La croisade pas si dorée d’Apple pour la protection des données

La croisade pas si dorée d’Apple pour la protection des données

Par Gérard Haas et Marussia Samot 

La firme à la pomme se positionne depuis des années en fervente défenderesse de la vie privée de ses utilisateurs, allant jusqu’à défendre l’adoption d’un « RGPD américain ».

Multipliant les professions de foi et les campagnes publicitaires en faveur de la confidentialité, Apple différencie son modèle économique de celui de ses concurrents. Elle est en retour accusée par ces derniers de détenir un contrôle trop important sur sa boutique d’applications en ligne pour smartphone (« App Store »).

Qu’en est-il concrètement ?

De nouvelles fonctionnalités renforçant la protection de la vie privée des utilisateurs d’Apple

Apple adopte une approche Privacy by Design en chiffrant de bout en bout les données récupérées par ses applications et en sécurisant l’accès aux informations utilisateurs de la version payant de son Cloud. Dernièrement, la nouvelle version de son système d’exploitation iOS 14 améliore la démarche de transparence engagée auprès de ses clients.

Les développeurs d’applications sur l’App Store doivent désormais répondre à un questionnaire de confidentialité des données, à la soumission d’une application sur la boutique en ligne ou lors de sa mise à jour si elle se trouve déjà sur l’App Store. Il vise à signaler et justifier le type de données récoltées auprès des utilisateurs (contacts, localisation, etc.), ainsi qu’à les informer si ces données sont utilisées dans un but de traçage publicitaire ou pour remonter jusqu’à l’utilisateur.

Cette démarche permet aux applications de se doter d’une étiquette de confidentialité démontrant quelles données sont collectées et comment elles sont utilisées.

Elle introduit également l’App Tracking Transparency (ATT), imposant aux applications de demander la permission de l’utilisateur avant le suivi de ses activités ou l’affichage de publicités ciblées. Faute de quoi, le constructeur refusera de transmettre son IDFA[1] aux annonceurs. A noter que tout développeur avait auparavant la possibilité de suivre le comportement d’un utilisateur (heure et durée de connexion, suivi de navigation, adresse email éventuelle, etc.), non seulement sur sa propre application, mais aussi sur l’ensemble de celles installées sur l’iPhone ou l’iPad, afin de proposer par la suite de la publicité ciblée.

L’industrie de la publicité avait alors demandé que des mesures conservatoires soient prononcées à l’encontre d’Apple pour « pratique anticoncurrentielle », notamment face au risque d’une baisse des revenus de la publicité (Facebook) ou de la voir profiter à terme d’un passage à un modèle payant de ses applications, ce qui fut refusé par l’Autorité française de la concurrence.

L’utilisateur peut donc choisir de limiter la collecte de ses données personnelles.

Toujours est-il que l’App Store continue de distribuer des applications dont l’exploitation exige l’utilisation de nombreuses données personnelles pour fonctionner.

De plus, les experts mettent en garde contre cette nouvelle mise à jour de confidentialité pour iPhone pouvant s’avérer trompeuse. En effet, les informations fournies par les développeurs d’applications quant à l’utilisation des données personnelles ne sont pas encadrées par Apple ou une tierce partie.

Ces nouvelles fonctionnalités permettront tout de même de sensibiliser le grand public sur la manière dont leurs données à caractère personnel sont collectées.

Apple se démarque de la concurrence… mais poursuit avec elle sa stratégie d’économie de la donnée

Il y a quelques années, Apple se targuait de tirer la majorité de ses revenus de la vente de ses produits et non, contrairement aux entreprises concurrentes, de la publicité ciblée se servant de la collecte massive de données personnelles.

Elle a par exemple bloqué l’usage des cookies publicitaires de son navigateur web Safari avant que Google ne fasse de même avec Google Chrome.

Pourtant, l’entreprise n’est pas seulement un fabricant d’appareils, elle poursuit également une activité entièrement dédiée à la publicité.

Son activité de publicité ciblée use des données récoltées par l’entreprise, par le biais de ses nombreuses applications : courrier électronique, données bancaires, données d’utilisation, localisation… Cette publicité peut être d’autant plus affinée par la récolte de données utilisateurs tels que le sexe et l’âge de la personne concernée. iOS 14 restreint désormais la capacité à produire de la publicité ciblée puisque l’utilisateur doit fournir son consentement. Toutefois, cette bonne pratique ne semble concerner que les applications dites « tierces ».

En mars 2021, l’association France Digitale, réunissant plus de 1800 startup, a déposé plainte auprès de la CNIL au motif que la publicité ciblée fournie par Apple sur ses applications affiliées était activée par défaut, sans faire l’objet d’un consentement spécifique en amont conformément au RGPD, et ce malgré l’arrivée de l’App Tracking Transparency. L’association remarque qu’Apple instaure une distinction entre les applications provenant d’entreprises affiliées à sa plateforme (Bourse, App Store) et les applications « tierces », relevant de fait du dispositif de l’ATT. La CNIL s’est reconnue compétente en Juillet 2021 et a transmis cette plainte à l’autorité de protection des données irlandaise, saisie d’une plainte similaire. Les deux autorités s’apprêtent désormais à instruire la possible violation par Apple du droit d’opposition de l’utilisateur (Art. 82 de la loi Informatique et Libertés ; Art. 21 du RGPD).

