Plainte de la Ligue des droits de l’Homme (LDH) contre Apple pour atteinte à la vie privée et violation du RGPD – Une plainte qui se répand

En France, la Ligue des droits de l’Homme (LDH) a déposé une plainte, le 13 février 2025, assortie d’un signalement auprès du procureur de la République de Paris contre le groupe Apple. Cette démarche fait suite aux alertes d’un ancien employé d’un sous-traitant de la célèbre société lequel faisait état de pratiques présumées contraires au Règlement général sur la protection des données (RGPD) et attentatoires à la vie privée.

Contexte

• Selon les informations transmises par le lanceur d’alerte, l’intelligence artificielle d’assistance vocale Siri, enregistrerait des discussions comportant des données personnelles, y compris des données sensibles (santé).
• Ces enregistrements seraient effectués de manière aléatoire et à l’insu des utilisateurs.

• Le lanceur d’alerte explique que Siri est programmé pour s’activer lorsqu’il entend certains mots-clés, allant de « Dis Siri » jusqu’au « simple bruit d’une fermeture éclair ».
• Ces enregistrements seraient associés à des données permettant l’identification des utilisateurs, comme leurs noms, prénoms et leur emplacement géographique.
• Plus encore, ces enregistrements seraient écoutés par les employés d’Apple à des fins d’analyse et d’amélioration des performances de Siri, sans véritable surveillance sur les données analysées ni sur les employés y ayant accès. La divulgation s’étendrait à des acteurs tiers, sous-traitants d’Apple.
• Des captures d’écran fournis par le lanceur d’alerte viendraient appuyer ces accusations.

La réponse d’Apple

Apple nie tous ces fondements et soutient que : « seul une petite partie des demandes adressées à Siri est analysée afin de l’améliorer ; les demandes des utilisateurs ne sont pas associées à leur identifiant Apple ; les réponses de Siri sont analysées dans des installations sécurisées, et tous les examinateurs sont soumis aux exigences strictes de confidentialité d’Apple. »

Antécédents aux États-Unis

Ces révélations avaient d’ores et déjà conduit en 2024 à une action collective aux États-Unis initiée par des utilisateurs d’Apple. L’entreprise a accepté de payer 95 millions de dollars dans le cadre d’un accord signé le 31 décembre 2024 mais continue de nier les accusations. L’accord prévoit également que la société confirme la suppression des enregistrements litigieux et qu’elle mette en place un système de transparence de la collecte des données.

Fondements juridiques pour sanctionner les atteintes en France

I. Fondements au titre du RGPD

A. Qualification des données personnelles

• Il convient, en premier lieu, de constater que les enregistrements audios collectés, jumelés à d’autres données (par exemple, l’adresse, le prénom, le nom, etc.), permettent d’identifier, directement ou indirectement, des personnes physiques, ce qui les qualifie comme données à caractère personnel, au sens de l’article 4.1 du RGPD.

B. Licéité du traitement des données personnelles (article 6 du RGPD)

• Conformément à l’article 6 du RGPD, tout traitement de données personnelles doit reposer sur une base légale clairement établie (par exemple, le consentement explicite, l’exécution d’un contrat ou l’intérêt légitime du responsable de traitement).
• En l’espèce, si les enregistrements se déclenchent sans que le consentement explicite des utilisateurs ne soit recueilli, ni qu’une autre base légale ne soit identifiée, le traitement est illicite.

C. Finalité du traitement (article 5.1.b du RGPD ; l’article 5.1.c)

• L’article 5.1.b impose que les données soient collectées pour des finalités déterminées, explicites et légitimes, et ne soient pas traitées ultérieurement d’une manière incompatible avec ces finalités. De plus, l’article 5.1.c consacre le principe de minimisation des données.
• En l’espèce, Apple présente la finalité des enregistrements comme étant l’amélioration des performances de Siri. D’une part, cette finalité semble insuffisamment définie par rapport à l’ampleur et la nature des données prétendument collectées. D’autre part, l’écoute des enregistrements par des employés ou des sous-traitants peut constituer un traitement ultérieur qui semble incompatible avec la finalité initialement promise à l’utilisateur.

