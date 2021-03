Apple n’est peut-être pas le champion de la protection des données privées qu’il prétend être. C’est du moins ce qu’assure l’association de start-up France Digitale, qui a saisi la Commission nationale de l'informatique (Cnil) et des libertés d’une plainte inédite contre le fabricant d’iPhone. Une affaire qui en dit long sur l’état du rapport de force entre les géants du numérique et le commun des acteurs du Web.

D'habitude, ce sont Facebook ou Google qui sont épinglés pour leurs pratiques discutables de collecte de données personnelles. Une fois n'est pas coutume : c'est au tour d'Apple – qui se targue pourtant d'être un champion de la protection de la vie privée – d'être mis en cause sur ce terrain par l'association France Digitale.

L'organisation, qui représente 2 000 start-up françaises, a déposé plainte, mardi 9 mars, contre la marque à la pomme auprès de la Commission nationale de l'informatique et des libertés (Cnil) au motif que le géant américain piétinerait le règlement général (européen) sur la protection des données (RGPD) avec sa politique de publicités personnalisées sur les iPhone.

Deux poids, deux mesures ?

Concrètement, depuis la dernière mise à jour du célèbre smartphone fin 2020, le possesseur-utilisateur d'iPhone est présumé avoir consenti à la collecte de données personnelles par Apple pour la diffusion de publicités ciblées au sein de ses propres applications (AppStore, Bourse, News, etc.). Pour s'y opposer, il faut parcourir les réglages de confidentialité dans les paramètres du téléphone et désactiver la collecte par défaut des informations pour les publicités Apple.

Ce qui ne serait pas très "RGPD-friendly" selon France Digitale. L'association estime qu'Apple contrevient ainsi "à l'article 7 du règlement européen, qui prévoit que le consentement doit être libre, spécifique, éclairé et univoque", résume Sylvain Staub, PDG de la start-up Data Legal Drive et avocat spécialisé dans les questions de protection des données pour le cabinet DS Avocats, contacté par France 24.

"Nous portions Apple très haut dans notre estime. Mais il applique le principe du 'faites ce que je dis, pas ce que je fais'. C'est une forme d'hypocrisie qui nous déçoit beaucoup", assure Nicolas Brien, directeur de France Digitale, interrogé par Le Figaro.

L'association est d'autant plus remontée qu'Apple s'apprête à déployer l'App Tracking Transparency (ATT), un nouveau dispositif pour limiter le "traçage" publicitaire par les applications tierces. Au printemps, ces dernières devront obligatoirement recueillir le consentement des utilisateurs avant de transférer les données personnelles à des partenaires, comme les régies publicitaires. "Ce qui est reproché à Apple, c'est d'instaurer un système de 'deux poids, deux mesures'. Les applications tierces seront soumises à l'ATT tandis que celles qui sont affiliées à Apple ne le seront pas", souligne Sylvain Staub. Pour France Digitale, c'est de la "distorsion de concurrence" pure et simple.

Que nenni, rétorque, très remonté, Apple. "Les allégations de la plainte sont notoirement fausses et constituent une piètre tentative par ceux qui tracent les utilisateurs de détourner l'attention et de tromper les régulateurs", a réagi la marque à la pomme dans un communiqué. Elle affirme ne pas partager les informations collectées avec des tiers, ce qui la mettrait automatiquement en conformité avec l'ATT.

En outre, Apple ne ciblerait pas chaque individu séparément, mais par groupe d'au moins 5 000 utilisateurs (par tranche d'âge, par type d'applications téléchargées, par sexe, etc.). La collecte de données serait ainsi anonyme, "ce qui ferait que le RGPD ne s'applique pas", note Sylvain Staub. Mais encore faut-il savoir, d'après cet expert, "dans quelle mesure il n'est pas possible ensuite de réindividualiser la donnée, auquel cas les règles européennes sont bel et bien applicables". C'est l'une des questions centrales que la Cnil devra trancher.

Les nouveaux "prolétaires du Web"

Mais l'offensive des start-up françaises est aussi l'expression à l'échelle nationale d'un combat mondial pour l'argent de la publicité en ligne. D'un côté, un nombre grandissant de pays adoptent des réglementations pour réduire la possibilité de monétiser ce que les internautes font en ligne. Le Brésil ou le Japon se sont notamment inspirés du RGPD européen pour leur propre législation sur la protection des données.

De l'autre, "Apple et Google cherchent de plus en plus à récupérer l'information publicitaire par le biais du compte utilisateur et non plus des cookies (les petits programmes de traçage publicitaire ), au détriment de Facebook et des petits éditeurs de contenus", souligne Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP).

C'est l'une des raisons pour lesquelles Google a annoncé l'abandon progressif des cookies tiers sur son moteur de recherche, mais aussi aussi pourquoi Apple a introduit les modifications qui irritent tant France Digitale. Les deux géants pensent obtenir toutes les données utiles pour les publicités ciblées par le biais des comptes permettant d'accéder à leurs services, et ne laisser que des miettes à ceux qui n'ont que les cookies pour se rémunérer.

Les belles paroles de Google oud' Apple sur des pratiques publicitaires plus respectueuses de la vie privée leur permettraient surtout d'imposer leurs conditions à d'autres acteurs du Web, obligés de quémander leur part des revenus publicitaires. "Ce serait un nouveau rapport dominants-dominés", juge le président de l'AFCDP. Les start-up françaises ne se battraient ainsi pas seulement pour une poignée de cookies, mais aussi "pour ne pas devenir les nouveaux prolétaires du monde digital au service des Gafam", assure Paul-Olivier Gibert.

C'est pourquoi l'action de France Digitale auprès de la Cnil est importante à ses yeux. Elle permettra de savoir si les règles du RGDP peuvent faire barrage à cette évolution. L'association française de start-up ne dit d'ailleurs pas autre chose lorsqu'elle demande que des géants comme Apple soient traités au même titre que le commun des acteurs du Web. "Pas une semaine ne passe sans que l'un de nos adhérents ne soit contrôlé par la Cnil ou un autre gendarme européen. […] À quoi servent les réglementations européennes si elles ne sont appliquées qu'aux petits acteurs ?", s'indigne Nicolas Brien dans Le Figaro.

Reste à savoir ce que la Cnil peut faire. Si certaines amendes paraissent lourdes – comme les 100 millions d'euros que Google doit payer –, elles ne le sont pas vraiment pour ces mastodontes du Web.

Mais peut-être que cette plainte est aussi une manière d'attirer l'attention du gouvernement français sur ce problème. Après tout, c'est la France qui doit prendre la présidence de l'UE au premier semestre de 2022.

