Apple est sommée de fournir davantage de précisions sur l’utilisation et la communication des identifiants uniques d’appareils aux fins de la publicité ciblée

Rapport de conclusions en vertu de la LPRPDE n^o 2013-017

Le 20 novembre 2013

Un particulier a allégué qu’Apple utilisait et communiquait à son insu et sans son consentement ses renseignements personnels sous la forme d’un identifiant unique d’appareil (UDID), à des fins de suivi des activités.

Apple attribue un UDID à chaque iPhone, iPad et iPod Touch (appareils iOS) avant la vente. La société a soutenu que UDID ne constituait pas un renseignement personnel étant donné qu’il ne permet pas à lui seul d’identifier un utilisateur. Toutefois, notre enquête a révélé qu’Apple avait aussi accès aux renseignements du compte associé à l’identifiant Apple de chaque utilisateur d’un appareil iOS. Par conséquent, nous avons considéré l’UDID comme un renseignement personnel.

Apple a expliqué qu’elle utilisait l’UDID à des fins d’administration et de maintenance. Dans ce contexte, nous n’avons pas considéré l’UDID comme une information sensible et nous avons conclu qu’Apple avait adéquatement expliqué ses pratiques à cet égard en fournissant des renseignements généraux contenus dans sa politique de confidentialité.

Par ailleurs, nous avons constaté que l’UDID était utilisé par Apple et communiqué à des développeurs d’applications tiers (par l’entremise du système d’exploitation iOS d’Apple) afin d’envoyer de la publicité ciblée aux utilisateurs d’appareils iOS. Dans ce contexte, nous avons considéré l’UDID comme un renseignement personnel sensible parce qu’il pourrait, comme le fait un témoin persistant, servir à créer un profil d’utilisateur détaillé. Bien que nous ayons constaté qu’Apple offrait des options de désinscription faciles d’accès pour prévenir l’utilisation de l’UDID aux fins de la présentation de publicités ciblées, nous avons jugé insuffisantes les explications d’Apple (qui consistaient, pour l’essentiel, en des déclarations générales énoncées dans sa politique de confidentialité). Nous avons donc recommandé qu’Apple diffuse un avis « juste à temps », clair et bien visible, pour renseigner les utilisateurs au sujet de cette pratique.

Durant notre enquête, Apple a cessé d’utiliser l’UDID à des fins de publicité puis, graduellement, de le communiquer aux développeurs d’applications. Apple a remplacé l’UDID par l’AdID, pour la publicité. Apple a ensuite ajouté une option permettant à l’utilisateur de réinitialiser immédiatement et facilement son AdID, ce qui supprime effectivement son historique, dont le suivi a été effectué à l’aide de l’identifiant, et qui est communiqué aux publicitaires. De plus, nous avons constaté avec satisfaction qu’Apple avait appliqué, en ce qui concerne le système d’exploitation iOS 7, nos recommandations visant à permettre à l’utilisateur de trouver plus facilement les boutons de réglage des fonctions de confidentialité pour réinitialiser l’AdID et choisir de ne pas recevoir de publicités ciblées.

Étant donné ces développements et l’explication générale donnée par Apple sur le fonctionnement de l’AdID dans sa politique de confidentialité, ainsi que l’explication plus précise accessible par un lien intégré aux réglages de confidentialité de l’appareil, le Commissariat conclut que la plainte est fondée et qu’elle est résolue.

Rapport de conclusions

Plainte déposée en application de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1. La plaignante allègue qu’Apple Canada Inc. (« Apple ») :
   1. traite l’identifiant unique de l’appareil comme un renseignement non personnel alors qu’en fait, il s’agit d’un renseignement personnel;
   2. utilise et communique à son insu et sans son consentement l’identifiant unique de son appareil iPhone à des fins de suivi.

Résumé de l’enquête

Définitions

2. Les définitions qui suivent s’appliquent au présent rapport de conclusions :
   1. « application » : application conçue pour être utilisée avec un appareil iOS;
   2. « App Store » : magasin en ligne où Apple vend des applications pour les appareils iOS;
   3. « services Apple » : services fournis par Apple et accessibles au moyen d’un compte Apple (p. ex. iTunes, iCloud, App Store, iMessage);
   4. « API » : interface de programmation d’application qui sert au développement d’applications, conformément aux conditions générales d’utilisation de la licence pour le développement d’application (LDA) – il existe un grand nombre d’API, dont chacune permet aux développeurs d’applications d’accéder à des fonctionnalités particulières de l’appareil iOS;
   5. « appareil iOS » : appareil Apple conçu pour fonctionner avec le système d’exploitation d’appareils mobiles iOS d’Apple (iPhone, iPad ou iPod Touch);
   6. « LDA » : licence pour le développement d’applications reconnues par iOS, conformément aux conditions générales d’utilisation en vertu desquelles les développeurs d’applications sont autorisés à utiliser les API ainsi que les autres logiciels et services d’Apple;
   7. « UDID » : identifiant unique d’appareil formé de 40 caractères alphanumériques; il est défini par Apple avant la vente de l’appareil iOS, et il ne peut être effacé ou modifié.
3. Les faits et l’analyse ci-après sont fondés sur des observations présentées par Apple avant et après la publication de notre rapport d’enquête préliminaire. L’information fournie par Apple à la suite de la publication de notre rapport d’enquête préliminaire et les modifications apportées à notre analyse qui découlent de ces nouveaux renseignements figurent dans le présent rapport de conclusions sous forme de « mises à jour ».

