Le document adressé le 8 mars 2021 par le cabinet d’avocats Bruzzo Duboucq dénonce plusieurs « atteintes graves » à la législation sur les données à caractère personnel. Le tout sur fond de guerres publicitaires. Next INpact diffuse cette plainte.
L’association, qui se targue de représenter plus de « 1 800 entrepreneurs et investisseurs du numérique français » émet deux reproches à l’encontre d’Apple.
D’une part, celui de ne pas solliciter le consentement de l’utilisateur en matière de ciblage publicitaire. D’autre part, celui de ne pas informer suffisamment les personnes physiques de l’utilisation et du traitement de leurs données personnelles.
Dans les sept pages du document synthétique, elle épingle non seulement le préjudice subi par les utilisateurs, mais aussi celui dont souffrent les startups françaises, du moins celles qui « respectent scrupuleusement » le RGPD.
Un consentement non exprès, une information parcellaire
La raison de son courroux se niche dans le menu Réglages -> Confidentialité-> Publicité Apple -> Publicités personnalisées où quiconque peut constater l’activation par défaut des publicités personnalisées sur iOS 14.
Une incise à la règle selon laquelle le consentement doit être libre, spécifique, éclairé et univoque, et donc se manifester par une action positive de la personne concernée.
Deuxième pilier des critiques adressées par l’association : ce traitement n’est accompagné que d’informations trop généralistes, du moins à ses yeux. « Seules des données génériques (année de naissance, sexe, emplacement) sont révélées, alors qu’il serait nécessaire de fournir, comme requis par le RGPD, l’intégralité des données réellement transmises, et leur nature exacte pour que l’utilisateur puisse prendre la mesure de son engagement ».
L’article 12 du RGPD oblige le responsable du traitement à prendre des mesures appropriées pour fournir les informations nécessaires, « d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Selon France Digital, le compte n’y serait donc pas, notamment au regard de la somme des informations exigées par l’article 13 du règlement.
Pomme, pomme, pomme, pomme
La réaction d’Apple, dans les colonnes de BFMTV, ne s’est pas fait attendre : « Les allégations de cette plainte sont clairement fausses et doivent être perçues pour ce qu’elles sont : une pâle tentative par ceux qui pistent les utilisateurs de détourner l’attention de leurs propres actions et de faire diversion auprès des régulateurs et du législateur ». Ambiance.
De son côté, le géant américain se prépare en effet à activer l’App Tracking Transparency, qui obligera toutes les applications tierces à recueillir expressément le consentement des personnes physiques pour l’exploitation de ces données.
Dans la plainte, France Digital signale sur ce point qu’Apple se réservera « le droit de choisir qui revêt la qualité de "partenaires" et la qualité de "tiers" de manière arbitraire (…) sans que l’utilisateur ne soit mis au courant d’un tel changement ». Si les données personnelles peuvent être partagées entre Apple et ses affiliés, les tiers, eux, devront obtenir préalablement un consentement via une bruyante bannière. Pas étonnant que les voix s'élèvent, et pas seulement du côté de Facebook.
Selon l'association, un tel « manque de clarté, qui est d’autant plus mis en exergue dans l’Engagement de confidentialité d’Apple, fait naître grand nombre d’interrogations, sans que l’utilisateur puisse trouver de réponse claire, notamment le pourquoi de cette activation par défaut, l’explication concrète de cette distinction ou encore le manque de transparence des entreprises exploitant ses données ».
