L’Autorité de la concurrence a rejeté les demandes de mesures conservatoires sollicitées par les acteurs de la publicité en ligne à l’encontre d’Apple. Elle poursuit l’instruction au fond du dossier. Explications de sa décision longue d'une quarantaine de pages.
Le 23 octobre 2020, l’Interactive Advertising Bureau France (IAB), la Mobile Marketing Association France (MMA), l’Union Des Entreprises de Conseil et Achat Media (UDECAM), et le Syndicat des Régies Internet (SRI) saisissaient l’Autorité de la concurrence. À l’index ? Les modifications annoncées par Apple en juin 2020 sur l’App Tracking Transparency (ou ATT, transparence sur le traçage en applications) d’iOS 14.
Un coup de pied dans la fourmilière des identifiants utilisés par les ogres de la publicité avec notamment une contrainte pour les développeurs : l’obligation d’obtenir au préalable l’autorisation des utilisateurs pour accéder à l’IDFA (Identifier for Advertisers ) des terminaux iOS.
Une demande de consentement qui sera déployée prochainement par Apple dans iOS 14.5, après un premier report.
Cette fenêtre « s’ouvrira lorsqu’il utilisera une application donnée (téléchargée précédemment via l’App Store) dès lors que l’application voudra suivre l’utilisateur sur des applications ou sites tiers » résume l’AdlC, capture de la pop-up à l’appui.
Cette fenêtre est au cœur des préoccupations des associations. Elles « reprochent à Apple l’obligation faite aux développeurs d’applications de recourir à la sollicitation ATT pour pouvoir accéder à l’identifiant IDFA », alors que « le recueil d’un consentement via la sollicitation ATT conditionnerait le suivi publicitaire de l’utilisateur sur les sites tiers, qui permet de lui adresser ensuite des publicités ciblées ».
Avant de répondre sur le terrain concurrentiel, l’Autorité a saisi la CNIL pour exposer le projet d'Apple à son expertise.
Quand l'autorité fait appel à l'expertise de la CNIL
Le 17 décembre 2020, la CNIL a répondu que la sollicitation ATT d’Apple « se distingue des interfaces actuellement observées sur un nombre considérable de sites web et d’applications mobiles non conformes à la règlementation ».
Avec un choix simple (« autoriser le traçage », « demander à l’application de ne pas tracer mes activités »), la pop-up contraste ainsi avec la piètre cuisine des cookies où tout est fait pour arracher le consentement de l’internaute.
C’est bien simple, selon le gendarme des données personnelles, la sollicitation ATT « offrirait aux utilisateurs un meilleur contrôle sur leurs données à caractère personnel en leur permettant, d’une part, d’exprimer leurs choix de manière simple et éclairée (sous réserve des éléments rappelés ci-dessus) et, d’autre part, en empêchant techniquement et/ou contractuellement aux éditeurs d’application de tracer l’utilisateur sans son autorisation. »
Une pratique abusive ?
Sur le terrain concurrentiel, les associations saisissantes estiment malgé tout qu’Apple « mettrait en œuvre des pratiques abusives sur le marché de la distribution d’applications sur iOS, en imposant aux développeurs d’applications l’utilisation d’une fenêtre non personnalisable destinée à recueillir le consentement des internautes, dans l’unique but de dissuader les utilisateurs de leur donner accès à leur IDFA, ce qui constituerait des conditions de transaction non équitables ».
Selon eux, la sollicitation ATT sera injustifiée et même redondante « dans la mesure où le RGPD et la directive e-Privacy garantissent déjà par ailleurs la protection de la vie privée des utilisateurs, en mettant à la charge des développeurs d’application le recueil du consentement de leurs utilisateurs ». De plus, les acteurs de la pub proposeraient déjà des règles aussi, voire plus efficaces que l’ATT d’Apple. Et ceux là de vanter évidemment le Transparency and Consent Framework, un standard de recueil du consentement proposé par l’IAB Europe.
D’autres reproches sont faits : il serait impossible pour un utilisateur de révoquer une autorisation accordée lors la sollicitation ATT. En outre, « s’agissant de ses propres services publicitaires, Apple exige que les utilisateurs se rendent dans les paramètres de l’iPhone pour y décocher certaines cases précochées s’ils ne souhaitent pas être soumis à ces publicités ciblées, ce qui serait contraire, selon les saisissantes, à la législation RGPD ». Une critique déjà entendue dans la plainte de France Digital devant la CNIL.
Ils ajoutent encore, toujours selon le résumé dressé par l’AdlC, « que le déploiement de la sollicitation ATT aura des conséquences importantes et négatives sur l’expérience utilisateur : celui-ci sera confronté à une multiplication des demandes de consentement, et risque à la fois d’être « perdu » et de vivre une mauvaise expérience sur l’application ».
Au final, la pop-up ATT viendrait « limiter la capacité des développeurs d’applications à réaliser de la publicité personnalisée et à mesurer l’efficacité des campagnes publicitaires pour les publicités d’installation d’applications ».