Contexte

4. En décembre 2010, dans un courriel envoyé au bureau de la protection des renseignements personnels d’Apple (à l’adresse privacy-ca@apple.com), la plaignante a fait part à Apple de ses préoccupations, qui sont résumées au paragraphe 1 ci-dessus.
5. En réponse à son courriel, Apple a indiqué à la plaignante que son Engagement de confidentialité était conforme à la législation canadienne et que tous les utilisateurs du service iTunes qui avaient mis à jour le logiciel de leur appareil iOS dans les six derniers mois avaient expressément accepté cette politique.
6. Par la suite, en janvier 2011, la plaignante a déposé une plainte en vertu de la Loi auprès du Commissariat.
7. Au cours de l’enquête, le Commissariat a déterminé que, compte tenu des questions soulevées, une rencontre avec un technicien professionnel d’Apple nous aiderait dans notre analyse du dossier. Un représentant technique d’Apple s’est présenté au Commissariat en août 2012 pour expliquer : (i) l’usage que fait Apple de l’UDID et la communication qu’elle en fait à des tiers; (ii) l’abandon – partiel ou graduel – à venir de l’UDID; (iii) les modifications pertinentes qui devaient être mises en œuvre avec le lancement d’iOS 6 à l’automne 2012.
8. En mars 2013, le Commissariat a publié un rapport d’enquête préliminaire dans lequel nous : (i) faisions part à Apple de plusieurs préoccupations découlant de notre enquête; (ii) formulions certaines recommandations en vue d’amener Apple à se conformer à la Loi.

Utilisations de l’UDID par Apple

9. Apple a indiqué au Commissariat qu’elle traite l’UDID comme un renseignement personnel au sens de la Loi uniquement lorsqu’il est combiné à d’autres renseignements sur un individu identifiable.
10. Au moment où la plainte a été déposée, l’Engagement de confidentialité d’Apple se lisait en partie comme suit :

11. Apple tient un registre de chaque UDID attribué à un appareil iOS. L’UDID est ajouté à ce registre avant que l’appareil iOS soit expédié pour vente. Bien que le registre ne contienne aucun autre renseignement sur le client, Apple est en mesure de faire un rapprochement entre l’UDID et un individu identifiable. Dans des circonstances déterminées (p. ex. un cas de fraude, aux fins du soutien à la clientèle ou pour se conformer à un ordre de la Cour), Apple fait effectivement un rapprochement entre l’UDID et d’autres renseignements personnels associés à un compte client, tels que le nom, l’adresse et l’adresse de courriel.
12. Voici une liste exhaustive des principales fins auxquelles Apple se sert actuellement de l’UDID :
    1. Administration et maintenance Apple a présenté une explication détaillée de ses diverses utilisations de l’UDID à des fins d’administration et de maintenance. Ces utilisations comprennent la détection des fraudes, la sauvegarde et la réinstallation, ainsi que la gestion de l’accès aux nouveaux services sur les appareils iOS.
    2. Personnalisation Apple n’utilise pas l’UDID pour personnaliser la prestation des services Apple aux utilisateurs d’appareils iOS (p. ex. pour conserver la langue de préférence ou faire des suggestions musicales dans iTunes). Apple fait le suivi de l’activité de l’utilisateur dans le cadre de chaque service Apple authentifié, en utilisant l’information du compte Apple, en vue de fournir le service en question et de l’améliorer.
    3. Publicité

       Comment Apple utilisait l’UDID à des fins publicitaires

       1. Ad est la plateforme de publicité mobile d’Apple.
       2. Avant le lancement d’iOS 6, le 19 septembre 2012 (le « lancement d’iOS 6 »), iAd utilisait l’UDID pour faciliter l’envoi de publicités ciblées. À partir de l’appareil iOS, chaque service Apple : (i) associait à l’UDID les préférences de l’utilisateur (c.-à-d. son activité sur l’appareil iOS dans le cadre du service Apple en question, à l’exclusion des activités de navigation sur Internet), de même que les données démographiques d’iTunes Store concernant l’utilisateur; (ii) utilisait ces préférences et ces données démographiques pour associer l’utilisateur avec une catégorie iAd définie (p. ex. « joueur » ou « lecteur »); (iii) envoyait à iAd l’UDID et la liste des catégories auxquelles l’utilisateur avait été associé. iAd n’utilise pas l’UDID pour l’envoi de publicités aux appareils iOS utilisant la version 6 ou une version ultérieure du système d’exploitation.

       Comment Apple avisait les utilisateurs de son utilisation de l’UDID à des fins publicitaires

       3. Apple décrit ses pratiques de publicité ciblée dans la section « Cookies et technologies » de son Engagement de confidentialité :
          
          « Apple et ses partenaires utilisent des cookies et autres technologies dans les services de publicité sur téléphone portable afin de vérifier le nombre de fois que vous visualisez une publicité donnée, de vous adresser des publicités en lien avec vos intérêts, et de mesurer l’efficacité des campagnes publicitaires. » (caractères gras ajoutés).
          
          Mise à jour 1 : Apple a affirmé, dans sa réponse à notre rapport d’enquête préliminaire, que l’utilisateur d’un appareil iOS peut obtenir, dans la section « Collecte et utilisation des données à caractère non personnel » de son Engagement de confidentialité, d’autres informations au sujet de l’utilisation que fait Apple de l’identifiant unique de son appareil :
          
          « Nous pouvons collecter, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit. »
          
          « Nous pouvons collecter des informations telles que [...] l’identifiant unique de l’appareil [...] afin de nous permettre de mieux comprendre le comportement du client et d’améliorer nos produits, services et publicités. »
          
          
       4. L’iTunes Store combine aussi certains renseignements, d’une manière qui empêche leur attribution à un individu identifiable, et les envoie à iAd à des fins d’analyse. Par exemple, l’iTunes Store peut informer le réseau iAd que 30 % des utilisateurs d’iPhone à l’intérieur d’un certain groupe démographique sont des « joueurs ».

