ADLC, 17 mars 2021, n° 21-D-07

L’Autorité de la concurrence (section III),

Vu les lettres enregistrées le 23 octobre 2020 sous les numéros 20/0098 F et 20/0099 M par lesquelles les associations Interactive Advertising Bureau France (IAB), Mobile Marketing Association France (MMA), Union Des Entreprises de Conseil et Achat Media (UDECAM), et Syndicat des Régies Internet (SRI) ont saisi l’Autorité de la concurrence de pratiques mises en œuvre par la société Apple Inc., et ont sollicité le prononcé de mesures conservatoires ;

Vu l’article 102 du Traité sur le fonctionnement de l’Union européenne ; Vu le livre IV du code de commerce ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques modifiée par la directive 2009/136/CE du 25 novembre 2009 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2020-137 du 17 décembre 2020 de la Commission nationale de l’informatique et des libertés portant avis dans le cadre de la plainte déposée par certaines associations professionnelles de la publicité en ligne à l’encontre de la société Apple Inc. devant l’Autorité de la concurrence ;

Vu les décisions de secret des affaires n° 20-DSA-657 du 14 décembre 2020, n° 20-DSA-663 du 21 décembre 2020, n° 20-DSA-664 du 21 décembre 2020, n° 20-DSA-673 du 28 décembre 2020, n° 21-DSA-059 du 25 janvier 2021, n° 21-DSA-060 du 25 janvier 2021, n° 21-DSA-065 du 29 janvier 2021, n° 21-DSA-066 du 29 janvier 2021, n° 21-DSA-073 du 3 février 2021 et n° 21-DECR-079 du 5 février 2021 ;

Vu les observations présentées par les associations Interactive Advertising Bureau France (IAB), Mobile Marketing Association France (MMA), Union Des Entreprises de Conseil et Achat Media (UDECAM), et Syndicat des Régies Internet (SRI) et la société Apple Inc. ;

Vu les autres pièces du dossier ;

Les rapporteurs, la rapporteure générale adjointe, les représentants des associations Interactive Advertising Bureau France (IAB), Mobile Marketing Association France (MMA), Union Des Entreprises de Conseil et Achat Media (UDECAM), et Syndicat des Régies Internet (SRI) et de la société Apple Inc., et le commissaire du Gouvernement entendus lors de la séance de l’Autorité de la concurrence du 10 février 2021 ;

Adopte la décision suivante :

Résumé 1

Les associations Interactive Advertising Bureau (ci-après, « IAB »), Mobile Marketing Association (ci-après, « MMA ») France, Union des entreprises de conseil et achat media (ci-après, « UDECAM »), Syndicat des Régies Internet (ci-après, « SRI ») ont saisi l'Autorité de la concurrence (ci-après, « l’Autorité ») le 23 octobre 2020 de pratiques mises en œuvre par la société Apple Inc. (ci-après, « Apple ») à l’occasion des modifications à venir de son système d'exploitation iOS 14. Le système d’exploitation mobile développé par Apple, iOS, fait fonctionner les smartphones iPhone.

Lors de la conférence du 22 juin 2020 destinée aux développeurs d’applications2, la société Apple a annoncé que dans le cadre de sa politique de renforcement de la protection de la vie privée de ses clients, elle allait mettre en place, à échéance de septembre 2020, un dispositif dénommé ATT pour App Tracking Transparency (ou transparence sur le traçage en applications). Ce dispositif consiste en l’affichage d’une fenêtre requérant le consentement explicite de l’utilisateur d’iPhone avant toute utilisation de l’Identifier for Advertisers (ci-après, « IDFA »). L’IDFA est un identifiant unique, propre à Apple, qui permet à différentes entreprises de l’écosystème de la publicité en ligne de suivre l’activité de l’utilisateur sur différents sites internet ou applications mobiles, à des fins de ciblage publicitaire.

Les saisissantes soutiennent, à l’appui de leur saisine au fond, que le déploiement de la sollicitation ATT et l’obligation faite aux développeurs d’applications d’y recourir pour accéder à l’IDFA constituent un abus de position dominante, en ce qu’ils imposent des conditions de transactions inéquitables au sens du paragraphe a) de l’article 102 du TFUE. Ces dispositions prévoient que peuvent constituer un abus de position dominante d’une entreprise dominante le fait d’ « imposer de façon directe ou indirecte des prix d’achat ou de vente ou d’autres conditions de transaction non équitables ». L’abus découlerait de ce que cette sollicitation ne serait ni nécessaire, ni proportionnée pour atteindre l’objectif, poursuivi par Apple, de protection de la vie privée des utilisateurs.

Elles soutiennent en outre que cette pratique peut également être analysée comme imposant une obligation supplémentaire contraire au d) de l’article 102 du TFUE. Ces dispositions prévoient que peut constituer un abus de position dominante le fait de « d) subordonner la conclusion de contrats à l’acceptation, par les partenaires, de prestations supplémentaires, qui par leur nature ou selon les usages commerciaux, n’ont pas de lien avec l’objet de ces contrats ».

Les saisissantes ont également déposé, en complément de leur saisine, une demande de mesures conservatoires tendant à ce que l’Autorité ordonne la cessation immédiate des comportements allégués. Elles demandent, à cette fin, qu’il soit enjoint à la société Apple :

- de ne pas exiger l’utilisation de sa fenêtre pour obtenir l’autorisation de l’utilisateur pour le suivi, jusqu’à ce qu’une décision sur le fond soit prise dans cette affaire, ou jusqu’à ce qu’une solution acceptable soit trouvée, à la suite de négociations entre Apple et les parties prenantes du secteur, conformément à la deuxième mesure conservatoire demandée ;

- d’engager un dialogue constructif avec les acteurs du secteur afin de trouver une solution acceptable pour obtenir l’autorisation / le consentement au suivi de l’utilisateur qui soit conforme aux exigences de la législation européenne sur la protection de la vie privée (notamment le RGPD et la Directive Vie privée et communications électroniques), et qui soit moins perturbante pour les utilisateurs et dommageable pour la concurrence sur les marchés concernés.

Après analyse des éléments fournis par les saisissantes au soutien de leur demande de mesures conservatoires, l’Autorité a estimé, dans le cadre d’un examen préliminaire au titre des mesures d’urgence, qu’il ne pouvait être considéré à ce stade que l’introduction de la sollicitation ATT conduirait Apple à imposer des conditions de transactions inéquitables ou une obligation supplémentaire dans des conditions contraires à l’article 102 du TFUE, et, en particulier, aux a) et d) de cet article.

