Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
retour
Ciblage publicitaire et applications mobiles : sanction de 150 millions d’euros pour un abus de position dominante d’Apple
Article IT et données personnelles Droit de la concurrence, consommation et distribution | 02/04/25 | 9 min. | Renaud Christol Florence Chafiol Maëva Ammel Alexandra Antalis
Tech & Digital
Le 28 mars 2025, l’Autorité de la concurrence (« l’Autorité ») a infligé une amende de 150 millions à Apple pour avoir, entre avril 2021 et juillet 2023, abusé de sa position dominante dans le secteur de la distribution d’applications mobiles sur les terminaux iOS et iPadOS (Décision n° 25-D-02 du 28 mars 2025).
Un dispositif controversé depuis 2020
En juin 2020, afin de renforcer la protection des données personnelles de ses utilisateurs Apple a annoncé la mise en place du dispositif App Tracking Transparency (« ATT »). Lorsque le détenteur d’un iPhone utilise une application téléchargée via l’App Store, ATT déclenche l'apparition d'une fenêtre qui sollicite son consentement pour la collecte et le partage de ses données personnelles sur des applications tierces dans l'écosystème iOS et iPadOS exploité par Apple. Une fois le consentement recueilli, l'application peut accéder à l'Identifier for Advertisers (IDFA), un identifiant du terminal qui permet le suivi de l'utilisation des applications et sites tiers.
Le 23 octobre 2020, plusieurs associations qui représentent les différents acteurs du secteur de la publicité en ligne ont saisi l’Autorité d’une demande de mesures conservatoires à l’encontre d’ATT.
Elles estimaient, d’une part, que la sollicitation ATT était redondante et superflue, car l’obligation de recueil du consentement pèse déjà sur les développeurs d’application en vertu des dispositions du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») et de la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (« Directive e-Privacy ») transposée en France à l’article 82 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »).
Elles considéraient, d’autre part, que la mise en œuvre d’ATT revenait à imposer des obligations supplémentaires indues aux développeurs d’applications en violation de l’article 102 du TFUE.
En conséquence, elles demandaient la suspension de l’entrée en vigueur d’ATT et la mise en place d’un dialogue constructif entre Apple et les acteurs du secteur afin de trouver une solution acceptable pour recueillir le consentement de l’utilisateur en vue de son suivi publicitaire.
En 2021, l’Autorité a rejeté la demande de mesures conservatoires et ordonné la poursuite de l’instruction au fond
Dans un avis du 17 décembre 2020 (non publié sur Légifrance), la CNIL a estimé, sur demande de l’Autorité, que la sollicitation ATT offrait aux utilisateurs un moyen d’exprimer leurs choix de manière simple et éclairée et qu’un tel mécanisme empêchait les éditeurs d’application de tracer les utilisateurs sans consentement. En effet, la CNIL a considéré que dans l’hypothèse où les éditeurs d’application collectaient mal ou ne collectaient pas le consentement des utilisateurs pour réaliser de la publicité ciblée, cet outil permettait de s’assurer qu’un consentement conforme aux exigences posées à l’article 4, paragraphe 11 du RGPD soit tout de même collecté permettant de rendre licite le suivi publicitaire réalisé par les éditeurs d’application.
L’Autorité a ensuite estimé que la mise en œuvre d’un dispositif de recueil du consentement complémentaire à celui mis en place par d’autres acteurs de la publicité en ligne, n’apparaissait pas en elle-même abusive, dès lors :
- qu’une entreprise, même si elle est en position dominante ou peut être regardée comme une plateforme structurante, dispose d’une liberté de principe pour fixer des règles d’accès à ses services, sous réserve de ne pas méconnaître les lois et règlements applicables, notamment la prohibition des pratiques anticoncurrentielles ;
- que la réglementation applicable en matière de protection des données personnelles (RGPD et la Directive e-Privacy) ne s’oppose pas à la mise en place d’un tel dispositif car il n’impose aucune obligation dépourvue de nécessité ou de proportionnalité, et qu’il peut faciliter, pour l’utilisateur, la maîtrise de l’utilisation qui est faite de ses données personnelles.
Le 17 mars 2021, l’Autorité a rejeté la demande de mesures conservatoires mais elle a poursuivi l’instruction du dossier au fond pour vérifier que la mise en place par Apple de la sollicitation ATT ne constituait pas une forme de discrimination.
