Apple a attendu le Data Privacy Day pour en dire enfin davantage sur les mesures qui entreront bientôt en vigueur pour donner plus de contrôle aux utilisateurs sur la collecte de données personnelles. Un mécanisme simple, sans révolution, mais suffisamment efficace pour que Facebook monte au créneau.
Lors de la WWDC de juin 2020, Apple avait préparé le terrain. On attendait ainsi deux grandes mesures. Dans un premier temps, l’arrivée de renseignements supplémentaires dans les fiches d’applications sur l’App Store, centrées sur les données consommées. Mais pas n’importe lesquelles : celles pouvant faire le lien avec l’identité de la personne, les fameuses données personnelles. Ces informations sont présentes depuis le 1er janvier.
Dans un second temps, une demande faite à l’utilisateur pour accéder à son IDFA (Identifier for Advertisers), pour chaque application. L’IDFA est l’identifiant d'iOS permettant un suivi transversal des habitudes, donc à travers l’ensemble des applications. Il permet la collecte de données personnelles tierces et ainsi la personnalisation renforcée des espaces publicitaires. Le tout est réuni sous l’appellation App Tracking Transparency, ou ATT.
C’est justement l’objet de la communication d’Apple hier soir : annoncer la couleur.
L’autorisation d’accès « au début du printemps », son fonctionnement
Si Apple n’a pas fourni de date précise pour sa mise en place, on sait désormais que la demande d’autorisation sera active au début du printemps. Elle arrivera par le biais d’une mise à jour d’iOS qui doit arriver prochainement en bêta. Il s’agira probablement de la mouture 14.5, la 14.4 étant disponible depuis peu.
Avec l’installation de cette future version, le comportement du système sur l’IDFA sera inversé : on passe d’un opt-out à un opt-in. En conséquence, chaque application lancée pour la première fois après la mise à jour et souhaitant accéder à cet identifiant devra en faire la demande. Si la personne interrogée refuse, l’accès à l’IDFA est bloqué.
C’est un changement important vis-à-vis des données personnelles tierces, dont l’aspiration se fera uniquement avec l’accord de l’utilisateur. Elles sont placées par iOS au même niveau que le micro, les contacts ou l’appareil photo, c’est-à-dire protégées par une notification et un consentement clair, dans l'esprit de lois comme le RGPD.
Apple a d'ailleurs publié un document montrant comment, depuis un cas pratique, deux personnes diffusaient leurs données personnelles sur Internet.

Mais attention : refuser l’accès à l’IDFA ne signifie pas qu’une application ne récoltera plus de données personnelles. On parle bien de données tierces, donc récoltées à travers les autres applications et services.
Pour prendre l’exemple de Messenger, à la fiche descriptive de vie privée copieusement garnie, rien ne l’empêchera d’aspirer les données des utilisateurs au sein de son propre périmètre. Notez également qu’il sera possible de couper complètement l’utilisation de l’IDFA dans les paramètres.
Dans ce cas, plus aucune application ne pourra y accéder et ne génèrera donc de demande.
Le réglage valable pour les applications Apple, un nouveau cadre proposé
Plusieurs points sont à préciser. D’une part, les propres applications d’Apple seront soumises à ce mécanisme, l'entreprise le confirme. Non que ce soit particulièrement utile actuellement, puisque son modèle commercial ne repose pas sur la collecte de données personnelles et la publicité. Nous reviendrons sur ce point.
D'autre part, Apple explique que les éditeurs et régies publicitaires peuvent se passer entièrement de l’IDFA et donc ne pas être soumis à la nouvelle demande d’autorisation ? En passant par SKAdNetwork, un cadriciel (framework) conçu pour remonter tout un ensemble d’informations aux régies, sans en dire trop.
Dans le système actuel, l’IDFA sert à repérer l’ensemble des évènements. Si un utilisateur clique sur une publicité, la régie le sait. Et si le même identifiant lance l’application promue, la régie en est tout aussi informée. Ce qui permet de créer un profil d’habitudes et de savoir s’il y a eu conversion. Avec SKAdNetwork, ces données sont collectées par iOS et l’App Store, puis transformées en statistiques anonymes. La régie a les informations qu’elle voulait – une personne a cliqué sur une publicité puis a lancé l’application – mais elle ne peut plus savoir de qui elles proviennent.
L'un des problèmes pourrait être là : la solution proposée par Apple aux publicitaires pour ne pas avoir à récolter un consentement est une solution Apple. Des alternatives seront-elles possibles ?
