des observations écrites le 19 septembre, puis de nouvelles observations le 19 octobre 2022 en réponse au rapporteur, soit plus de trois mois après la notification. Par suite, le moyen tiré de ce qu'elle n'a pas été en mesure de préparer utilement sa défense, y compris eu égard aux délais de traduction afférents à son établissement dans un pays étranger, ne peut qu'être écarté.
17. Il résulte de ce qui a été dit aux points 11 à 18 que la société requérante n'est pas fondée à soutenir que la délibération attaquée aurait été prise au terme d'une procédure irrégulière et contraire aux stipulations de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
Sur le manquement :
18. Il résulte de l'instruction que, ainsi qu'il a été dit au point 5, le fonctionnement de la publicité ciblée sur l'App Store impliquait des opérations de lecture et d'écriture d'informations dans le terminal des utilisateurs, sans que le consentement de l'utilisateur soit valablement recueilli. Dès lors que l'objectif du manquement constaté était la mise en oeuvre de publicité personnalisée, la société requérante ne peut utilement soutenir que le traitement correspond aux hypothèses, prévues à l'article 82 de la loi du 6 janvier 1978, dans lesquelles le recueil du consentement n'est pas nécessaire. Par suite, et sans qu'il soit besoin de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation des règles invoquées, la société requérante ne peut utilement se prévaloir de la méconnaissance des dispositions de la directive 2002/58/CE que cet article transpose.
19. Par suite, c'est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l'article 82 de la loi du 6 janvier 1978 était caractérisé.
Sur la sanction :
20. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. (...) ".
21. D'autre part, en vertu de l'article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l'article 94 du règlement, le paragraphe 2 de l'article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; (...) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
22. Il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société requérante, la formation restreinte de la CNIL a tenu compte de la portée du manquement constaté, en raison de la dépendance des utilisateurs des systèmes d'exploitation concernés à l'App Store et, subséquemment, à ses paramètres relatifs au respect de la vie privée, pour le téléchargement d'applications. Elle a également tenu compte du nombre de personnes concernées, à travers le nombre de terminaux mobiles s'étant connectés à l'App Store français, s'élevant à 27,5 millions entre juillet 2020 et juillet 2021, ainsi que du chiffre d'affaires mondial de la société requérante.
23. Au titre des circonstances atténuantes, la formation restreinte de la CNIL a tenu compte de ce que l'architecture technique impliquant le manquement constaté au titre de l'article 82 de la loi du 6 janvier 1978 a été mise en place afin de respecter les principes de protection de la vie privée des utilisateurs, conformément à l'article 25 du RGPD imposant aux responsables de traitement de mettre en oeuvre une protection des données dès la conception et une protection des données par défaut.
24. Il résulte de ce qui précède que la CNIL n'a, pour fixer à 8 millions d'euros la sanction pécuniaire prononcée contre la société requérante, entaché sa délibération ni d'erreur de droit, ni d'erreur d'appréciation.
25. Il résulte de tout ce qui précède que la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les conclusions qu'elles présente au titre de l'article L. 761-1 du code de justice administrative ne peuvent, en conséquence, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de la société Apple Distribution International Limited est rejetée.
Article 2 : La présente décision sera notifiée à la société Apple Distribution International Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 19 septembre 2025 où siégeaient : M. Christophe Chantepy, président de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et Mme Alexandra Poirson, auditrice-rapporteure.
Rendu le 15 octobre 2025.
