Le gouvernement sud-coréen a infligé à Apple une amende de 4,65 milliards de wons (environ 3,2 millions de dollars) après avoir découvert que l’entreprise utilisait illégalement des données pour prédire les risques de défaut de paiement des utilisateurs de l’App Store.
Des données utilisées sans consentement
L’affaire remonte à une collecte de données opérée entre avril et juillet 2018 par Kakao Pay, un service de paiement mobile basé en Corée du Sud. Ces données avaient ensuite été transmises à Alipay, une plateforme de paiement mobile située à Singapour. Le problème était que Kakao Pay a envoyé les informations de tous ses utilisateurs -qu’ils soient clients Apple ou non- à Alipay, et ce, sans le consentement explicite des personnes concernées.
Apple a ensuite exploité ces données pour établir un score NSF (Non-Sufficient Funds), une note permettant de prédire si un utilisateur risquait de ne pas pouvoir honorer ses paiements, notamment lors du regroupement de plusieurs petits achats dans l’App Store.
Des sanctions financières et une destruction de données
La Commission de protection de l’information personnelle de Corée du Sud a condamné Apple à deux amendes distinctes. La première est de 2,45 milliards de wons (1,71 million de dollars) pour avoir utilisé illégalement ces données afin de créer le modèle de calcul du score NSF. La seconde est de 2,2 milliards de wons (1,53 million de dollars) pour ne pas avoir informé les utilisateurs que leurs données avaient été collectées et partagées avec Alipay.
En parallèle, Kakao Pay a écopé d’une amende de près de 6 milliards de wons (4,2 millions de dollars), et Alipay a été sommée de détruire le modèle de score NSF construit à partir des données obtenues illégalement.
Apple esquive les questions
Lors d’une réunion avec la PIPC le 25 février, les représentants d’Apple se sont montrés peu coopératifs. Interrogés sur l’ampleur internationale du programme de score NSF, ils ont déclaré qu’ils devaient se concerter avec leur client avant de répondre. Pire encore, face aux demandes de preuves ou d’e-mails liés à cette affaire, Apple a simplement répondu que beaucoup de ceux qui étaient impliqués ont quitté l’entreprise et qu’il était donc impossible de retrouver ces données.
Des réponses qui n’ont pas convaincu la Commission. Selon le procès-verbal de la réunion, les autorités sud-coréennes ont critiqué l’attitude d’Apple, estimant qu’il n’était pas approprié pour l’entreprise de répondre simplement par ‘nous n’avons pas les données’ ou ‘c’est tout ce que nous pouvons vous dire’.
Cette affaire s’ajoute aux récentes tensions entre Apple et plusieurs régulateurs dans le monde, que ce soit en Europe avec le Digital Markets Act (DMA) ou maintenant en Asie. La question de l’exploitation des données personnelles reste au cœur des préoccupations, et les autorités sud-coréennes semblent déterminées à faire respecter les règles de transparence et de consentement.