L’Autorité a notamment relevé qu’au vu des éléments du dossier, l’introduction de la sollicitation ATT n’était pas susceptible d’imposer aux éditeurs d’applications des restrictions excessives ou disproportionnées à leur activité, constitutives de transaction inéquitable au sens du a) de l’article 102 du TFUE et s’inscrivait dans la stratégie d’Apple, mise en place de longue date, en matière de protection de la vie privée des utilisateurs des produits iOS. Cette stratégie n’apparaît pas, en l’état de l’instruction, anticoncurrentielle par elle-même, et relève de l’exercice légitime de la politique commerciale d’Apple. Elle n’apparaît pas davantage susceptible de constituer l’abus prévu au d) de l’article 102 du TFUE.

Ainsi, il ne résulte pas de l’instruction préliminaire menée au stade de l’examen des mesures conservatoires qu’Apple aurait, par la décision contestée de mettre en place une sollicitation ATT, poursuivi un objet anticoncurrentiel, pris une décision dépourvue de justification objective ou disproportionnée, ou mis en œuvre une pratique susceptible d’avoir potentiellement un effet anticoncurrentiel.

S’agissant plus particulièrement du traitement différencié entre le recueil du consentement de l’utilisateur pour les services publicitaires d’Apple et celui des services publicitaires tiers relevé par les saisissantes l’Autorité a estimé, au stade préliminaire d’examen des mesures d’urgence, qu’il ne résultait pas des éléments produits au dossier qu’Apple appliquerait, en imposant la sollicitation ATT aux acteurs souhaitant pouvoir recourir au suivi de l’activité des utilisateurs sur les sites tiers, un traitement plus rigoureux que celui qu’elle s’appliquerait à elle-même pour des traitements similaires. L’instruction de la saisine au fond permettra toutefois de s’assurer que ce traitement ne constitue pas une pratique anticoncurrentielle, notamment en ce qu’il produirait de la part d’Apple une forme de discrimination ou de « self-preferencing ».

Considérant qu’aucun fait dénoncé par les saisissantes n’était susceptible en l’état des éléments produits aux débats, de constituer une pratique anticoncurrentielle, l’Autorité a rejeté la demande de mesures conservatoires présentée par les saisissantes sans qu’il y ait lieu de vérifier si les autres conditions requises par l’article L. 464-1, alinéas 1 et 2, du code de commerce étaient en l’espèce remplies.

I. Constatations

1. Seront successivement présentés la saisine (A), le secteur de la publicité sur applications mobiles sur iOS (B), le cadre juridique applicable (C), les entreprises concernées (D), les pratiques dénoncées (E) et la demande de mesures conservatoires (F).

A. LA SAISINE

2. Par lettre enregistrée le 23 octobre 2020 sous le numéro 20/0098 F, les associations Interactive Advertising Bureau (IAB), Mobile Marketing Association France (MMA), Union des entreprises de conseil et achat media (UDECAM), Syndicat des Régies Internet (SRI) ont saisi l'Autorité de pratiques mises en œuvre par la société Apple Inc. (Apple) à l’occasion des modifications à venir de son système d'exploitation iOS 14.

3. Selon les saisissantes, la société Apple serait en monopole sur le marché de la distribution d’applications sur iOS et abuserait de son pouvoir de marché en imposant aux développeurs d’applications présents sur son système d’exploitation, d’une part, des conditions de transaction inéquitables, méconnaissant les dispositions du a) de l’article 102 du TFUE, d’autre part, une obligation supplémentaire sans lien avec l’objet du contrat, en contradiction avec le d) du même article.

4. Accessoirement à leur saisine au fond, les saisissantes ont sollicité, par lettre enregistrée le 23 octobre 2020 sous le numéro 20/0099 M, le prononcé de mesures conservatoires sur le fondement de l’article L. 464-1 du code de commerce.

B. LE SECTEUR DE LA PUBLICITE SUR APPLICATIONS MOBILES SUR IOS

1. L’IDENTIFIER FOR ADVERTISERS

5. Dans l’univers numérique existent différents types d’identifiants, qui servent à des usages variés. Un identifiant peut être utilisé par un système d’exploitation de smartphone, et permettre de désigner l’utilisateur de ce smartphone et de le reconnaître ensuite au fil de ses activités. Il peut également servir à identifier un internaute, soit à travers le matériel informatique qu’il utilise, soit à travers son accès internet (adresse IP pour Internet Protocol), soit encore à travers le navigateur qu’il utilise pour naviguer sur internet. Afin de reconnaître et de suivre les internautes, les sites internet déposent différentes catégories d’identifiants : ceux-ci comprennent notamment les cookies et autres traceurs, qui peuvent être déposés soit directement par le site en cause (on parle alors de cookies « first party », ou première partie), soit sur des sites tiers que l’internaute visite ensuite (on parle alors de cookies « third party » ou tierce partie).

6. Les traceurs3, et en particulier les cookies, sont utilisés de façon massive, depuis plusieurs années, par l’édition en ligne afin de produire et collecter des données, notamment à des fins publicitaires4.

7. Dans l’environnement des applications mobiles, les éditeurs d’applications mobiles s’appuient sur le « device ID », ou identifiant de terminal, qui est un numéro d’identification crypté propre au terminal, et attribué par le système d’exploitation mobile (OS) de ce terminal (smartphone, tablette, etc.)5. Contrairement aux cookies utilisés pour suivre l’utilisateur lors de sa navigation sur internet, dont la valeur est fixée indépendamment pour chaque tiers publicitaire, cet identifiant reste le même pour tous les tiers.

8. En ce qui concerne le système d’exploitation mobile d’Apple, iOS (qui sert notamment à faire fonctionner l’iPhone), un identifiant publicitaire dénommé l’Identifier for Advertisers (IDFA ou identifiant pour publicitaires)6 a été introduit en 2012, à l’occasion de l’adoption de la version 6 d’iOS. L’IDFA est attribué, de manière aléatoire et anonyme, lors du premier démarrage de l’appareil (on parle d’identifiant pseudonyme). Il permet aux acteurs des réseaux publicitaires mobiles, notamment les annonceurs, les développeurs d’applications mobiles, mais également les services d’intermédiation publicitaire, de « suivre » le terminal de l’utilisateur à travers son utilisation des applications.