Le président :
Signé : M. Christophe Chantepy
La rapporteure :
Signé : Mme Alexandra Poirson
La secrétaire :
Signé : Mme Thamila Mouloud
N° 473833
ECLI:FR:CECHR:2025:473833.20251015
Inédit au recueil Lebon
10ème - 9ème chambres réunies
Mme Alexandra Poirson, rapporteure
SCP PIWNICA & MOLINIE, avocats
Lecture du mercredi 15 octobre 2025
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et six nouveaux mémoires, enregistrés les 4 mai 2023, 4 août 2023, 23 mai, 28 juin, 20 septembre et 14 octobre 2024, 16 janvier et 12 septembre 2025 au secrétariat du contentieux du Conseil d'Etat, la société Apple Distribution International Limited demande au Conseil d'Etat :
1°) d'annuler la délibération n° SAN-2022-025 du 29 décembre 2022 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 8 millions d'euros ;
2°) le cas échéant, de saisir à titre préjudiciel la Cour de justice de l'Union européenne des questions suivantes :
" 1) Les dispositions du paragraphe 3 de l'article 5 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, qui imposent au responsable de traitement d'obtenir le consentement des utilisateurs ou des abonnés d'un service lorsqu'il utilise des réseaux de communications électroniques pour stocker des informations ou accéder à des informations stockées dans leur équipement terminal, doivent-elles être interprétées, notamment à la lumière de l'avis 5/2019 du 12 mars 2019 du Comité européen de la protection des données et du champ d'application du RGPD, comme incluant dans leur champ d'application matériel tout traitement ultérieur au sein d'un univers authentifié qui n'implique pas le stockage ou l'accès à des informations sur l'appareil d'un utilisateur mais qui ne pourrait pas avoir lieu si n'étaient pas d'abord réalisées des opérations de lecture ou d'écriture d'informations sur l'équipement terminal de l'utilisateur à des fins de sécurité '
" 2) Les dispositions du paragraphe 3 de l'article 5 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, doivent-elles être interprétées, compte tenu notamment du considérant 9 de la directive ePrivacy et des dispositions de l'article 25 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, comme exigeant le recueil du consentement des utilisateurs ou des abonnés à l'occasion de l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans leur équipement terminal, lorsque ce stockage ou cet accès technique est strictement nécessaire pour assurer les fonctionnalités protectrices de leur vie privée et de la sécurité de leurs données, selon une approche fondée sur la prise en compte du respect de la vie privée dès la conception (privacy by design) ' "
3°) de mettre à la charge de la CNIL la somme de 6 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de Mme Alexandra Poirson, auditrice,
- les conclusions de Mme Leila Derouich, rapporteure publique ;
La parole ayant été donnée, après les conclusions, à la SCP Piwnica et Molinié, avocat de la société Apple Distribution International Limited ;
Considérant ce qui suit :
1. La société Apple Distribution International Limited demande l'annulation de la délibération du 29 décembre 2022 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé à son encontre une amende administrative d'un montant de 8 millions d'euros pour manquement à l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés en raison de pratiques de lecture et d'écriture de données à des fins publicitaires et a décidé de rendre publique sa délibération, en l'assortissant d'une procédure d'anonymisation à l'expiration d'un délai de deux ans.
Sur la compétence de la CNIL :
2. En vertu des dispositions du I de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL, autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD), est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.
3. En particulier, le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ".
En ce qui concerne la compétence matérielle de la CNIL :
4. Aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui a procédé à la transposition du paragraphe 3 de l'article 5 de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ".
5. Il résulte de l'instruction que l'utilisateur d'appareils de la marque Apple doit, pour utiliser les services associés, se créer un compte Apple (Apple ID), ce qui entraîne l'attribution au compte utilisateur d'un identifiant qualifié de DSID (" directory services identifier "). L'utilisation de son compte par l'utilisateur entraîne le recueil de données sur les serveurs de la compagnie Apple, permettant d'associer l'utilisateur à un ou plusieurs segments de population, représentant des cohortes d'utilisateurs partageant certaines caractéristiques, à des fins de personnalisation de la publicité. Par ailleurs, deux identifiants sont créés sur l'appareil même de l'utilisateur : le DPID (" device pack identifier ") et l'iADID, permettant de remplacer le DSID, nécessaire pour authentifier l'utilisateur lors de l'utilisation de l'App Store (magasin d'applications en ligne), par des informations moins intrusives, lesquelles sont lues par les serveurs " Ad Platforms " lorsqu'une recherche est effectuée sur l'App Store afin de déterminer la publicité ciblée à afficher dans les résultats de recherche. Enfin, il ressort également des pièces du dossier que sur les appareils de marque Apple utilisant la version iOS 14.6 du système d'exploitation, le paramètre de confidentialité " publicités personnalisées " présent dans les réglages des appareils était activé par défaut, ce qui a permis à Apple, grâce à la lecture du DPID et de l'iADID stockés sur le terminal des utilisateurs, de procéder à des publicités ciblées sur l'App Store.
6. Il résulte ainsi de l'instruction que les traitements de personnalisation des annonces publicitaires en cause impliquent une opération comprenant l'enregistrement et la lecture d'informations sur l'équipement terminal de l'utilisateur, sans que le consentement de celui-ci ait été préalablement recueilli. La circonstance que la création des segments de population employés à des fins de personnalisation publicitaire soit, lors d'une étape ultérieure, réalisée sur les serveurs d'Apple et non sur l'équipement terminal de l'utilisateur, est sans incidence sur la matérialité des opérations réalisées en amont et, ainsi, sur l'applicabilité des dispositions de l'article 82 de la loi du 6 janvier 1978 citées au point 4.
7. En l'absence de tout doute raisonnable quant à l'application correcte des dispositions en cause du droit de l'Union européenne, il n'y a pas lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel d'une question portant sur l'interprétation des dispositions du droit de l'Union en cause dans la présente affaire.