       Possibilité pour l’utilisateur de refuser l’utilisation de l’UDID par Apple à des fins publicitaires

       5. Apple offre aux utilisateurs d’un appareil iOS la possibilité de se « désinscrire » des annonces ciblées, à l’aide de l’hyperlien http://support.apple.com/kb/HT4228?viewlocale=fr_FR. Cet hyperlien est accessible dans la section « Cookies et autres technologies » de l’Engagement de confidentialité d’Apple. Un lien menant vers l’Engagement de confidentialité se trouve sur chaque page du site Web d’Apple. Apple fournit aussi, dans la section « Assistance » de son site Web, un mode d’emploi intitulé « Comment se désinscrire des annonces ciblées envoyées par le réseau iAd ». Apple précise que la désinscription par ce moyen s’applique à tous les appareils iOS liés à un compte Apple donné. De plus, la désinscription a pour effet d’exclure les données associées aux appareils iOS des données groupées qu’iTunes Store fournit à iAd. Comme il est expliqué ci-dessous, depuis le lancement d’iOS 6, l’utilisateur peut se désinscrire des annonces ciblées provenant d’iAd au moyen de l’interrupteur « Suivi publicitaire limité ». Dans iOS 6, cet « interrupteur » se trouve dans les réglages de l’appareil iOS sous « Publicités », sous l’onglet « Au sujet », accessible en cliquant sur l’onglet « Général ».
          
          Mise à jour 2 : Apple a confirmé qu’avec iOS 7, l’option « Suivi publicitaire limité » est maintenant disponible dans les réglages de la confidentialité.

Accès des développeurs d’applications à l’UDID

13. Apple a créé iOS, qui est utilisé avec les appareils iPhone, iPad et iPod Touch. Apple indique que iOS s’apparente aux systèmes d’exploitation conventionnels installés dans les ordinateurs personnels, tels Windows et Linux.
14. Bien que iOS soit le logiciel sous-jacent qui contrôle certains aspects du fonctionnement de l’appareil, l’utilisateur a la possibilité de télécharger des applications supplémentaires pour ajouter à son appareil iOS une vaste gamme de fonctions personnalisées.
15. Lorsqu’un client choisit de télécharger une application à partir de l’App Store, il télécharge un logiciel distribué par Apple à partir des serveurs d’App Store, mais conçu par un développeur d’applications tiers. Comme on le verra ci-après, Apple joue un rôle restreint en ce qui concerne le fonctionnement de l’application et les pratiques de traitement de l’information du développeur de l’application :
    1. Vérification de l’application – Apple effectue une vérification manuelle de toutes les applications avant d’approuver leur inclusion dans l’App Store. Pour diverses raisons pratiques et juridiques que l’entreprise a expliquées à notre Commissariat, Apple n’a pas accès au code source qui révélerait si l’application collecte des données ou les communique à un tiers.
       Mise à jour 3 : Apple a précisé qu’elle soumet les applications à des vérifications aléatoires et qu’elle mène des enquêtes rigoureuses lorsqu’il existe des raisons de croire qu’il y a violation de la LDA d’Apple.
    2. Contrôles contractuels – Chaque développeur d’applications iOS est tenu de souscrire à la LDA. Une disposition de cette entente contractuelle interdit au développeur d’applications de collecter, d’utiliser et de communiquer les « données de l’utilisateur » et les « données de l’appareil » sans avoir obtenu au préalable le consentement de l’utilisateur. L’entente précise de plus que le développeur peut utiliser ces renseignements uniquement pour fournir une fonction ou un service directement lié à l’utilisation de l’application ou pour envoyer des publicités en conformité avec la LDA. Les termes « données de l’utilisateur » et « données de l’appareil » ne sont pas définis dans la LDA. Toutefois, le développeur d’applications doit se conformer à toutes les lois applicables (notamment les lois et règlements sur la protection des données et des renseignements personnels) des ressorts où l’application est offerte. Apple indique que la définition de « données de l’utilisateur » et de « données de l’appareil » peut varier en fonction du ressort.
    3. Contrôles techniques – Apple conçoit et programme iOS. Elle crée des guides de programmation et des protocoles qui expliquent aux développeurs comment leur logiciel peut interagir avec iOS. De plus, Apple conçoit les API, soit les commandes et fonctions spécifiques qui permettent à une application tierce de « communiquer » et d’interagir avec le logiciel iOS dans l’appareil d’un utilisateur. Les API font partie de tous les systèmes d’exploitation informatiques actuels. Le développeur tiers peut choisir parmi des centaines d’API différentes lorsqu’il crée ses applications uniques. Lorsqu’Apple a annoncé qu’elle entendait éliminer graduellement l’accès des développeurs d’applications à l’UDID dans iOS 5, au moment de la publication de notre rapport d’enquête préliminaire, les développeurs d’applications pouvaient encore accéder à l’UDID d’un appareil iOS au moyen d’une API.
    4. Contrôles techniques additionnels sur certains renseignements – Apple a mis en place des mécanismes de contrôle accrus concernant l’accès du développeur d’applications aux données de localisation de l’utilisateur obtenues au moyen de l’application. Le système d’exploitation d’Apple isole les données de localisation, de sorte que la première fois qu’une application accède à l’API connexe, iOS affiche une case de consentement. Ce n’est qu’une fois que l’utilisateur a donné son consentement que iOS permet à l’application d’accéder aux données de localisation demandées. Avec iOS 6, Apple a amélioré le modèle de consentement décrit au paragraphe 15c) du présent rapport de façon à contrôler l’accès aux contacts, au calendrier des événements, aux photos, aux rappels, et aux services Bluetooth. De plus, iOS 6 permet au développeur d’applications d’ajouter un énoncé d’objet à l’encadré de consentement. Apple indique que d’un point de vue technique, cette approche pourrait être appliquée au contrôle de l’accès du développeur d’applications à l’UDID. Toutefois, Apple précise aussi qu’elle est bien consciente de l’effet lassant des fenêtres contextuelles et qu’elle a cherché à établir un équilibre entre le nombre de fenêtres possibles et les risques liés à la confidentialité.
16. Depuis le lancement d’iOS 6, l’App Store offre aux développeurs d’applications la possibilité d’y afficher, avant le téléchargement d’une application, un lien menant à leur déclaration ou politique en matière de protection des renseignements personnels associée à l’application en question.