9. L’IDFA est venu remplacer le « Unique Device Identifier » (UDID, identifiant unique de terminal) et l’adresse MAC (pour « Media Access Control » ou contrôle d’accès au media), deux identifiants que les développeurs utilisaient pour identifier et suivre les smartphones des utilisateurs. L’UDID et l’adresse MAC permettaient de tracer les utilisateurs sans avoir besoin de recueillir leur consentement, procédé très permissif au regard de la vie privée. Ce suivi était, en outre, relativement intrusif, dans la mesure où ces identifiants étaient « fixes », sans possibilité pour l’utilisateur de le réinitialiser. L’IDFA, quant à lui, a été conçu afin de pouvoir être réinitialisé manuellement, à tout moment, par l’utilisateur. En outre, depuis la mise à jour iOS10 du 13 septembre 2016, Apple a offert à l’utilisateur la possibilité de refuser l’utilisation de l’IDFA en se rendant dans les paramètres du terminal iOS (en sélectionnant l’option « Limiter le traçage publicitaire »).

10. Dans les faits, bien que l’IDFA soit attribué à un appareil, il permet toutefois d’identifier autant un individu que son terminal, car l’usage d’un smartphone est moins souvent partagé que celui d’un ordinateur. L’IDFA facilite ainsi la mise en relation, entre les services publicitaires tiers, des données collectées relatives à un individu. Ceci peut permettre à des acteurs publicitaires de valoriser les données collectées sur un utilisateur dans le contexte d’une application, en lui proposant des publicités ciblées dans d’autres applications.

11. Les utilisations de l’IDFA par les réseaux publicitaires mobiles sont nombreuses. L’IDFA permet ainsi la maîtrise de la répétition publicitaire (aussi appelé « frequency capping » ou limitation de la fréquence/plafonnement), qui est utilisée pour limiter le nombre de fois qu’une publicité donnée est diffusée à un même utilisateur pendant une période de temps définie7.

12. Il est également utilisé à des fins d’attribution. Dans ce cas, il permet aux services d’intermédiation publicitaire de déterminer l’origine exacte des téléchargements d’une application. La fonction d’attribution consiste à déterminer un lien de causalité expliquant un événement déterminé, ce qui répond à différents objectifs, en particulier, celui de mesurer l’efficacité publicitaire (il peut s’agir ainsi de mesurer l’efficacité d’impressions de publicités ciblées par exemple). L’attribution est d’autant plus importante, dans le fonctionnement actuel de la publicité en ligne, qu’elle détermine désormais les modalités et niveaux de rémunération de différents acteurs de l’écosystème. Ainsi, certaines publicités ne sont facturées que si un événement déterminé survient (visite d’un site ou achat d’un produit par exemple, selon le principe du « coût par clic »8) ou du « coût par installation » pour une application téléchargée. Par ailleurs, la rémunération payée par l’annonceur peut également varier de façon significative en fonction de l’efficacité de la publicité.

13. S’agissant plus spécifiquement de l’univers Apple, l’IDFA permet notamment de déterminer si un téléchargement d’application a été réalisé par un utilisateur de façon purement autonome (on parlera alors de téléchargement « organique ») ou bien s’il fait suite au visionnage par l’utilisateur d’une publicité l’incitant à installer cette application. Cette attribution est notamment fonction d’une question de fait : l’internaute ou l’utilisateur a-t-il « vu » la publicité en question (et si oui, combien de temps avant le téléchargement, etc.), a-t-il cliqué sur un lien figurant sur cette publicité, etc. Si le téléchargement est « attribuable » à une publicité, c’est-à-dire, s’il y a des éléments permettant de présumer qu’il a été motivé, pour une part substantielle, par ce visionnage, alors cela aura des conséquences pour la publicité en cause : cette dernière pourra être considérée comme une publicité efficace ayant atteint sa cible, et recevoir une rémunération définie en conséquence.

14. L’IDFA est, en outre, utilisé afin de combiner, dans un profil publicitaire unique, les données collectées sur les usages et les intérêts d’un utilisateur à travers toutes les applications qu’il utilise, voire de les lier avec des données obtenues lors de son usage d’une plateforme authentifiée (par exemple, un réseau social, un site de e-commerce, etc.)9.

15. Enfin, les réseaux mobiles publicitaires s’appuient sur l’IDFA afin de favoriser le « réengagement 10» des consommateurs. Pour favoriser ce réengagement, différentes actions peuvent être mises en œuvre, notamment l’affichage, dans une application, d’une publicité liée à un acte d’achat interrompu dans le contexte d’une autre application, et ce, afin d’inciter l’utilisateur à finaliser son achat. On parle notamment de « retargeting » ou reciblage pour ce type de publicité (développé notamment à l’origine par l’entreprise Criteo), qui consiste à afficher à nouveau une publicité à l’attention d’un utilisateur après qu’il a consulté un produit sur un site de vente en ligne, et ce en lien direct avec cette consultation, afin de le convaincre de concrétiser son acte d’achat, ou d’acheter d’autres produits.

16. Contrairement aux identifiants matériels, l’IDFA est révocable. Lorsque l’utilisateur de l’IDFA, a refusé son suivi publicitaire (en se rendant dans les paramètres de son terminal afin d’activer l’option « Limiter le traçage publicitaire »), l’’IDFA est remplacé par une succession de zéros. Ceci le rend alors inutilisable par les réseaux publicitaires mobiles, qui ne peuvent plus « reconnaître » l’utilisateur ou le suivre dans ses différentes navigations ou activités. D’après les saisissantes, 14,5 % des utilisateurs d’iOS en France ont activé cette fonctionnalité11.

17. Les éditeurs d’applications peuvent également utiliser l’« Identifier For Vendor » (ci-après,

« IDFV »), fourni par iOS, qui a des fonctions similaires à celle de l’IDFA, et permet d’identifier les utilisateurs qui utilisent les différentes applications d’un même développeur. Cependant, contrairement à l’IFDA, l’IDFV ne permet pas aux éditeurs de suivre les utilisateurs à travers des applications ou des sites internet d’éditeurs tiers. La page internet d’Apple à destination des développeurs indique ainsi que : « l’IDFV peut être utilisé à des fins d’analyse entre les applications provenant d’un même fournisseur de contenu ».