En ce qui concerne la compétence territoriale de la CNIL :
8. Aux termes du I de l'article 3 de la loi du 6 janvier 1978, l'ensemble des dispositions de cette loi s'appliquent " aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ", sans préjudice, en ce qui concerne les traitements entrant dans le champ du RGPD, des critères prévus par les paragraphes 2 et 3 de l'article 3 de ce règlement.
9. Il résulte de l'instruction, d'une part, que la société Apple Retail France commercialise des appareils équipés, par défaut, de l'application App Store par laquelle les utilisateurs peuvent effectuer des recherches dont les résultats font l'objet d'une personnalisation publicitaire, et d'autre part, que la société Apple France contribue, par l'emploi de Search Ads Specialists (consultants spécialisés), à rentabiliser et optimiser les espaces publicitaires mis en oeuvre par la société requérante. En déduisant de ces éléments que le traitement de données mis en oeuvre par la société Apple Distribution International Limited était effectué dans le cadre des activités des établissements Apple Retail France et Apple France, situés en France, au sens de l'article 3 de la loi du 6 janvier 1978, la formation restreinte de la CNIL a fait une exacte application de ces dispositions.
10. Il résulte de ce qui a été dit aux points précédents que les moyens mettant en cause la compétence de la formation restreinte de la CNIL pour prendre la décision attaquée doivent être écartés.
Sur la régularité de la procédure de sanction :
En ce qui concerne le moyen tiré du défaut de notification du droit de se taire :
11. Aux termes de l'article 9 de la Déclaration des droits de l'homme et du citoyen du 26 août 1789 : " Tout homme étant présumé innocent jusqu'à ce qu'il ait été déclaré coupable, s'il est jugé indispensable de l'arrêter, toute rigueur qui ne serait pas nécessaire pour s'assurer de sa personne doit être sévèrement réprimée par la loi. " Il en résulte le principe selon lequel nul n'est tenu de s'accuser, dont découle le droit de se taire. Ces exigences s'appliquent non seulement aux peines prononcées par les juridictions répressives mais aussi à toute sanction ayant le caractère d'une punition. Au nombre de ces sanctions figurent notamment celles susceptibles d'être prononcées par la formation restreinte de la CNIL.
12. Toutefois, le droit de se taire ne s'applique pas lors des contrôles ou enquêtes, tels que, s'agissant de la CNIL, les vérifications prévues au g) du 2° de l'article 8 de la loi du 6 janvier 1978, diligentées antérieurement à la notification des griefs. Ne saurait ainsi constituer une méconnaissance des exigences découlant de l'article 9 de la Déclaration de 1789 le fait que, dans le cadre d'un tel contrôle ou d'une telle enquête, les agents de la CNIL auraient recueilli des éléments portant sur des faits susceptibles d'être ultérieurement reprochés au responsable de traitement. Par suite, le moyen tiré de ce que la décision attaquée de la formation spécialisée de la CNIL serait irrégulière au motif que les représentants de la société Apple n'ont pas été informés du droit qu'ils avaient de se taire dans le cadre de leurs échanges avec les contrôleurs de la CNIL ne peut être qu'écarté. Il en va de même, en tout état de cause, du moyen tiré de ce que, pour ce même motif, la décision contestée serait intervenue en méconnaissances des exigences découlant de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
13. Par ailleurs, par sa décision n° 2025-1154 QPC du 8 août 2025, le Conseil constitutionnel a estimé que l'inconstitutionnalité tirée de ce que la procédure devant la CNIL, prévue par l'article 22 de la loi du 6 janvier 1978, ne comportait pas de notification, à la personne mise en cause, du droit qu'elle a de se taire, ne pouvait fonder la contestation des décisions prises avant la publication de sa décision. Par suite, le moyen tiré de l'inconstitutionnalité de la procédure doit être écarté.
14. Enfin, il ne résulte pas de l'instruction que la décision de sanction reposerait de manière déterminante sur les propos que le représentant légal de la société Apple aurait tenus lors de son audition devant le rapporteur ou devant la formation spécialisée. Dès lors, le moyen tiré de ce que le défaut de notification du droit qu'elle avait de se taire méconnaitrait l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ne peut, en tout état de cause, qu'être écarté.
En ce qui concerne les autres moyens tirés de la méconnaissance des droits de la défense :
15. En premier lieu, la procédure de contrôle a été diligentée par la CNIL, comme le prévoient les dispositions citées au point 2, au titre d'une méconnaissance de l'article 82 de la loi du 6 janvier 1978. Par suite, la société n'est pas fondée à soutenir que ses droits de la défense auraient été méconnus au motif que la procédure de contrôle aurait également fait mention d'autres textes, comme le RGPD.
16. En deuxième lieu, aux termes du paragraphe 3 de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : " Tout accusé a droit notamment à : / (...) b. disposer du temps et des facilités nécessaires à la préparation de sa défense. " Il résulte de l'instruction qu'à la suite de la notification du rapport le 28 juillet 2022, la société requérante a présenté des observations écrites le 19 septembre, puis de nouvelles observations le 19 octobre 2022 en réponse au rapporteur, soit plus de trois mois après la notification. Par suite, le moyen tiré de ce qu'elle n'a pas été en mesure de préparer utilement sa défense, y compris eu égard aux délais de traduction afférents à son établissement dans un pays étranger, ne peut qu'être écarté.
17. Il résulte de ce qui a été dit aux points 11 à 18 que la société requérante n'est pas fondée à soutenir que la délibération attaquée aurait été prise au terme d'une procédure irrégulière et contraire aux stipulations de l'article 6 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.
Sur le manquement :
18. Il résulte de l'instruction que, ainsi qu'il a été dit au point 5, le fonctionnement de la publicité ciblée sur l'App Store impliquait des opérations de lecture et d'écriture d'informations dans le terminal des utilisateurs, sans que le consentement de l'utilisateur soit valablement recueilli. Dès lors que l'objectif du manquement constaté était la mise en oeuvre de publicité personnalisée, la société requérante ne peut utilement soutenir que le traitement correspond aux hypothèses, prévues à l'article 82 de la loi du 6 janvier 1978, dans lesquelles le recueil du consentement n'est pas nécessaire. Par suite, et sans qu'il soit besoin de saisir la Cour de justice de l'Union européenne d'une question préjudicielle en l'absence de doute raisonnable quant à l'interprétation des règles invoquées, la société requérante ne peut utilement se prévaloir de la méconnaissance des dispositions de la directive 2002/58/CE que cet article transpose.
19. Par suite, c'est à bon droit que la formation restreinte de la CNIL a considéré que le manquement de la société requérante à l'article 82 de la loi du 6 janvier 1978 était caractérisé.
Sur la sanction :
20. D'une part, aux termes du III de l'article 20 de la loi du 6 janvier 1978 : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : / (...) 7° A l'exception des cas où le traitement est mis en oeuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. (...) ".
21. D'autre part, en vertu de l'article 83 du règlement général sur la protection des données du 27 avril 2016, auquel renvoie désormais, compte tenu de l'article 94 du règlement, le paragraphe 2 de l'article 15 de la directive 2002/58/CE, les amendes administratives imposées par les autorités de contrôle des Etats membres doivent, dans chaque cas, être " effectives, proportionnées et dissuasives ". Pour fixer le montant de l'amende, doivent, notamment, être pris en considération : " a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ; (...) / k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ".
22. Il résulte de l'instruction que, pour fixer le montant de la sanction infligée à la société requérante, la formation restreinte de la CNIL a tenu compte de la portée du manquement constaté, en raison de la dépendance des utilisateurs des systèmes d'exploitation concernés à l'App Store et, subséquemment, à ses paramètres relatifs au respect de la vie privée, pour le téléchargement d'applications. Elle a également tenu compte du nombre de personnes concernées, à travers le nombre de terminaux mobiles s'étant connectés à l'App Store français, s'élevant à 27,5 millions entre juillet 2020 et juillet 2021, ainsi que du chiffre d'affaires mondial de la société requérante.
23. Au titre des circonstances atténuantes, la formation restreinte de la CNIL a tenu compte de ce que l'architecture technique impliquant le manquement constaté au titre de l'article 82 de la loi du 6 janvier 1978 a été mise en place afin de respecter les principes de protection de la vie privée des utilisateurs, conformément à l'article 25 du RGPD imposant aux responsables de traitement de mettre en oeuvre une protection des données dès la conception et une protection des données par défaut.
24. Il résulte de ce qui précède que la CNIL n'a, pour fixer à 8 millions d'euros la sanction pécuniaire prononcée contre la société requérante, entaché sa délibération ni d'erreur de droit, ni d'erreur d'appréciation.
25. Il résulte de tout ce qui précède que la société requérante n'est pas fondée à demander l'annulation de la délibération de la formation restreinte de la CNIL qu'elle attaque. Les conclusions qu'elles présente au titre de l'article L. 761-1 du code de justice administrative ne peuvent, en conséquence, qu'être rejetées.
D E C I D E :
--------------
Article 1er : La requête de la société Apple Distribution International Limited est rejetée.
Article 2 : La présente décision sera notifiée à la société Apple Distribution International Limited et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 19 septembre 2025 où siégeaient : M. Christophe Chantepy, président de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et Mme Alexandra Poirson, auditrice-rapporteure.
Rendu le 15 octobre 2025.
Le président :
Signé : M. Christophe Chantepy
La rapporteure :
Signé : Mme Alexandra Poirson
La secrétaire :
Signé : Mme Thamila Mouloud