Le secteur de la publicité, qui a tout misé sur la collecte massive de données ces dernières années, faisant tout pour préserver ce modèle sans réellement travailler à des alternatives crédibles, se fait ainsi prendre à son propre piège : déjà préoccupé par les géants américains qui captent l'essentiel de la valeur, il a laissé l'opportunité à un autre acteur de le prendre en tenaille sur le terrain du respect de la vie privée qu'il a refusé d'investir sérieusement.
Et dans la bataille qui s’annonce, Apple a déjà un allié de poids : Google. Dans une note parue hier soir, la société informe les développeurs de l’arrivée prochaine de l’ATT. Elle leur recommande chaudement de passer à la version 7.64 de son SDK Mobile Ads, qui supporte justement SKAdNetwork. À Mountain View, on précise quand même travailler avec le reste de l’industrie pour « fournir à Apple des retours sur la manière d’améliorer encore SKAdNetwork afin que les publicitaires puissent mesurer précisément leurs campagnes sur iOS 14 ».
Cela étant, Google fait une autre annonce : à compter de l’activation de l’ATT, ses propres applications ne se serviront plus de l’IDFA, mais bien de SKAdNetwork. En conséquence, les applications Google n’afficheront aucun avertissement. Cela ne changera rien à la manière dont Google collecte des données au sein de ses propres services. Et l’entreprise de rappeler qu’elle place toujours les utilisateurs et leur vie privée en premier, et que «la transparence, le choix et le contrôle forment le socle de [son] engagement ». Elle en profite pour mentionner sa Privacy Sandbox, mais étrangement pas son veto récent à une importante décision du W3C.
Facebook ne décolère pas
On sait tout le mal que Facebook pense des nouvelles mesures d’Apple depuis des mois. En fin d’année dernière, le réseau social a publié une longue explication sur l’effet néfaste qu’elles vont entrainer, Facebook se positionnant alors en défenseur des particuliers et des petites et moyennes entreprises.
Durant la présentation des derniers résultats trimestriels, Marc Zuckerberg est revenu à la charge, indiquant pour la première fois qu’Apple devenait l’un de ses « plus gros concurrents ». Mais concurrence ou pas, il est clair pour lui qu’Apple abuse ses clients avec des arguments trompeurs, sous couvert de promouvoir la vie privée.
« Apple peut toujours dire qu'elle fait cela pour aider les gens, mais cette mesure est clairement prise dans son propre intérêt », a ainsi déclaré le patron de Facebook. Pourquoi ? Il ne détaille pas, mais l’explication n’est pas un mystère : les données personnelles ne sont pas utiles à Apple, dont le chiffre d’affaires ne dépend pas de la publicité. Contrairement à Facebook, chez qui elle représente environ 96 % des revenus.
Il est d’autant plus facile pour Apple de lancer des mesures qui vont à la fois promouvoir sa vertu et faire des dégâts à ses concurrents. Mark Zuckerberg reprocherait-il finalement à son concurrent de s’être emparé avec cynisme d’une armure de chevalier blanc ?
Décidé à renvoyer Apple dans les cordes, Facebook continue : « Apple a lancé récemment ses « informations nutritionnelles » qui se concentrent en grande partie sur les métadonnées que les applications collectent, plutôt que sur la vie privée et la sécurité des messages des gens, mais iMessage stocke des sauvegardes non chiffrées de bout en bout de vos messages par défaut, à moins que vous ne désactiviez iCloud ».
Hormis l’étrange décorrélation faite entre métadonnées et vie privée, Zuckerberg a raison sur iMessage. La situation est cependant connue depuis longtemps : dès lors qu’iCloud est activé, le service réalise des sauvegardes des données des appareils sur les serveurs d’Apple. Elles ne sont protégées que par un chiffrement simple, donnant à Apple la possibilité d’y prélever des informations en cas d’enquête.
Le sujet avait été copieusement mis en lumière après la tuerie de San Bernardino : le FBI exigeait d’Apple qu’elle débloque les données de l’iPhone, car le terroriste qui l’avait utilisé avait coupé iCloud. Zuckerberg enfonce le clou, ajoutant que le chiffrement de bout en bout de WhatsApp rend ce dernier « clairement supérieur » à iMessage. La messagerie d’Apple semble être curieusement un point de cristallisation pour le patron de Facebook, qui n’évoque pas les échanges sur Messenger, alors que le réseau social est utilisé par 2,8 milliards de personnes dans le monde.
Rappelons quand même que Facebook a récemment averti lui aussi les développeurs et partenaires de la nécessité de se préparer au changement en approche. Ses SDK ont été mis à jour pour prendre en charge SKAdNetwork.