2. LE PROJET D’INTRODUCTION PAR APPLE D’UNE SOLLICITATION DU CONSENTEMENT DENOMMEE ATT POUR « APP TRACKING TRANSPARENCY »

18. Le 22 juin 2020, Apple a annoncé, lors de sa conférence mondiale pour les développeurs, la mise à jour de son système d’exploitation iOS. Cette mise à jour devait comporter, entre autres, plusieurs nouveautés dont l’objectif affiché est de protéger la confidentialité des données personnelles des utilisateurs. Ainsi chaque page consacrée à une application sur l’App Store inclura désormais une nouvelle section présentant les données que l’application collecte et utilise. Parmi les autres nouveautés, le consommateur pourra partager sa localisation géographique de façon approximative12.

19. Depuis le 14 décembre 2020, les développeurs d’applications, y compris Apple, indiquent donc désormais dans leurs pages de produits de l’App Store, de manière intelligible pour les utilisateurs, les données personnelles que chaque application utilise.

20. La version 14 d’iOS devait s’accompagner également de l’obligation pour les éditeurs d’applications souhaitant accéder à l’IDFA des terminaux iOS d’obtenir au préalable l’autorisation des utilisateurs, par le biais d’une fenêtre, dite « la sollicitation ATT ». Apple a reporté son déploiement, initialement prévu en septembre 2020, parallèlement au lancement d’iOS 14, au mois de mars ou avril 202113. Le report de cette fonctionnalité ATT fait notamment suite à l’important débat suscité par cette annonce dans l’univers des acteurs, développeurs d’applications pour mobile et entreprises de la publicité en ligne, qui s’inquiètent des conséquences qu’elle risque d’entraîner. À la demande des entreprises du monde des applications et de la publicité en ligne, quelques échanges avec Apple ont ainsi eu lieu, afin d’évoquer cette évolution et ses modalités pratiques (visio-conférence du 11 septembre 2020 et entretien du 13 octobre 202014).

21. Les règles et conditions de mise en œuvre de la sollicitation ATT sont fournies principalement sur le site internet d’Apple, dans sa partie relative à la protection de la vie privée à destination des développeurs, « App-store, user privacy and data use ». Des informations techniques, une foire aux questions et les possibilités de personnalisation de la sollicitation ATT y sont également disponibles.

22. Apple a conçu la sollicitation ATT comme comportant certains éléments « fixes », imposés par Apple, et qui ne peuvent être modifiés par les acteurs développant et exploitant des applications, tandis que certains autres éléments seront flexibles et « à la main » de ces derniers, qui pourront en adapter le périmètre et en déterminer en partie le contenu. La figure ci-dessous reproduit l’apparence de la fenêtre, telle que prévue par Apple, et précise les éléments fixes et ceux qui, au vu des déclarations d’Apple, pourront être adaptés selon les préférences des développeurs d’applications.

23. La notification ATT se traduira par l’apparition, sur l’iPhone d’un utilisateur, d’une fenêtre qui s’ouvrira lorsqu’il utilisera une application donnée (téléchargée précédemment via l’App Store) dès lors que l’application voudra suivre l’utilisateur sur des applications ou sites tiers.

24. Le cadre graphique et l’interface de la sollicitation ATT sont ainsi conçus et imposés de façon fixe par Apple. Le site internet d’Apple dédié aux développeurs précise dans quelle mesure ceux-ci peuvent modifier la sollicitation : « Le système génère automatiquement le titre de la sollicitation, qui inclut le nom de votre application. Vous fournissez un message communément appelé description de l’usage […] afin d’indiquer les motifs pour lesquels votre application nécessite l’accès à cette donnée. Une explication exacte et concise des raisons pour lesquelles votre application requiert un accès à des données sensibles, normalement formulée en une phrase complète, permet à l’utilisateur de prendre une décision informée et améliore la probabilité que cet utilisateur autorise l’accès à ses données […] »15.

25. Les trois parties de la sollicitation, le titre, la description de l’usage et les boutons d’action sont observables dans l’illustration supra16. Le titre, non modifiable et en caractères gras, indique à l’attention de l’utilisateur que l’application « souhaite suivre vos activités dans des apps et sur des sites web appartenant à d’autres entreprises. ». La description de l’usage, composée d’un texte en caractères non gras, est pour sa part personnalisable par les développeurs. Enfin, la troisième partie de la sollicitation ATT, constituée des deux boutons d’action, permet à l’utilisateur de choisir entre : « demander à l’app de ne pas suivre mes activités » ou « autoriser » (ce suivi).

26. Outre la personnalisation de la sollicitation ATT en elle-même, Apple a indiqué le 22 janvier 2021 aux services d’instruction de l’Autorité quelles étaient les possibilités offertes aux développeurs afin d’adapter le dispositif ATT17.

27. En premier lieu, les développeurs n’ont l’obligation d’afficher la sollicitation ATT qu’à partir du moment où ils souhaitent partager les données de leurs utilisateurs avec des tiers. Les développeurs ont donc la possibilité de laisser le consommateur se familiariser avec l’application et de ne lui demander son consentement à être suivi qu’ultérieurement. Il est ainsi possible, soit de programmer la notification dès le premier fonctionnement de l’application, si le développeur veut rendre possible le partage des données dès le début, soit de laisser s’écouler une période déterminée par le développeur pendant laquelle la sollicitation n’apparaît pas, à la condition, dans ce cas, de différer également la mise en œuvre du partage des données.

28. En second lieu, les développeurs peuvent afficher une fenêtre supplémentaire avant, mais aussi après avoir affiché la sollicitation ATT, afin par exemple d’expliquer au consommateur les raisons pour lesquelles le suivi des données serait nécessaire au bon fonctionnement de l’application ou à son financement (cote 2316)18. Ces fenêtres ne sont pas générées par le système d’exploitation d’Apple. Leur format, ainsi que leur contenu, sont librement conçus par les développeurs.

29. Le 1er février 2021, Apple a complété, sur son site internet monde destiné aux développeurs (developper.apple.com)19, la page relative à la protection de la vie privée , afin de préciser que la fenêtre apparaissant après la sollicitation ATT pouvait être utilisée par les développeurs non seulement pour donner des informations à l’utilisateur, mais aussi pour le convaincre de revenir sur son choix, si celui-ci avait refusé le suivi par exemple. Dans le cadre de l’instruction, Apple a notamment indiqué que « l’utilisateur peut modifier son choix en cliquant directement sur un lien (et non en lisant des explications complexes ou détaillées sur le chemin à suivre pour modifier son choix initial). Il suffit pour cela que le développeur insère un lien dans la fenêtre d’informations renvoyant directement l’utilisateur vers les réglages pertinents de son appareil »20.