Abandon partiel de l’UDID

17. Apple est en voie d’abandonner partiellement ou graduellement l’UDID. Apple a indiqué que cette décision était fondée en partie sur des préoccupations quant au mauvais usage que font certains développeurs d’applications tiers de cet identifiant. Bien qu’Apple n’entende pas cesser complètement d’utiliser l’UDID à des fins d’administration et de maintenance, elle a précisé que les développeurs d’applications n’auraient plus accès à l’API associée à l’UDID dans une version ultérieure à iOS 6.
18. Avec le lancement d’iOS 6, Apple a introduit trois nouveaux identifiants distincts propres au logiciel – « App ID », « Vendor ID » et « AdID » – dont chacun doit servir à des fins distinctes, pour lesquelles l’UDID était auparavant utilisé. Chaque nouvel identifiant sera un identifiant unique aléatoire de 128 bits.
19. Apple a continué d’utiliser l’UDID à des fins d’administration et de maintenance, comme il est indiqué à l’alinéa 12a) du présent rapport, après le lancement d’iOS 6.
20. Au moment de la publication de notre rapport d’enquête préliminaire, les applications pouvaient encore accéder à l’UDID, mais Apple a indiqué que cela ne serait éventuellement plus possible, comme il est mentionné au paragraphe 17 du présent rapport, de sorte que les développeurs d’applications ne pourront accéder qu’aux trois nouveaux identifiants, pour les fins énoncées ci-après.
    Mise à jour 4 : Apple a confirmé, dans sa réponse à notre rapport d’enquête préliminaire, que depuis le 1^er mai 2013, elle n’accepte plus de nouvelles applications ou de mises à jour qui accèdent à l’UDID.
21. Au moment du lancement d’iOS 6, la LDA stipulait que, pour toute version d’iOS qui offre l’accès aux API « Ad Support », le développeur d’applications devait vérifier la préférence utilisateur « Suivi publicitaire limité » avant d’utiliser l’UDID ou l’AdID, pour présenter des publicités à cet utilisateur.

Nouveaux identifiants propres au logiciel

22. App ID : Pour chaque application installée dans un appareil iOS (fonctionnant avec la version iOS 6 ou une version ultérieure), l’appareil créera un identifiant App ID, qui sera communiqué sur demande au développeur d’applications par l’entremise de l’application. Le développeur d’applications peut, s’il le veut, stocker l’identifiant App ID avec l’application installée dans l’appareil, de façon, par exemple, à indiquer que l’utilisation de l’application en question a déjà été autorisée.
23. Vendor ID : Un appareil iOS (fonctionnant sous iOS 6 ou une version ultérieure) sur lequel aucune application d’un fournisseur particulier (« Vendor App ») n’est installée générera, après l’installation d’une Vendor App et sur demande, un identifiant Vendor ID qu’il communiquera au développeur d’applications par l’entremise de l’application. L’identifiant Vendor ID sera disponible à chaque Vendor App installée par la suite dans l’appareil iOS pour faciliter l’interaction entre les Vendor Apps (p. ex. l’atteinte d’un certain niveau dans un jeu pourrait donner accès à un contenu supplémentaire dans un autre jeu du même fournisseur). Si toutes les Vendor Apps sont supprimées de l’appareil iOS, l’identifiant Vendor ID sera supprimé lui aussi.
24. AdID : Chaque appareil iOS (fonctionnant sous iOS 6 ou une version ultérieure) génère un identifiant AdID afin d’aider Apple et d’autres entreprises à présenter de la publicité. Pour ces appareils, iAd n’utilisera plus l’UDID pour l’envoi de publicités.

Mode d’utilisation d’AdID par les développeurs d’applications

25. La LDA du système d’exploitation iOS 6 exige que les développeurs d’applications n’utilisent AdID que dans le but d’offrir des publicités.

Avis donné par Apple aux utilisateurs sur l’utilisation d’AdID

Mise à jour 5 : Outre l’avis décrit dans la mise à jour du sous-alinéa 12c)(iii) du présent rapport, Apple a expliqué, en réponse à notre rapport d’enquête préliminaire, que l’utilisateur d’un appareil iOS fonctionnant sous iOS 6 ou une version ultérieure est aussi en mesure de s’informer davantage sur l’utilisation de l’identifiant AdID à des fins publicitaires en cliquant sur le bouton « En savoir plus » au bas de la page des réglages « Publicité » de l’appareil iOS :

[traduction] « iOS 6 introduit l’identifiant publicité (« AdID »), un identifiant d’appareil non permanent, non personnel, dont se serviront les applications pour que vous puissiez exercé un contrôle accru sur la capacité des publicitaires d’utiliser des méthodes de suivi. Vous pouvez à tout moment réinitialiser l’AdID de l’appareil. Si vous préférez limiter le suivi publicitaire, les applications ne pourront plus accéder à l’AdID pour vous envoyer de la publicité ciblée. À l’avenir, toutes les applications seront tenues d’utiliser l’AdID. Toutefois, il se peut que, dans l’intervalle, vous receviez encore de la publicité ciblée. »