Alors qu'au même moment, et là est le cœur concurrentiel de leurs reproches, l’activité publicitaire d’Apple serait favorisée puisque reposant sur « Apple Search Ads ».
La baisse des revenus publicitaires, qui serait mécanique avec la pop-up ATT, devrait selon elles profiter à Apple dont le modèle d’affaires est basé sur le paiement des utilisateurs. « Apple aurait un avantage financier à encourager une telle évolution, dans la mesure où elle perçoit une commission de 30 % sur les achats d’application dans l’App Store ».
Selon les anticipations des saisissantes, le taux d’acceptation des utilisateurs sur la fameuse pop-up serait même entre 10 et 20 %. Elles craignent du coup « le risque d’un appauvrissement des applications disponibles, leur modèle de financement par la publicité ciblée étant remis en cause ».
Les mesures conservatoires sollicitées
C’est dans ce contexte qu’elles ont réclamé des mesures conservatoires :
- ne pas exiger l’utilisation de la fenêtre de sollicitation ATT pour obtenir l’autorisation de l’utilisateur pour le suivi en attendant la décision au fond de l’Autorité de la concurrence
- engager un dialogue constructif avec les acteurs du secteur afin de trouver une solution acceptable
Celles-ci considèrent donc en substance que la pop-up ATT « constitue un abus de position dominante, en ce qu’elle impose des conditions de transaction inéquitables [...] dans la mesure où cette sollicitation n’est ni nécessaire, ni proportionnée pour atteindre l’objectif de protection de la vie privée des utilisateurs poursuivi par Apple. »
Dans sa décision de 39 pages, l’Autorité va d’abord leur rappeler qu’un opérateur comme Apple, même dominant, est libre d’édicter des règles d’accès et de maintien sur sa plateforme.
Une conséquence du sacro-saint principe fondamental de la liberté du commerce et de l’industrie. Bien entendu, cette liberté a des limites : ne pas introduire de règles anticoncurrentielles.
Reprenant le champ lexical du Digital Markets Act, elle souligne que « ce principe de liberté commerciale s’applique également aux plateformes dites « structurantes », qui détiennent un pouvoir de marché considérable sur le marché sur lequel elles interviennent à titre principal, mais également sur des marchés voisins, en raison de leur statut de « contrôleur d’accès » (« gatekeeper »), dès lors que les règles conditionnant l’accès ou le maintien d’opérateurs économiques à ou sur ces plateformes n’ont pas pour objet ou pour effet de restreindre la concurrence »
Toute la question revient finalement à déterminer si les décisions prises par Apple sont à la fois nécessaires et proportionnées « pour remplir l’objectif poursuivi par l’entreprise dominante ou la réalisation de son objet social ».
La protection de la vie privée, dans l’ADN d’Apple
Apple a expliqué sur ce point que sa priorité est la protection de la vie privée, et d’offrir aux utilisateurs une protection sur la collecte et l’exploitation des données. « Apple fait aussi valoir que la protection de la vie privée est un élément inhérent à son image de marque et que le développement d’outils et de politiques, matériels et logiciels spécifiques vise à répondre aux attentes des consommateurs qui achètent ses produits ». Un rappel sans doute douloureux face à des acteurs dont le modèle d’affaires est le tracking des usages.
L’Autorité, au fil d’un petit historique, rappelle sur ce point qu’ « en 2005, Apple a mis en place un mode de navigation privé sur son navigateur Internet (Safari) pour permettre à ses utilisateurs de bloquer les cookies par défaut ». En 2017, rebelote : « Apple a mis en place le système « Intelligent Tracking Prevention » (« ITP », pour prévention de traçage intelligente) sur Safari pour détecter et supprimer les cookies tiers dans certaines circonstances ».
En somme, la mise en place de cette stratégie relève visiblement de la politique commerciale d’Apple, non de l’ADN d’une entreprise qui voudrait écraser les tiers et abuser de sa position. L’avis de la CNIL de décembre 2020 (dont Next INpact a demandé copie, au titre d’une demande CADA) témoignait de la neutralité de la démarche. « Les modalités de choix de la sollicitation ATT constituent un moyen simple, objectif et transparent, qui permet à l’utilisateur d’exprimer aussi facilement son refus que son consentement d’être suivi à des fins publicitaires, en donnant accès à son IDFA ».
Une pop-up qui fait peur (non)
Les géants de la pub ont été jusqu’à plaider que la pop-up Apple aurait « une tonalité inquiétante de nature à faire peur à l'utilisateur ». Affirmation qui n’a pas convaincu l’autorité : « La phrase décrit de façon objective la sollicitation ATT, sans dissuader, par sa formulation, l’utilisateur d’y répondre positivement ».