30. Si l’utilisateur fait le choix, dans la sollicitation ATT, de ne pas autoriser l’application à le suivre dans d’autres applications ou sites tiers en cliquant sur la fenêtre du bas, les développeurs et leurs fournisseurs ne seront pas autorisés à suivre l’utilisateur, que ce soit par le biais de l’IDFA de son terminal ou par l’intermédiaire de toute autre méthode alternative de suivi basée sur l’identification de l’utilisateur21. Les méthodes concernées sont par exemple : le hachage de l’adresse e-mail ou du numéro de téléphone22, ou encore la technique des empreintes numériques, dite « fingerprinting23». Le non-respect de cette obligation peut donner lieu à une décision de retrait, par Apple, de l’application en cause de l’App Store.

3. LE DEPLOIEMENT DU TRANSPARENCY AND CONSENT FRAMEWORK (TCF) PAR L’IAB

31. Le Transparency and Consent Framework (ci-après, « TCF », ou cadre de transparence et de consentement) est un ensemble de règles, qui a été élaboré par l’IAB Europe en avril 2018, et complété dans une seconde version en août 2019. Il a pour objectif de faciliter la mise en conformité des acteurs de l’écosystème de la publicité en ligne avec les obligations fixées par la réglementation en matière de traitements publicitaires. Cette facilitation passe par une standardisation des interactions liées au respect de ce cadre réglementaire entre les différents acteurs impliqués.

32. Le TCF est notamment destiné à aider les acteurs de la publicité en ligne à respecter les exigences du RGPD et à leur fournir un cadre harmonisé en la matière24.

33. Concrètement, le TCF offre un outil de coopération standardisée permettant aux éditeurs, notamment les développeurs d’applications et leurs partenaires technologiques, d’informer les consommateurs sur les données collectées, les différents acteurs impliqués dans leur traitement, et la manière dont elles seront utilisées. Le recueil du consentement de l’utilisateur s’opère par le biais d’une plateforme de gestion du consentement (CMP pour Consent Management Platform), qui transmet les choix du consommateur aux autres acteurs intervenant dans la chaîne de valeur de la publicité en ligne.

34. Dans sa version actuelle, le TCF permet aux éditeurs de créer différentes règles et de poser des limites concernant le traitement des données de leurs utilisateurs par des tiers. Pour cela, ils peuvent sélectionner les finalités pour lesquelles les tiers pourront ou non traiter les données de l’utilisateur, et partager ces informations avec les acteurs appartenant à la chaîne de consentement mise en œuvre au sein de leur CMP.

35. Le TCF prévoit ainsi dix finalités de traitement des données, pour chacune desquelles le consommateur est susceptible de donner ou non son consentement : « stocker et/ou accéder aux informations d’un appareil », « sélectionner une publicité standard », « créer une publicité ciblée pour le profil », « sélectionner des publicités ciblées », « créer du contenu personnalisé pour le profil », « sélectionner du contenu personnalisé », « mesurer la performance d’une publicité », « mesurer la performance d’un contenu », « faire des études de marché pour générer du trafic » et « développer et améliorer le produit ».

36. Le TCF n’a pas de caractère obligatoire. Néanmoins, son respect est exigé pour les acteurs de la publicité en ligne enregistrés auprès de l’IAB, entité en charge du suivi du TCF. En France, parmi les 100 premiers éditeurs sur Internet, 97 mettaient en œuvre la dernière version du TCF en septembre 202025. Ce standard a été conçu comme une réponse au débat sur la conformité aux règles de protection de la vie privée de certaines techniques de collecte et d’exploitation des données personnelles. Dans le cadre de l’instruction, les saisissantes ont fourni des illustrations de recueil du consentement par un CMP, compatibles avec la seconde version du TCF26. Ce recueil pourrait prendre, par exemple, la forme suivante27 :

4. LA MISE EN PLACE PAR APPLE D’UNE INTERFACE DE PROGRAMMATION, LE SKADNETWORK

37. Apple a mis en place, depuis 2018, une interface de programmation, le SKAdNetwork, qui a pour objectif de permettre d’attribuer l’installation d’une application mobile à une campagne publicitaire. Pour cela, le réseau publicitaire à l’origine de la publicité doit s’inscrire auprès d’Apple afin d’utiliser le SKAdNetwork. Si l’utilisateur final clique sur cette publicité, il est redirigé vers l’App Store et peut télécharger l’application ayant fait l’objet de la publicité ; Apple procède alors à l’attribution et envoie un message en ce sens au réseau publicitaire à l’origine de l’installation.

38. Cette solution est mise à disposition gratuitement par Apple auprès des développeurs. Les développeurs pourront notamment l’utiliser dans les cas où l’utilisateur refuserait le suivi au titre de la sollicitation ATT.

39. Les saisissantes mettent en exergue, dans leur saisine, les limites de cette solution technique proposée par Apple, qui serait inefficace et conduirait à des performances très dégradées en matière d’attribution, par rapport à ce que permet aujourd’hui le recours à l’IDFA pour les opérateurs spécialisés en attribution. L’attribution sous SKAdNetwork présenterait ainsi, selon les saisissants, des différences notables avec celle possible en utilisant l’IDFA, tant en ce qui concerne ses modalités que son efficacité. Tout d’abord, l’attribution se ferait au niveau d’une campagne publicitaire, et non à celui de l’utilisateur, comme c’est le cas avec l’IDFA. Ainsi, pour les saisissantes : « l’annonceur saura que la campagne X dans l’application Y a abouti à l’installation de l’application Z » mais ne pourra lier cette information au profil de l’utilisateur28.

40. Par ailleurs, on peut relever que le retour effectué par Apple auprès du réseau publicitaire n’est pas effectué en temps réel, mais selon une chronologie spécifique :

- si Apple identifie une attribution d’installation, un compte à rebours de 24 heures débute ;

- si l’utilisateur effectue un événement de conversion, c’est à dire lorsqu’il a effectué l’action souhaitée par l’annonceur (par exemple un achat in-app après le visionnage d’une publicité dans une autre application), lorsqu’il utilise l’application avant l’expiration du délai de 24 heures, le compte à rebours est réinitialisé si l’application le demande ;

- le même processus peut être répété 64 fois ou jusqu’à l’expiration du compte à rebours de 24 heures.