L’instruction au fond a révélé que la mise en œuvre du dispositif ATT n’est ni nécessaire ni proportionnée
L’imposition par Apple, opérateur dominant sur le marché de la distribution d’applications mobiles sur iOS, de règles de protection des consommateurs en sus de celles imposées par la réglementation applicable en matière de protection des données personnelles est conditionnée à la poursuite d’un objectif légitime.
Au terme de son instruction, l’Autorité considère, à l’instar de la CNIL dans son avis de 2020 précité, qu’ATT n’est pas critiquable en soi au regard des bénéfices qu’il est susceptible d’apporter aux utilisateurs en matière de protection de leur vie privée. En revanche, elle estime que les modalités de mise en œuvre concrètes de ce dispositif sont abusives au sens du droit de la concurrence, notamment parce qu’elles compliquent artificiellement le parcours des utilisateurs d’applications tierces et faussent la neutralité du dispositif au détriment des petits éditeurs qui tirent leurs revenus de la publicité. En effet, ce dispositif s’avère particulièrement néfaste pour les plus petits d’entre eux qui, en l’absence de données propriétaires en nombre suffisant, ne bénéficient pas de la possibilité de réaliser de la publicité ciblée par le biais de méthodes alternatives aux cookies tiers pour le ciblage publicitaire.
C’est également ce que la CNIL avait souligné dans son second avis sur cette affaire, formulé en 2022 à la demande de l’Autorité (non publié sur Légifrance). Elle avait estimé que le fait de conduire les éditeurs à devoir recueillir systématiquement deux fois l’accord de l’utilisateur à la même finalité constituait une complexité inutile et artificielle.
Par ailleurs, l’Autorité affirme que ce dispositif n’est pas nécessaire car il ne permet pas le recueil d’un consentement valable au sens de l’article 4, paragraphe 11 du RGPD. En pratique, la circonstance que les éditeurs qui le souhaiteraient ne peuvent s’appuyer sur la sollicitation ATT pour se conformer à leurs obligations légales les contraint à devoir continuer à recourir à leurs propres solutions de recueil du consentement, appelées consent management platform ou « CMP ». Cette situation entraîne une prolifération des fenêtres de recueil de consentement qui complique considérablement le parcours des utilisateurs d’applications tierces dans l’écosystème iOS. Cette problématique avait d’ores et déjà été relevée par la CNIL dans son avis précité.
En outre, pour l’Autorité, les règles qui encadrent l’interaction entre les différentes fenêtres portent atteinte à la neutralité du dispositif. Si le refus d’une opération de traçage publicitaire ne doit être effectué qu’une fois, l’acceptation d’une telle opération doit, quant à elle, toujours être confirmée une seconde fois par l’utilisateur. Cette asymétrie empêche le recueil d’un consentement éclairé, qu’ATT est pourtant censé favoriser. Ces inconvénients ont causé un préjudice aux éditeurs d’applications et aux fournisseurs de services publicitaires alors qu’ils auraient pu être évités si les modifications recommandées par la CNIL avaient été effectuées.
Enfin, l’Autorité constate une asymétrie de traitement entre celui qu’Apple se réservait et celui qu’elle appliquait aux éditeurs. Alors que ces derniers devaient recueillir un double consentement auprès des utilisateurs pour les opérations de suivi sur les sites et applications tiers, Apple ne demandait pas le consentement des utilisateurs pour ses propres applications. Cette circonstance a d’ailleurs conduit la CNIL à infliger une sanction à Apple pour manquement à l’article 82 de la Loi Informatique et Libertés (Délibération de la formation restreinte n°SAN-2022-025 du 29 décembre 2022).
Nouvel exemple de collaboration entre l’Autorité et la CNIL
Dans cette affaire, l'Autorité a sollicité et obtenu deux avis de la CNIL sur des questions d'application de la réglementation en matière de protection des données personnelles soulevées par cette affaire, qu'elle a pris en considération dans son analyse concurrentielle. Il est indéniable que la collaboration entre les deux autorités est particulièrement fluide.
Cette collaboration fonctionne dans les deux sens, particulièrement depuis les engagements qu’elles ont pris dans leur déclaration conjointe signée en décembre 2023 intitulée « Protection des données et concurrence : une ambition commune ». Ainsi, en septembre 2024, après avoir été sollicitée par la CNIL pour avis, l’Autorité a rendu un avis sur un projet de recommandation relatif aux applications mobiles.