Et celle-ci de citer un passage de la délibération de la CNIL selon laquelle « la mention du suivi au sein des différentes applications et sites web utilisés par ce dernier et détenus par d'autres éditeurs est une information essentielle pour permettre à l'utilisateur de prendre conscience de l'ampleur potentielle de la collecte de données qui ira alimenter son profil à des fins publicitaires et donc d'être éclairé sur la portée de son choix ».
Quant à la liberté des utilisateurs d'effectuer un choix application par application, elle « permettra [...] aux applications qu’ils connaissent mieux et dans lesquelles ils ont le plus confiance, d’avoir des taux d’acceptation plus élevés en réponse à la sollicitation ATT ».
Ni excessif ni disproportionné
L’autorité relève encore que dans la partie de la pop-up pouvant être adaptée (cf capture), les développeurs pourront notamment « modifier librement la description de l’usage, composée d’un texte en caractères non gras, qui s’affiche en non gras dans la sollicitation ATT » ou « choisir le moment auquel la sollicitation ATT s’affiche, afin de maximiser la proportion de consommateurs qui souhaiteront être tracés ».
Petite leçon donnée aux mordus du tracking : « La sollicitation ATT mise en œuvre par Apple n’apparaît ainsi ni excessive, ni disproportionnée au regard des intérêts des consommateurs, qui souhaitent avoir le contrôle de l’utilisation de leurs données personnelles à des fins publicitaires, et des développeurs d’application, et ce alors qu’un grand nombre d’entreprises développant et exploitant des applications financent leurs services par le recours à la publicité personnalisée ».
Ni excessif ni disproportionné, le choix d’Apple n’est au surplus en rien « brutal » puisque cette petite révolution initialement prévue en septembre 2020 a été reportée à mars ou avril 2021 pour laisser aux développeurs le temps de s’adapter.
L’Autorité précise en outre que ce recueil de consentement ne vient pas se substituer à celui exigé par les responsables de traitement au titre de la collecte et de l’exploitation des données.
En somme, il s’agit d’une mesure complémentaire venant ajouter une protection supplémentaire. « En tout état de cause, les règles de concurrence n’interdisent pas à Apple de mettre en place son propre recueil du consentement, en complément des plateformes de consentement utilisées par les développeurs pour répondre aux exigences du RGPD, dès lors qu’une telle décision est guidée par l’objectif légitime de protéger la vie privée des utilisateurs ».
Une analyse partagée par la CNIL dans son avis du 17 décembre 2020 : « « la règlementation relative à la protection des données n’empêche pas la société Apple de mettre en œuvre un dispositif permettant d’interdire aux éditeurs d’application de tracer l’utilisateur sans consentement, d’autant plus lorsque celui-ci est imposé par la règlementation ». Qui considère que « le dispositif proposé par la société Apple permettrait aux éditeurs d’application, sous réserve d’intégrer les éléments d’informations légalement exigibles, que la CNIL a rappelés à l’article 2 de ses lignes directrices "cookies et autres traceurs", de collecter un consentement éclairé tel qu’exigé par la règlementation applicable ».
Pourquoi Apple peut elle-même échapper à l'ATT
L’Autorité ajoute une dernière précision : qu’Apple n’affiche pas la sollicitation ATT dans le cadre de son propre service publicitaire Apple Search Ads « ne permet pas, au regard des éléments produits aux débats, de conclure que cette mesure ne serait pas justifiée au regard de l’objectif de protection de vie privée mis en avant par Apple ».
Et pour cause : « Apple considère que la sollicitation ATT n’a pas à s’appliquer à son propre service publicitaire, dans la mesure où elle n’utilise pas des techniques de suivi individuel des internautes, Apple Search Ads se contentant d’utiliser un nombre limité de données propriétaires générées par l’utilisation des services d’Apple, afin de regrouper les utilisateurs par cohorte d’au moins 5 000 personnes ». C’est l’instruction au fond qui permettra de vérifier plus solidement ces éléments.
Le droit de la concurrence interdit également les pratiques abusives qui consistent à « subordonner la conclusion de contrats à l'acceptation, par les partenaires, de prestations supplémentaires qui, par leur nature ou selon les usages commerciaux, n'ont pas de lien avec l'objet de ces contrats ».
Dans la décision Google-Android, la Commission européenne soulignait que quatre conditions étaient nécessaires pour torpiller l’existence de telles obligations supplémentaires :
- Une entreprise dominante sur son marché
- Une obligation supplémentaire non liée à l’objet du contrat
- Une obligation supplémentaire sans alternative
- Une obligation supplémentaire susceptible de restreindre la concurrence
De son côté, l'AdlC considère en définitive que ces exigences ne sont pas sans lien, puisqu’il s’agit de permettre aux utilisateurs de « télécharger en toute confiance les applications dans l’App Store ».
Au bout du compte, elle estime que les associations n’ont pas apporté les preuves permettant de constater l’existence de pratiques anticoncurrentielles. Leur demande de mesures conservatoires est donc rejetée. Le dossier va se poursuivre au fond, mais dès à présent, cette première décision est susceptible d’appel.