La possibilité pour l’utilisateur de se désinscrire de l’utilisation de l’identifiant AdID à des fins publicitaires par Apple et les développeurs d’applications

26. Comme il est expliqué au sous-alinéa 12c)(v) du présent rapport, iOS 6 donne à l’utilisateur d’un appareil iOS la possibilité d’activer le « Suivi publicitaire limité » dans les réglages de l’appareil iOS. Si l’utilisateur choisit de limiter le suivi publicitaire :
    1. La LDA d’iOS 6 n’autorise les développeurs d’applications à utiliser l’identifiant AdID qu’à des fins publicitaires restreintes. La liste actuelle de ces activités publicitaires comprend le plafonnement de la fréquence de présentation des publicités, le suivi des événements de conversion, l’estimation d’utilisateurs uniques, etc.; la liste ne comprend pas l’envoi de publicités ciblées. Pour les applications compilées pour n’importe quelle version d’iOS offrant l’accès aux API « Ad Support », les développeurs d’applications s’engagent à vérifier la préférence publicité de l’utilisateur avant d’utiliser l’UDID ou l’identifiant AdID pour l’envoi de publicités.
    2. iAd se conformera à la préférence de l’utilisateur dans « Suivi publicitaire limité » (comme il est expliqué à l’alinéa 26a) du présent rapport). Pour tous les appareils, iAd se conformera aussi au choix de l’utilisateur de se « désinscrire » de la réception de publicité comportementale en ligne, comme il est mentionné à l’alinéa 12c)(v).
27. Avec le lancement d’iOS 6, Apple a permis aux utilisateurs d’appareils iOS de réinitialiser l’identifiant AdID (c’est-à-dire de le supprimer et d’en générer un nouveau) au moyen des réglages de l’appareil, en sélectionnant « Effacer contenu et réglages » sans choisir « Restaurer à partir d’une sauvegarde ». Cette action a pour effet d’effacer de l’appareil toutes les applications et données, y compris l’identifiant AdID, et de dissocier de l’appareil toutes les données de suivi précédemment collectées.
    
    Mise à jour 6 : Dans sa réponse à notre rapport d’enquête préliminaire, Apple a tenu à souligner que depuis le lancement d’iOS 6.1, le 28 janvier 2013, la société offre un bouton pour « Limiter l’identification des publicités » dans les réglages « Publicités » de l’appareil iOS, ce qui permet à l’utilisateur de réinitialiser l’AdID sans avoir à « Effacer contenu et réglages ».

Application

28. Pour rendre nos décisions sur ces questions, nous avons appliqué la définition de « renseignement personnel » énoncée au paragraphe 2(1) de la Loi, ainsi que les principes 4.3, 4.3.2, 4.3.5 et 4.3.6 de l’annexe 1 de la Loi.
29. Au paragraphe 2(1), on entend par renseignement personnel tout renseignement concernant un individu identifiable.
30. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le paragraphe 4.3.2 précise que suivant ce principe, il faut « informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement », et que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.5 dispose que dans l’obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Enfin, le principe 4.3.6 stipule que la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis. En général, l’organisation devrait chercher à obtenir un consentement explicite si les renseignements sont susceptibles d’être considérés comme sensibles.

Analyse

31. Notre analyse a trait à l’utilisation que fait Apple de l’UDID et de l’AdID, et aux allégations portant sur la divulgation qu’elle en fait à des développeurs d’applications. Apple crée ces identifiants en partie pour sa propre utilisation et en offre ensuite l’accès aux développeurs d’applications. Bien que l’identifiant AdID ait été introduit par Apple après que la plaignante eut déposé sa plainte auprès de notre Commissariat, nous considérons que l’AdID est pertinent en ce qui concerne la plainte sous-jacente; il s’agit d’un autre identifiant unique d’appareil iOS, et il a été installé par Apple pour remplacer l’UDID aux fins de l’envoi de publicités.
32. Par ailleurs, les identifiants App ID et Vendor ID sont créés par un développeur d’applications pour ses propres fins lors de l’utilisation de l’appareil iOS. En conséquence, notre analyse ne traitera pas de ces deux identifiants.

L’UDID et l’AdID constituent-ils des renseignements personnels?

33. La Loi dispose qu’un renseignement personnel est « tout renseignement concernant un individu identifiable ». Notre Commissariat a par le passé conclu qu’un renseignement peut constituer un renseignement personnel lorsqu’il existe une possibilité sérieuse que la personne puisse être identifiée au moyen de ce seul renseignement ou de celui-ci combiné à d’autres renseignements disponibles.
34. Plus particulièrement, nous avons conclu que des renseignements qui, à eux seuls, peuvent ne pas être considérés comme personnels peuvent être considérés comme personnels lorsqu’une organisation a la capacité d’établir un lien entre ces renseignements et un individu identifiable (voir par exemple le résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-010 – La commissaire adjointe recommande à Bell Canada d’informer les clients au sujet de l’inspection approfondie des paquets; et le résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2011-006 – Une enquête révèle qu’aucune preuve ne permet d’établir que Facebook communique des renseignements personnels à d’autres sites par l’entremise d’extensions).
35. Certes, l’UDID et l’AdID, en eux-mêmes et indépendamment de tout autre renseignement disponible, ne permettent pas nécessairement d’identifier un individu, mais Apple a effectivement la capacité de faire le rapprochement entre ces identifiants et des individus. Comme il a été mentionné au paragraphe 11 du présent rapport, Apple a la capacité d’associer des UDID aux données du compte d’une personne, ce qu’elle fait effectivement dans certaines circonstances. Étant donné qu’Apple peut associer ses UDID et ses AdID à des détenteurs de comptes personnels Apple, nous sommes d’avis que les identifiants UDID et AdID constituent des renseignements personnels au sens de la Loi.

Apple obtient-elle un consentement éclairé pour son utilisation de l’UDID et de l’AdID?

36. La forme que doit prendre en vertu de la Loi le consentement relatif à l’utilisation de renseignements personnels varie selon le contexte. Plus particulièrement, elle dépend, entre autres choses, de la nature et de la sensibilité des renseignements et des attentes raisonnables de l’individu.

Utilisation de l’UDID à des fins d’administration et de maintenance

37. Les explications fournies par Apple quant à son utilisation des renseignements non personnels dans son Engagement de confidentialité, citées au sous-alinéa 12c)(iii) du présent rapport de conclusions, ne donnent guère de détails sur son utilisation de l’UDID à des fins d’administration et de maintenance. Nous sommes toutefois convaincus que les utilisateurs peuvent raisonnablement s’attendre à ce qu’Apple utilise effectivement l’UDID à ces fins, comme il est résumé à l’alinéa 12a) du présent rapport de conclusions. De plus, nous ne considérons pas que l’UDID soit, dans ce contexte, un renseignement de nature sensible. Par conséquent, nous estimons qu’Apple peut invoquer le consentement implicite des utilisateurs d’appareils iOS en ce qui concerne cette utilisation.

Utilisation de l’UDID et de l’AdID à des fins de publicité

38. Bien qu’à première vue l’UDID et l’AdID puissent ne pas être considérés comme des renseignements de nature sensible, ils peuvent constituer de puissants outils pour établir le profil d’un utilisateur et à des fins de publicité comportementale en ligne :
    1. Dans un tel contexte, la nature permanente de l’UDID le rend plus sensible que d’autres identifiants, comme les témoins par exemple. L’UDID pourrait servir de référence pour le suivi de l’activité de l’utilisateur lorsque celui-ci utilise son appareil iOS, tant et aussi longtemps qu’il emploie cet appareil.
    2. Bien que le nouvel identifiant logiciel AdID d’Apple ne soit pas nécessairement permanent, dans le contexte d’iOS 6, il est certainement persistant. Avec iOS 6, l’utilisateur ne peut réinitialiser l’AdID qu’en cliquant sur « Effacer contenu et réglages » dans les réglages de l’appareil iOS (soit en rétablissant les réglages d’usine de son appareil iOS sans sauvegarder ses données). Il n’est généralement pas souhaitable pour l’utilisateur de procéder de la sorte, sauf avant de transférer l’appareil à un nouvel utilisateur. Dans le contexte d’iOS 6, nous estimons par conséquent que l’AdID constitue un identifiant persistant auquel des données de suivi pourraient être associées, tant et aussi longtemps que l’utilisateur emploie l’appareil iOS.
       Mise à jour 7 : Apple a informé notre Commissariat que iOS 6.1 comporte maintenant une fonction « Réinitialiser l’identifiant de publicité », accessible dans les réglages de publicité de l’appareil iOS, de sorte que l’AdID peut maintenant être réinitialisé sans rétablir les réglages d’usine de l’appareil iOS. Nous considérons donc maintenant l’AdID est un renseignement moins sensible que l’UDID (il s’agit plutôt d’un témoin) lorsqu’il est utilisé pour faire le suivi des activités de l’utilisateur aux fins de la publicité comportementale en ligne.
39. En décembre 2011, notre Commissariat a publié des lignes directrices intitulées La protection de la vie privée et la publicité comportementale en ligne (les « Lignes directrices »). Dans les Lignes directrices, nous expliquons que, dans certaines circonstances, un consentement implicite pourrait être jugé raisonnable aux fins de l’envoi de publicité comportementale en ligne, dans la mesure où : (i) les personnes sont avisées des objectifs de la pratique de façon claire et compréhensible; (ii) les personnes peuvent facilement renoncer à la pratique, cette renonciation étant alors immédiate. Bien que chaque cas doive être évalué en fonction des faits qui lui sont propres, les Lignes directrices établissent un cadre utile pour examiner l’utilisation d’identifiants aux fins de l’envoi de publicités ciblées.
40. Dans la section de son Engagement de confidentialité réservée à l’utilisation des « Cookies et autres technologies », Apple donne une explication de ses pratiques d’envoi de publicités ciblées. Toutefois, cette explication n’indique en rien comment les identifiants uniques d’appareil peuvent être employés dans ce processus. Dans notre rapport d’enquête préliminaire, nous avons indiqué que nous n’estimions pas cet avis suffisamment clair et compréhensible pour servir de fondement à un consentement valable des utilisateurs à l’utilisation de l’UDID ou de l’AdID aux fins de la publicité comportementale en ligne.
    