41. L’instruction a montré que l’outil SKAdNetwork était toujours en développement. Dans sa réponse du 2 février 202129, Apple indique ainsi qu’elle continue de développer et d’améliorer son service d’attribution. En particulier, le SKAdNetwork devrait, selon les indications données par Apple, rendre possible une attribution des installations d’applications « vue par vue » pour un grand nombre de formats publicitaires différents (publicités vidéo, audio et interactives).

C. LE CADRE JURIDIQUE APPLICABLE

1. LA REGLEMENTATION EN MATIERE DE TRAITEMENTS PUBLICITAIRES

42. Les traitements de données mis en œuvre à des fins publicitaires sont soumis à deux réglementations européennes, le règlement général sur la protection des données dit RGPD

(a) et la directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications électroniques, dite directive « e-Privacy » (b).

a) Le règlement général sur la protection des données

43. Le RGPD est un règlement européen du 27 avril 2016 qui encadre et harmonise les règles en matière de traitement des données personnelles sur le territoire de l’Union européenne.

44. Il s’inscrit dans la continuité de la loi française n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés dite loi « Informatique et Libertés » et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

45. Entré en application le 25 mai 2018, le RGPD s’applique à tous les traitements de données à caractère personnel. Son article 4 définit une donnée à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Selon ce même article, est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

46. L’une des pierres angulaires du RGPD est le principe du recueil du consentement. Ce règlement impose aux responsables du traitement des données de recueillir le consentement explicite de l’utilisateur avant tout traitement de ses données à caractère personnel. Ce consentement doit être libre, spécifique, éclairé et univoque. En outre, le RGPD prévoit que l’utilisateur doit être en mesure de retirer ce consentement, à tout moment, avec la même simplicité qu’il l’a accordé.

47. Les traitements de données à caractère personnel recouvrent toutes les opérations portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).

48. Le RGPD est applicable à tous les responsables de traitement, qu’ils soient privés ou publics, (entreprises, administrations, associations ou autres organismes), et à leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences de communication, etc.) établis dans l’UE, et ce quel que soit le lieu de traitement des données. Il s'étend également aux responsables de traitement et à leurs sous-traitants établis hors de l’UE, dès lors qu’ils mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents européens ou à les cibler.

b) La directive e-Privacy

49. La directive e-Privacy, modifiée en 2009, encadre et harmonise les dispositions des États membres en matière de traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques au sein de l’Union européenne.

50. L’article 82 de la loi « Informatique et Libertés » de 1978, qui transpose la directive 2002/58/CE, s’applique en complément des règles générales du RGPD, dès lors qu’un opérateur accède à des informations déjà stockées dans l’équipement terminal de l’utilisateur par voie de transmission électronique (par exemple, un identifiant publicitaire) ou y inscrit des informations.

51. L'article 5 paragraphe 3 de la directive e-Privacy pose ainsi le principe d'un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci, sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

52. La CNIL, dans son avis du 17 décembre 2020 (voir ci-dessous paragraphes 55 à 65), rappelle que, pour l’appréciation du consentement30 prévu par ces dispositions de la directive, la définition et les conditions prévues aux articles 4, paragraphe 11, et 7 du RGPD sont applicables.

53. Les manquements au RGPD et à la directive e-Privacy exposent les entreprises en infraction à des sanctions importantes (jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial31).

2. L’AVIS DE LA CNIL DU 17 DECEMBRE 2020 SUR LES QUESTIONS DE PROTECTION DES DONNEES SOULEVEES PAR LA SAISINE

54. Dans le cadre de la présente saisine, l’Autorité a sollicité, le 9 novembre 2020, les observations de la CNIL sur les questions susceptibles d’être posées par les pratiques dénoncées dans la saisine en matière de protection des données à caractère personnel.

55. Dans son avis du 17 décembre 2020, la CNIL a estimé que la sollicitation ATT conçue par Apple, à certains égards, « se distingue des interfaces actuellement observées sur un nombre considérable de sites web et d’applications mobiles non conformes à la règlementation ».

56. Selon la CNIL, la sollicitation ATT permettra au consommateur d’accepter ou de refuser le traçage avec le même degré de simplicité, via l’inclusion de boutons « autoriser le traçage » et « demander à l’application de ne pas tracer mes activités », les deux étant situés au même niveau et sur le même format. La CNIL estime que ces modalités constituent un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement32.

57. S’agissant des termes utilisés, la CNIL a notamment relevé que la formulation retenue par Apple dans le cadre de la sollicitation ATT est neutre et ne permet pas d’établir qu’une option serait privilégiée par rapport à une autre. Dans la version française actuellement disponible, l’option « Autoriser le suivi » est d’ailleurs plus visible que l’option « Demander à l’app de ne pas suivre mes activités ».

58. La CNIL se prononce favorablement sur la mention du suivi retenue par la sollicitation ATT et estime qu’il s’agit d’une information essentielle pour permettre à l’utilisateur de prendre conscience de l’ampleur potentielle de la collecte de données qui ira alimenter son profil à des fins publicitaires, en relevant que l’utilisateur doit donc être éclairé sur la portée de son choix. À cet égard, la CNIL ajoute que le fait que la sollicitation ATT permette un recueil du consentement sur chacune des applications concernées par ce suivi contribue également à garantir que l’utilisateur soit pleinement conscient de la portée de son consentement33.

59. En outre, la CNIL a considéré que la sollicitation ATT permettrait « aux éditeurs d’application, sous réserve d’intégrer les éléments d’informations légalement exigibles, que la CNIL a rappelés à l’article 2 de ses lignes directrices « cookies et autres traceurs », de collecter un consentement éclairé tel qu’exigé par la règlementation applicable ».

60. S’agissant de l’initiative prise par Apple de mettre en place son propre recueil du consentement pour la collecte de l’IDFA, la CNIL a estimé que : « le RGPD et les dispositions nationales transposant la directive « ePrivacy » n’interdisent en aucun cas aux concepteurs de logiciels de fournir, voire d’imposer son design sur la fenêtre de recueil des choix. La réglementation encourage d’ailleurs fortement ces derniers à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de leurs produits et à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données »34.