D.Transparence et information des personnes concernées (article 13 du RGPD)

• Selon l’article 13 du RGPD, les personnes concernées doivent être informées de manière claire et accessible de la finalité du traitement, des catégories de données collectées, des destinataires éventuels, etc.
• En l’espèce, d’après les faits allégués, les utilisateurs n’ont ni été clairement informés de l’existence de ces traitements, ni de leurs modalités, ni de l’éventuel accès par des tiers.

E. Traitement de données sensibles sans base spécifique (article 9 du RGPD)

• En principe, le traitement de données sensibles (origine ethnique, opinions politiques, croyances religieuses, données de santé ou relatives à la vie sexuelle…) est interdit, sauf exceptions prévues à l’article 9 du RGPD, notamment le consentement explicite.
• En l’espèce, selon le lanceur d’alerte, les enregistrements contiennent des informations sensibles relevant de cette catégorie. Aucun consentement explicite et éclairé n’ayant été recueilli, ce traitement constitue une violation grave des droits de l’utilisateur.

F. Sécurité des données et accès non encadré (article 32 du RGPD)

• L’article 32 impose la mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l’intégrité et la sécurité des données.
• En l’espèce, selon les faits allégués, l’accès aux données au sein d’Apple n’est ni limité ni contrôlé, en violation des dispositions de l’article précité.
• G. Encadrement de la sous-traitance (article 28 du RGPD)
• L’article 28 dispose que tout sous-traitant doit s’engager à respecter les obligations de confidentialité et à mettre en œuvre les mesures de sécurité prévues à l’article 32.
• En l’espèce, selon les déclarations du lanceur d’alerte, aucune de ces obligations ne semble avoir été respectée par les sous-traitants d’Apple.

Conclusion

Si ces pratiques sont avérées, Apple pourrait faire l’objet de lourdes sanctions par la CNIL. A titre d’exemple, L’autorité Française a condamné Google à une amende de 325 millions d’euros pour manquements au RGPD en septembre 2025. Par ailleurs, le Code pénal sanctionne également les manquements au RGPD. L’article 226‑16 prévoit des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Parallèlement aux violations du RGPD, la LDH fonde sa plainte sur le terrain des atteintes à la vie privée.

II. Atteintes à la vie privée

• Le respect de la vie privée est protégé en vertu de l’article 9 du Code civil et l’article 226-1 du Code pénal. Le code pénal réprime le fait, par tout moyen, de porter atteinte à l’intimité de la vie privée d’autrui en procédant à l’enregistrement, la transmission ou la diffusion de paroles prononcées à titre privé ou confidentiel.
• En l’espèce, dans le cadre de l’usage de Siri, l’enregistrement permanent de conversations, entre plusieurs personnes en l’absence de tout consentement constitue une atteinte manifeste à leur intimité et leur vie privée au sens de l’article 226-1 du Code pénal. La jurisprudence a déjà eu l’occasion de qualifier un tel enregistrement « d’espionnage auditif » (CA Versailles, 4 février 2022).

Conclusion

Si les faits s’avèrent exacts, l’absence du consentement explicite pour l’acte d’enregistrement, de transmission et de diffusion serait constituée, pouvant donner lieu à une sanction allant jusqu’à un an d’emprisonnement et 45 000 € d’amende.

Le parquet de Paris va enquêter sur ces éléments à l’occasion de la plainte de la LDH.

Perspective : Quid du droit civil français?

En droit français, une autre question semble se poser au regard du droit des contrats, dès lors que la politique de confidentialité que chaque utilisateur est invité à consentir constitue un engagement synallagmatique.

La politique de confidentialité : un contrat d’adhésion ?

• La politique de confidentialité d’Apple semble s’apparenter à un contrat d’adhésion tel que défini à l’article 1110 du Code civil. En effet, il s’agit d’un contrat non négociable, proposé par la société à une multitude d’utilisateurs.
• En pratique, pour accéder aux services Apple, l’utilisateur doit impérativement accepter la politique de confidentialité en cochant activement une case « j’accepte ». La jurisprudence confirme que ce type de mécanisme vaut consentement contractuel. (C61/19, Orange România SA).

• De plus, il est opportun de relever que l’utilisateur est obligé de saisir son code d’accès personnel pour réactiver Siri en cas de désactivation momentanée, attestant d’un consentement renouvelé avant toute reprise du service.

En définitive, la politique de confidentialité ne se limite pas à un document d’information et constitue a priori un contrat d’adhésion.