    Mise à jour 8 : Les avis invoqués par Apple à la suite de la publication de notre rapport d’enquête préliminaire (voir les mises à jour au sous-alinéa 12c)(iii) et au paragraphe 25 du présent rapport de conclusions) expliquent comment la société utilise les identifiants uniques d’appareils et l’AdID, en tant que « renseignements non personnels », pour la présentation de publicités. Bien que nous demeurions d’avis que ce type de renseignement constitue un renseignement personnel lorsqu’Apple l’utilise pour la présentation de publicités, nous estimons que ces avis sont suffisants pour servir de fondement à un consentement valable des utilisateurs à l’égard d’une telle pratique.
41. Apple donne effectivement aux utilisateurs le moyen de se désinscrire immédiatement, d’un simple clic, de la réception de publicités ciblées provenant d’iAd. Apple offre aussi l’option de se désinscrire de la réception de publicités ciblées provenant de n’importe quelle source, y compris iAd, en utilisant l’interrupteur « Suivi publicitaire limité » se trouvant dans les réglages de l’appareil iOS. Cela dit, nous avons estimé que l’emplacement de cet interrupteur dans iOS 6 n’était pas des plus intuitifs pour l’utilisateur.
    
    Mise à jour 9 : Apple a expliqué à notre Commissariat que sous iOS 7, l’interrupteur « Suivi publicitaire limité » et les explications afférentes sont désormais accessibles dans le réglage « Confidentialité » de l’appareil. Cet emplacement sera selon nous beaucoup plus intuitif pour l’utilisateur.

Apple obtient-elle un consentement valable à sa communication de l’UDID et de l’AdID?

42. Selon Apple, le fait de donner accès à l’UDID et à l’AdID au moyen d’une API ne constitue pas une « communication » de renseignements personnels par Apple. Apple précise que c’est iOS et non Apple qui contrôle l’accès aux renseignements par des API. Lorsqu’un développeur accède aux données d’un appareil iOS par l’entremise d’iOS, il n’y a pas d’interaction directe avec Apple ou ses serveurs, et Apple ignore que l’application est en train d’accéder aux données de l’appareil.
43. Cependant, nous notons qu’Apple contrôle le fonctionnement de son système d’exploitation iOS, puisque c’est elle qui l’a conçu. Par ailleurs, Apple (directement ou par iOS) : (i) attribue l’UDID et génère l’AdID, au moins en partie pour ses propres fins; (ii) stocke ces identifiants dans l’appareil iOS; et (iii) contrôle l’accès à ces identifiants. Plus particulièrement, Apple décide seule quels renseignements seront accessibles aux développeurs d’applications au moyen des API qu’elle développe pour son système d’exploitation iOS et, par l’invite de consentement qui s’affiche à l’utilisateur, Apple restreint cet accès aux renseignements qu’elle considère particulièrement sensibles (localisation de l’utilisateur, photos). Dans ce contexte, nous estimons que l’UDID et l’AdID qu’Apple communique constituent des « renseignements personnels » au sens de la Loi.
44. Compte tenu de cette conclusion, Apple doit s’assurer que l’utilisateur donne un consentement valable à la communication de ces renseignements personnels. Cette opinion rejoint celles que nous avons exprimées dans le contexte d’autres plaintes ayant pour objet l’accès des développeurs d’applications tiers à des renseignements à partir de plateformes de technologies de l’information (voir, par exemple, le résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2009-008 : CIPPIC c. Facebook Inc.).
45. S’agissant de déterminer les exigences d’un consentement valable dans ce contexte, nous avons constaté dans notre rapport d’enquête préliminaire que : (i) l’UDID et l’AdID (pour les versions iOS 6 et les versions ultérieures), qui peuvent servir à compiler et à structurer des profils complexes d’utilisateurs, peuvent constituer des renseignements personnels de nature sensible; et que (ii) les utilisateurs d’appareils iOS ne sauraient raisonnablement s’attendre à ce que ces identifiants soient communiqués aux développeurs d’applications par Apple sur demande. Par conséquent, à notre avis, pour que le consentement soit valable dans ce contexte, il faut qu’Apple s’assure d’avoir obtenu à chaque fois le consentement de l’utilisateur de l’appareil iOS avant que l’UDID ou l’AdID de l’appareil ne soit communiqué au développeur d’applications.
46. Apple pourrait s’acquitter de son obligation d’obtenir un consentement valable à cette pratique en prenant des mesures raisonnables pour confirmer que ce consentement est obtenu en son nom par les développeurs d’applications. Pour qu’une exigence contractuelle puisse servir à démontrer que les développeurs d’applications ont obtenu ce consentement, il faut aussi qu’Apple veille à ce que ces derniers connaissent et respectent cette obligation contractuelle.
47. Il est possible que la LDA ait pour effet d’obliger les développeurs à obtenir un consentement éclairé avant d’accéder à l’UDID et à l’AdID au moyen d’une API, mais à notre avis, cette exigence n’est pas clairement énoncée dans la LDA. Qui plus est, le processus d’examen des applications d’Apple ne lui permet pas de s’assurer que les développeurs d’applications obtiennent effectivement le consentement de l’utilisateur avant d’accéder aux identifiants uniques d’Apple. En l’absence de toute preuve que les développeurs d’applications sont bien informés de leur obligation contractuelle d’obtenir le consentement valable de l’utilisateur et qu’ils respectent réellement cette exigence, Apple ne peut présumer que les utilisateurs ont consenti à ce qu’elle communique leur UDID ou leur AdID aux développeurs d’applications. Nous étions donc d’avis, dans notre rapport d’enquête préliminaire, qu’Apple communiquait les UDID et les AdID aux développeurs d’applications à l’insu des utilisateurs et sans leur consentement.
    
    Mise à jour 10 : Maintenant qu’Apple a ajouté une fonction « Réinitialiser l’identifiant de publicité » aux réglages de l’appareil iOS, sous iOS 6.1 et les versions ultérieures, nous ne considérons plus l’AdID comme un renseignement sensible. Nous reconnaissons par conséquent que les explications qu’Apple fournit aux utilisateurs (dont il est fait état au sous-alinéa 12c)(iii) et au paragraphe 25 du présent rapport) pourraient servir de fondement à un consentement valable à ce qu’Apple communique l’AdID à des développeurs d’applications à des fins publicitaires. Nous constatons aussi qu’Apple ne donne plus accès aux UDID aux développeurs d’applications qui ont proposé une nouvelle application ou une mise à jour après le 1^er mai 2013.