61. Selon elle, dans l’hypothèse où Apple ne serait pas légalement tenue de recueillir le consentement des utilisateurs pour les opérations de suivi publicitaires de développeurs d’applications, pour autant, « la réglementation relative à la protection des données n’empêche pas la société Apple de mettre en œuvre un dispositif permettant d’interdire aux éditeurs d’application de tracer l’utilisateur sans consentement, d’autant plus lorsque celui- ci est imposé par la réglementation »35.

62. À cet égard, la CNIL a relevé que les évolutions proposées par la société Apple peuvent présenter un véritable bénéfice, tant pour les utilisateurs que pour les éditeurs d’applications.

63. Selon elle, la sollicitation ATT « offrirait aux utilisateurs un meilleur contrôle sur leurs données à caractère personnel en leur permettant, d’une part, d’exprimer leurs choix de manière simple et éclairée (sous réserve des éléments rappelés ci-dessus) et, d’autre part, en empêchant techniquement et/ou contractuellement aux éditeurs d’application de tracer l’utilisateur sans son autorisation. »36.

64. S’agissant des éditeurs, la CNIL a considéré que la sollicitation ATT aiderait les plus petits d’entre eux « à se conformer à l’obligation posée par les dispositions de l’article 82 de la loi [ Informatique et Libertés ] en leur fournissant un outil simple leur permettant de recueillir un consentement valide pour leurs opérations de traçage publicitaire »37.

D. LES ENTREPRISES CONCERNEES

1. L’INTERACTIVE ADVERTISING BUREAU

65. L’IAB France est une association créée en 1998, avec une triple mission : structurer le marché de la communication sur internet, promouvoir son utilisation et optimiser son efficacité. L’IAB France représente les acteurs de l’écosystème de la publicité en ligne et se donne pour objectif de « soutenir le développement d’une économie publicitaire dynamique et génératrice de valeur pour tous les acteurs »38.

66. Dans ce cadre, l’IAB France fournit des outils « destinés à aider les responsables marketing et leurs agences de conseil à intégrer efficacement internet dans leur stratégie marketing et propose des normes et des exemples de pratiques professionnelles aux nouveaux acteurs qui entrent sur le marché de la publicité en ligne » 39. L’IAB France est membre du réseau international d’IAB, qui compte actuellement 140 membres.

2. LA MOBILE MARKETING ASSOCIATION

67. La MMA France est une association dédiée au marketing, à la publicité et à la gestion de la relation client sur mobile. Elle a été créée en 2002 et rassemble les principaux acteurs présents sur les médias mobiles : agences de marketing mobile, agences médias, éditeurs, spécialistes du marketing, fournisseurs d’études et de mesures, et opérateurs mobiles. MMA France compte plus de 140 membres.

3. L’UNION DES ENTREPRISES DE CONSEIL ET ACHAT MEDIA

68. L’UDECAM est une association qui regroupe différents acteurs des médias et de la communication, et se donne pour mission de défendre les intérêts de ses membres vis-à-vis de tous les acteurs du marché, ainsi que des pouvoirs publics. L’UDECAM représente 90 % des investissements médias réalisés en France.

4. LE SYNDICAT DES REGIES INTERNET

69. Créé en 2003, le SRI fédère des acteurs de marché exerçant une activité complémentaire ou technologique de monétisation publicitaire. Ces acteurs participent au développement et la professionnalisation de la publicité numérique en France, notamment par le partage et la promotion de bonnes pratiques et de réflexions. Le SRI assure par ailleurs la représentativité de ses membres auprès des différents acteurs de la publicité numérique, de l’interprofession (ARPP, Autorité de Régulation de la Publicité Professionnelle), Union des Marques, UDECAM, IAB, etc.), des institutions (CESP, Centre d’étude des supports de publicité, Médiamétrie, etc.) et des pouvoirs publics.

5. APPLE

70. Apple Inc. est une société américaine qui conçoit, fabrique et commercialise des dispositifs de communication et de média mobiles, des ordinateurs personnels, des lecteurs portables de musique et vend une gamme de logiciels, services et périphériques, solutions réseau, contenus numériques et applications tierces en relation avec ces produits.

71. En 2019, Apple a généré plus de 260 milliards de dollars de la vente de produits (iPhone, Mac, iPad, objets connectés à technologie portable ou « wearables », objets connectés pour la maison et accessoires) et de services, qui comprennent, entre autres, l’App Store, Apple Music, Apple Pay, Apple Care, etc.

E. LES PRATIQUES DENONCEES

72. Les saisissantes soutiennent qu’en leur imposant des conditions de transaction non- équitables (1) et l’obligation de recourir à la sollicitation ATT (2), Apple aurait méconnu l’article 102 du TFUE, qui dispose qu’« est incompatible avec le marché intérieur et interdit, dans la mesure où le commerce entre États membres est susceptible d'en être affecté, le fait pour une ou plusieurs entreprises d'exploiter de façon abusive une position dominante sur le marché intérieur ou dans une partie substantielle de celui-ci. Ces pratiques abusives peuvent notamment consister à :

a) imposer de façon directe ou indirecte des prix d'achat ou de vente ou d'autres conditions de transaction non équitables,

b) limiter la production, les débouchés ou le développement technique au préjudice des consommateurs,

c) appliquer à l'égard de partenaires commerciaux des conditions inégales à des prestations équivalentes, en leur infligeant de ce fait un désavantage dans la concurrence,

d) subordonner la conclusion de contrats à l'acceptation, par les partenaires, de prestations supplémentaires qui, par leur nature ou selon les usages commerciaux, n'ont pas de lien avec l'objet de ces contrats. ».

1. SUR L’IMPOSITION DE CONDITIONS NON EQUITABLES

73. Selon les saisissantes, Apple mettrait en œuvre des pratiques abusives sur le marché de la distribution d’applications sur iOS, en imposant aux développeurs d’applications l’utilisation d’une fenêtre non personnalisable destinée à recueillir le consentement des internautes, dans l’unique but de dissuader les utilisateurs de leur donner accès à leur IDFA, ce qui constituerait des conditions de transaction non équitables.

74. À cet égard, elles soutiennent que l’obligation de recourir à la sollicitation ATT ne constitue pas une mesure nécessaire et proportionnée à l’objectif de protection de la vie privée des utilisateurs d’appareils iOS qu’Apple indique poursuivre.