En outre, Google paye Apple entre 8 et 12 milliards de dollars par an pour que son moteur de recherche soit installé par défaut sur Safari, ce qui soulève aujourd’hui d’importantes interrogations antitrust puisque le géant de Mountain View est soupçonné d’abus de position dominante sur le marché. Google démontre de son côté, sur son site The Keyword, qu’il est aisé de changer de moteur de recherche sur Safari, d’autant plus que les autres membres de la Big Tech installent de manière semblable leurs services par défaut sur des systèmes d’exploitation tiers.

Les critiques ne sont pas en reste : Apple finance en effet une entreprise qu’elle a, à de nombreuses reprises, accusée d’être aux antipodes des valeurs de confidentialité et de transparence qu’elle défend publiquement auprès de ses utilisateurs.

En échange de cette importante source de revenus, Apple permet à Google de récolter les données de ses utilisateurs.

Cet accord permet également à Apple d’user sur son moteur de recherche du référencement payant SEA (« Search Engine Advertising »), permettant d’insérer des sites Internet sponsorisés en première page afin d’augmenter leur visibilité par l’utilisateur.

Apple semble toutefois être en phase de développer son propre moteur de recherche afin de ne plus avoir à dépendre de Google, notamment en raison des récentes poursuites judiciaires dont il ferait l’objet.

Une sécurité des données à géographie variable : le Golden Gate chinois

Selon le vice-président senior de l’ingénierie logicielle d’Apple Inc., Craig Federighi, « Les gouvernement ont un rôle à jouer dans la protection de la vie privée. Ils peuvent fournir de la régulation et des règles, mais nous, en tant que créateurs de logiciels et fabricants de plateformes, nous avons les outils pour concrétiser ces idées. ».

Les gouvernements et coopérations régionales peuvent donner le ton en matière de traitement des données à caractère personnel, en instaurant des exigences d’encadrement protectrices de la vie privée et des droits fondamentaux.

Le gouvernement de Pékin semble de son côté avoir pour préférence de pouvoir bénéficier d’un large accès aux données personnelles d’utilisateurs d’Apple stockées en Chine.

Le groupe Apple se soumet à la législation locale du pays dans lequel la marque est implantée. Or, en Chine, la loi relative à la protection des données personnelles, entrée en vigueur le 1er Juin 2017, dispose que les données des citoyens chinois soient stockées en Chine afin d’empêcher qu’une puissance étrangère ne puisse y avoir accès.

Apple avait le choix entre ne pas céder aux pressions chinoises ou faire une croix sur l’un de ses plus grands marchés (avec lequel elle réalise un cinquième de son chiffre d’affaires et y assemble la quasi-totalité de ses produits).

Par conséquent, en 2017, Apple a passé un accord avec les autorités locales en cédant les données de ses clients chinois à Guizhou-Cloud Big Data (GCBD), une société appartenant au gouvernement de la province de Guizhou. La firme fait preuve de transparence envers ses utilisateurs en désignant GCBD comme fournisseur de service dans ses CGU.

Ce sont donc les données personnelles de plus de 300 millions d’utilisateurs d’iPhones actifs qui sont disponibles en accès libre par les autorités chinoises.

Selon une investigation du New York Times, Apple a désormais accepté pour 1 milliard de dollars que les clés de chiffrement de son iCloud chinois soient stockées en Chine, dans un nouveau Data Center, ouvert en Juin 2021 dans le sud-ouest de la région de Guiyang. Cela permet notamment que les autorités chinoises gardent la main sur les informations de leurs citoyens et que leur accès par les services de police soit facilité. Ces clés sont habituellement stockées sur des appareils HSM ultra-sécurisés fournis par l’entreprise Thales. Il est alors évident que cette situation affaiblit grandement la sécurité des données personnelles des utilisateurs chinois.

Aucune alternative de protection n’est pour le moment à concevoir, puisque l’entreprise a également retiré de son App Store des milliers d’applications étrangères, dont des VPN, à la demande du gouvernement chinois.

Les développeurs et éditeurs d’applications européens se conforment quant à eux à la nouvelle politique de confidentialité d’Apple et au RGPD, en faisant preuve de transparence quant à la manière dont sont collectées et utilisées les données personnelles des utilisateurs.

* * * 

Fort d’une expérience de plus de 20 ans dans le domaine du droit des nouvelles technologies et de la communication, le cabinet Haas Avocats dispose de départements entièrement dédiés au droit de la concurrence et à la régulation économique.

Le Cabinet est naturellement à votre entière écoute pour toutes problématiques que vous pourriez rencontrer. Pour plus d’informations ou toute demande de rendez-vous, contactez-nous ici.

 

[1] IDFA : identifiant unique fournit par iOS et servant aux annonceurs à connaître le profil et les centres d’intérêts de l’utilisateur sur son smartphone.

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin