La CNIL est encore passée à l'action. Multipliant ces derniers mois les amendes (Microsoft, Free, EDF, Infogreffe, etc.), c'est cette fois sur l'éditeur de jeux vidéo français Voodoo que la commission nationale de l'informatique et des libertés a mis le grapin. « Entre août 2021 et juillet 2022, la Cnil a effectué plusieurs contrôles sur Voodoo.io et sur différentes applications mobiles éditées par la société Voodoo, telles que le jeu Helix Jump », explique la commission. A noter que le périmètre des contrôles effectués concerne le téléchargement et le fonctionnement d'applications sur l'environnement Apple iOS.
Suite à son enquête, la Cnil a décelé un mode opératoire particulier pratiqué par Voodoo en termes d'exploitation des données de ses utilisateurs à des fins publicitaires. « Lorsqu’un utilisateur exprime son refus de faire l’objet d’un suivi publicitaire, la société Voodoo lit tout de même l’identifiant technique associé à cet utilisateur (l’IDFV) et traite toujours des informations en lien avec ses habitudes de navigation pour des objectifs publicitaires, donc sans son consentement et en contradiction avec ce qu’elle lui indique dans l’écran d’information qu’elle affiche », a fait savoir la Cnil. L'IDFV est fournie par Apple à tous les éditeurs poussant des apps sur l'App Store et permet d'en suivre leur utilisation.
Un risque d'astreinte journalière de 20 000 €
Le couperet est tombé le 29 décembre 2022, la Cnil ayant condamné Voodoo à 3 M€ d'amende, justifiant « ce montant par le nombre de personnes concernées, par les avantages financiers obtenus du fait du manquement et par le chiffre d’affaires réalisé par la société en 2020 et 2021 ». Une injonction sous astreinte a aussi été prononcée pour recueillir le consentement de l'utilisateur à l'utilisation de l'IDFV à des fins publicitaires dans un délai de 3 mois. Le cas échéant, Voodoo s'expose au paiement de 20 000 € par jour de retard.