Apple plus fort que le RGPD ?
Par Henri Leben, avocat à la Cour et chargé d'enseignement
Depuis le 26 avril dernier, difficile d'échapper à l'App Tracking Transparency déployée par Apple. App Tracking Transparency ou "ATT", trois initiales pour désigner le processus désormais imposé par Apple aux éditeurs d'applications, pour garantir aux utilisateurs un meilleur contrôle sur leurs données personnelles. Les utilisateurs d'Apple ont ainsi sûrement remarqué qu'après le téléchargement d'une nouvelle application, une première fenêtre apparaît, sur laquelle ils sont invités à confirmer qu'ils acceptent de partager leurs données avec l'éditeur de l'application. Une fois leur choix validé, une nouvelle pop-up s'inscrit sur l'écran de leur téléphone. La pop-up leur demande s'ils acceptent que leurs données fassent l'objet d'un suivi (tracking) lors de leur navigation sur d'autres applications ou sites, et soient utilisées pour leur proposer de la publicité personnalisée.
Côté utilisateur, cette nouvelle politique mise en place par Apple semble évidemment aller a priori dans le bon sens. Elle favorise la transparence, et permet de s'assurer que les données personnelles sont utilisées avec le consentement exprès des personnes concernées. D'ailleurs, l'ATT ne correspond-elle pas tout simplement à l'exécution par Apple des obligations issues du RGPD ? Après tout, Apple, en tant que fournisseur d'une plateforme de contenus en ligne se doit de s'assurer que les éditeurs qui utilisent ses services respectent la réglementation.
Généralement, la société qui gère la plateforme se contente de rappeler à ses clients (dans le cas d'Apple, les éditeurs d'applications), qu'en acceptant ses conditions générales, ils lui garantissent respecter la réglementation. Avec l'ATT Apple a donc été plus loin. Non seulement elle exige de ses clients qu'ils respectent le RGPD, mais en plus elle leur impose les modalités qu'ils doivent mettre en oeuvre pour se conformer à la réglementation européenne.
Or, cette approche est en réalité extrêmement problématique. La situation des éditeurs d'application n'est en effet pas uniforme et la politique d'Apple, paradoxalement, peut entraîner un risque tant pour les éditeurs que pour les utilisateurs eux-mêmes.
Exemple d'écran et pop-up Apple
Un parcours utilisateur mal conçu
Trop d'informations, tue l'information. Ce n'est un secret pour personne, si l'utilisateur doit valider de nombreuses mentions avant d'accéder au contenu de l'Application, il risque tout simplement de se lasser et ne pas aller jusqu'au bout du processus. Sans compter que la présence de trop d'informations a un effet nettement décourageant, et loin de permettre à l'utilisateur de donner un accord éclairé, celui-ci risque de valider l'intégralité des clauses qui lui sont soumises, sans même prendre la peine de lire leur contenu.
Et pourtant, avant d'accéder à une application et de commencer à l'utiliser, l'utilisateur doit - ou en théorie devrait - prendre connaissance des conditions générales applicables et les valider.
Il doit également donner son accord sur la politique applicable en matière de données personnelles. Et cet accord ne porte pas uniquement sur la question du tracking. Le RGPD exige en effet un accord beaucoup plus complet (accord sur la finalité du traitement, sur la durée de conservation, sur les personnes destinataires des données, sur la manière d'exercer ses droits d'accès, de rectification et d'effacement, sur l'existence d'un recours devant les autorités de contrôle, etc.).
On le voit, l'écran et la pop-up d'Apple sont ainsi loin de permettre à eux-seuls à l'éditeur de respecter ses obligations en matière contractuelle (absence de CGV) et en matière de RGPD (non-validation de la politique de confidentialité).
Bien évidemment, rien n'interdit d'insérer des fenêtres additionnelles lors du téléchargement de l'application, mais il est peu probable que les utilisateurs aient la patience de valider plus de deux fenêtres de contenu légal.
Les éditeurs se retrouvent ainsi contraints d'appliquer les nouvelles règles issues de l'ATT mais risquent, au détriment des utilisateurs, de renoncer aux règles pourtant obligatoires de validation des CGV et de la politique de confidentialité.
En outre, Apple n'a visiblement choisi que le consentement, comme base légale des traitements de données effectués par les éditeurs. Pour rappel, un traitement de données ne peut être effectué que s'il a une base légale, celle-ci pouvant être constituée soit par le consentement de la personne concernée, soit par l'existence d'un contrat dont l'exécution nécessite le traitement des données, par l'intérêt légitime du responsable de traitement ou encore, par une obligation légale. Une application chargée de gérer un traitement qui repose sur une obligation contractuelle ou sur l'intérêt légitime se retrouve ainsi à devoir solliciter le consentement de l'utilisateur, consentement qu'elle n'est pas censée requérir. Inversement, elle risque de se retrouver en difficulté pour solliciter la validation des CGV, alors même que celle-ci est indispensable légalement.
Un modèle à risque
Le modèle mis en place par Apple n'est ainsi satisfaisant pour personne. Ni pour les utilisateurs, ni pour les éditeurs, ni d'ailleurs pour Apple. Apple est en effet en situation duopolistique sur le marché des applications. Il est donc difficile de se passer de ses services. Les éditeurs se retrouvent ainsi contraints de publier leurs applications en ligne sur l'App store en appliquant les dispositions de l'ATT, alors-même que celles-ci sont susceptibles de présenter des écarts avec le RGPD.
Apple a-t-elle vraiment intérêt à ce qu'un éditeur qui se retrouverait pris en défaut pour non-respect du RGPD ou du droit des contrats, se justifie en invoquant le besoin de privilégier les règles de l'ATT au détriment ses obligations légales ?
De manière générale, il est opportun de se demander si c'est vraiment à Apple de déterminer les modalités d'application du RGPD sur les applications qu'elle distribue, ou si son rôle devrait se limiter à exiger des éditeurs qu'ils soient en mesure à tout moment de démontrer qu'ils respectent la règlementation.
La situation actuelle semble aboutir à ce résultat paradoxal où une des sociétés qui collecte le plus de données dans le monde, se retrouve en situation de dicter à des dizaines de milliers d'éditeurs la manière dont ils doivent respecter la règlementation.
Aux autorités légales d'être vigilantes et de rappeler à Apple qu'elle ne peut être juge et partie à la fois.
Henri Leben
Avocat à la Cour et chargé d'enseignement
Leben Avocats
Virtual-DPO