Jeux mobiles : la CNIL clôt l’injonction prononcée à l’encontre de la société VOODOO
Par décision du 13 juillet 2023, la formation restreinte de la CNIL a clôturé l’injonction prononcée le 29 décembre 2022 à l’encontre de la société VOODOO, éditrice de jeux pour mobile.
Le contexte
Le 29 décembre 2022, la formation restreinte (organe de la CNIL chargé de prononcer les sanctions) a prononcé une amende de 3 millions d’euros à l’encontre de la société VOODOO pour avoir utilisé un identifiant essentiellement technique (« identifier for vendors » ou « IDFV ») pour de la publicité, sans le consentement de l’utilisateur.
En complément de cette amende, la formation restreinte avait enjoint à la société, dans un délai de 3 mois, de recueillir le consentement de l’utilisateur à l’utilisation de l’IDFV à des fins publicitaires.
Le non-respect de cette injonction exposait la société au paiement d’une astreinte de 20 000 euros par jour de retard.
Clôture de l’injonction
Après avoir recueilli les observations de la société, la formation restreinte a considéré que la société VOODOO, en présentant une fenêtre permettant de recueillir le consentement de l’utilisateur lors de l’ouverture de ses jeux, a satisfait à l’injonction prononcée dans sa délibération du 29 décembre 2022, et ce, dans le délai qui lui était imparti. La formation restreinte a ainsi décidé de clore la procédure le 13 juillet 2023.
Cette clôture ne porte que sur le périmètre de l’injonction prononcée par la formation restreinte dans sa délibération du 29 décembre 2022. En effet, cette décision de clôture ne préjuge pas de l’analyse de la CNIL sur la conformité de la nouvelle fenêtre de consentement déployée sur les applications développées par la société à l’ensemble des dispositions de l’article 82 de la loi Informatique et Libertés, notamment, l’exigence de fournir une information « claire et complète » sur les finalités (objectifs) poursuivies par la lecture de l’IDFV et sur les moyens de s’opposer à cette lecture.
La CNIL se réserve donc la possibilité de contrôler à l’avenir la conformité des applications au regard de ces autres exigences et, si nécessaire, de mobiliser l’ensemble de sa chaîne répressive.