Recommandations

48. Dans notre rapport d’enquête préliminaire, nous avons recommandé qu’Apple effectue certains changements pour s’assurer d’obtenir le consentement des utilisateurs relativement à l’utilisation et à la communication desUDID et des AdID. Plus précisément, nous avons recommandé qu’Apple :
    1. modifie son Engagement de confidentialité afin de tenir compte que l’UDID et l’AdID constituent des renseignements personnels, du moins au sens de la Loi;
    2. modifie son Engagement de confidentialité afin de fournir une explication adéquate des usages auxquels l’UDID est destiné aux fins de l’administration et de la maintenance;
    3. informe les utilisateurs de façon claire, évidente et compréhensible, au moyen de son Engagement de confidentialité et d’autres méthodes de communication claires, de l’utilisation qu’elle fait des UDID et des AdID pour présenter de la publicité ciblée;
    4. prenne des mesures adéquates pour s’assurer que l’utilisateur d’un appareil iOS a valablement consenti à ce que sonUDID et son AdID soient communiqués à un tiers, notamment aux développeurs d’applications :
       1. en modifiant son Engagement de confidentialité de manière à
          • expliquer comment Apple peut communiquer l’UDID et l’AdID (ou les identifiants uniques d’appareils en général) à des tiers, notamment aux développeurs d’applications,
          • décrire comment ces identifiants peuvent être utilisés pour la présentation de publicités ciblées,
          • inviter l’utilisateur à se renseigner au sujet des pratiques en matière de traitement des renseignements personnels des tierces parties auxquelles ces identifiants sont communiqués;
       2. en informant en termes clairs l’utilisateur d’un appareil iOS, au moment où il prend la décision de s’inscrire et avant de communiquer son UDID ou son AdID, que ces identifiants seront communiqués à un tiers désigné (p. ex. un développeur d’applications), de sorte que l’utilisateur puisse faire le choix éclairé de consentir ou non à cette communication.
49. Nous avons également fait observer que l’emplacement de l’interrupteur « Suivi publicitaire limité » serait plus visible et intuitif aux utilisateurs s’il était placé directement sous les réglages « Confidentialité », bien que nous estimions qu’Apple offrait aux utilisateurs d’appareils iOS suffisamment de moyens de se désinscrire de la réception de publicités ciblées.

Constatations

50. Nous n’acceptons pas qu’Apple qualifie généralement l’UDID et l’AdID de renseignements non personnels dans son Engagement de confidentialité et d’autres communications à la clientèle, mais nous sommes convaincus que l’utilisation et la communication que fait Apple de l’UDID et de l’AdID sont maintenant conformes à la Loi. Cette conclusion est largement attribuable aux changements importants qu’Apple a apportés à ses pratiques en matière de protection des renseignements personnels, de même qu’aux informations supplémentaires fournies par Apple à la suite de la publication de notre rapport d’enquête préliminaire, comme en font foi les diverses « mises à jour » qui figurent dans le présent rapport de conclusions.

Utilisation de l’UDID et de l’AdID par Apple à des fins d’administration et de maintenance

51. Après un examen approfondi et compte tenu des discussions que nous avons eues avec les représentants d’Apple à la suite de la publication de notre rapport d’enquête préliminaire, nous estimons, comme il est exposé au paragraphe 37 du présent rapport de conclusions, qu’Apple peut présumer avoir reçu un consentement implicite à son utilisation de l’UDID à des fins d’administration et de maintenance.

Utilisation de l’UDID et de l’AdID par Apple à des fins publicitaires

52. Depuis le lancement d’iOS 6, Apple n’utilise plus l’UDID pour la présentation de publicités ciblées.
53. Nous estimons que les explications fournies par Apple aux utilisateurs, tant dans sa politique de confidentialité que dans les réglages de publicité des appareils iOS (versions postérieures à iOS 6), fournissent des renseignements suffisants pour servir de fondement à un consentement valable à l’utilisation que fait Apple de l’AdID aux fins de la présentation de publicités ciblées.
54. Nous constatons qu’Apple offre immédiatement à l’utilisateur des options simples et efficaces pour se désinscrire de l’utilisation que fait Apple de l’AdID aux fins de la présentation de publicités ciblées. Nous constatons également avec satisfaction qu’après la publication de notre rapport d’enquête préliminaire, Apple a placé l’interrupteur « Suivi publicitaire limité » à un endroit plus intuitif, dans les réglages de confidentialité des appareils iOS.

Communication par Apple de l’UDID et de l’AdID aux développeurs d’applications

55. Nous constatons avec satisfaction l’abandon progressif par Apple de l’UDID à des fins publicitaires. Apple a cessé d’utiliser l’UDID à des fins publicitaires avec iOS 6 et, depuis le 1^er mai 2013, les nouvelles applications ou les mises à jour n’ont plus accès à l’UDID.
56. Étant donné l’ajout par Apple de l’option « Réinitialiser l’identifiant de publicité » dans les appareils iOS, nous ne considérons plus l’AdID comme un renseignement personnel. Nous sommes convaincus que les explications d’Apple concernant l’usage qu’elle fait de l’AdID et la communication de cet identifiant permettent, dans ce contexte, aux utilisateurs de donner un consentement valable à cette communication au sens de la Loi.

Conclusion

57. Par conséquent, le Commissariat conclut que la présente plainte est fondée et qu’elle a été résolue.