75. En effet, selon elles, la mise en place par Apple de son propre système de recueil du consentement serait à la fois redondante et illégitime.

76. D’une part, les développeurs d’applications dont la base d’utilisateurs est établie sur le territoire de l’Union européenne sont d’ores et déjà soumis au RGPD, « qui établit un cadre solide de protection des données. Par conséquent, pour traiter les données des utilisateurs, ils doivent avoir le consentement « libre, spécifique, éclairé et univoque de cet utilisateur ou avoir des intérêts légitimes dans ce traitement. »40. Dès lors, le déploiement de la sollicitation ATT ne serait pas justifié, dans la mesure où le RGPD et la directive e-Privacy garantissent déjà par ailleurs la protection de la vie privée des utilisateurs, en mettant à la charge des développeurs d’application le recueil du consentement de leurs utilisateurs.

77. D’autre part, selon les saisissantes, les entreprises spécialisées dans la fourniture de logiciels de type CMP sont à même de développer des solutions aussi efficaces, voire plus efficaces, que celle conçue par Apple afin de protéger la vie privée des utilisateurs et respecter leur choix. Ainsi, pour répondre aux exigences posées par la réglementation en matière de données personnelles, les acteurs du secteur ont élaboré, dans les conditions rappelées ci- dessus, le TCF, auquel les entreprises qui le souhaitent peuvent recourir afin de faciliter leur mise en conformité.

78. De plus, la sollicitation ATT ne serait pas conforme aux exigences imposées par le RGPD, dans la mesure où elle « ne fournit pas les informations requises par les articles 13 et 14 du RGDP pour que le consentement soit valide »41. Par conséquent, les développeurs ne seraient pas en mesure s’ils le souhaitaient, de s’appuyer sur la sollicitation ATT pour se conformer à leurs obligations légales et devraient nécessairement continuer à recourir à leurs propres solutions de recueil du consentement. La sollicitation ATT ne permettrait, par ailleurs, pas « aux utilisateurs de révoquer l’autorisation de suivi aussi facilement qu’ils l’ont accordé[e] le cas échéant (comme l’exige le RGPD) »42.

79. Enfin, les saisissantes ajoutent que la protection de la vie privée ne peut pas être mise en avant par Apple pour justifier la mise en place de la sollicitation ATT, dans la mesure où Apple n’affiche pas cette fenêtre d’information, ni aucune autre forme de recueil exprès de consentement (système « opt-in ») pour le service Apple Search Ads. S’agissant de ses propres services publicitaires, Apple exige que les utilisateurs se rendent dans les paramètres de l’iPhone pour y décocher certaines cases pré-cochées s’ils ne souhaitent pas être soumis à ces publicités ciblées, ce qui serait contraire, selon les saisissantes, à la législation RGPD.

80. Pour l’ensemble de ces raisons, les saisissantes considèrent que l’obligation imposée aux développeurs d’utiliser la sollicitation ATT ne constitue pas une mesure nécessaire pour protéger la vie privée des utilisateurs.

81. Au surplus, les saisissantes ajoutent que la sollicitation ATT ne peut être regardée comme une mesure proportionnée par rapport à l’objectif poursuivi par Apple.

82. À cet égard, elles relèvent que la sollicitation ATT introduit des inefficiences au détriment des développeurs d’applications, en ajoutant une « couche » additionnelle de demande de consentement, dont la valeur marginale est limitée43, pour les raisons développées supra.

83. De plus, les saisissantes soutiennent que l’absence de personnalisation du libellé de la sollicitation ATT (par exemple en ce qui concerne la formulation de l’objet de cette sollicitation) empêche les développeurs d’applications de fournir aux utilisateurs les informations nécessaires à leur bonne compréhension sur l’intérêt d’une telle collecte de données.

84. Enfin, selon elles, le déploiement de la sollicitation ATT aura des conséquences importantes et négatives sur l’expérience utilisateur : celui-ci sera confronté à une multiplication des demandes de consentement, et risque à la fois d’être « perdu » et de vivre une mauvaise expérience sur l’application.

85. Les saisissantes relèvent que, si la jurisprudence n’impose pas de démontrer, en matière de conditions de transaction non équitables, l’existence d’un effet anticoncurrentiel, pour autant, la pratique mise en œuvre par Apple sur le marché de la distribution d’applications sur iOS est susceptible de produire des effets d’éviction sur deux marchés adjacents sur lesquels Apple est en concurrence avec les éditeurs d’applications. Il s’agit, d’une part, du marché des publicités d’installation d’applications sur les appareils iOS et, d’autre part, du marché des services d’attribution des installations d’applications sur les appareils iOS.

86. Selon les saisissantes, l’introduction de la sollicitation ATT limitera la capacité des développeurs d’applications à réaliser de la publicité personnalisée et à mesurer l’efficacité des campagnes publicitaires pour les publicités d’installation d’applications. Ceci est susceptible d’une part, de favoriser l’activité publicitaire d’Apple reposant sur « Apple Search Ads », outil spécialisé dans l’installation d’applications sur iOS, au détriment des développeurs d’applications et, d’autre part, d’exclure les fournisseurs de services d’attribution tiers, au profit de sa propre solution d’attribution, le « SKAdNetwork ».

87. Les saisissantes soutiennent, enfin, que la baisse des revenus publicitaires qui va nécessairement, selon elles, résulter de la mise en place de la sollicitation ATT est susceptible de favoriser un modèle d’affaires basé sur le paiement des utilisateurs, ce qui pourrait correspondre à une stratégie anticoncurrentielle de la part d’Apple. En effet, certains développeurs d’applications, qui se financent aujourd’hui exclusivement par la publicité, ce qui constitue le modèle dominant44, pourraient être incités à basculer vers un modèle financé par les paiements des utilisateurs. Or, Apple aurait un avantage financier à encourager une telle évolution, dans la mesure où elle perçoit une commission de 30 %45 sur les achats d’application dans l’App Store, que ce soit sur les versements forfaitaires initiaux ou sur les modèles d’abonnement payant (par exemple Deezer en formule premium), et aussi sur les achats « in-app » (par exemple, pour acheter des jeux ou accessoires de jeux sur une application de jeux, telle Candy Crush).

88. Les saisissantes estiment que la mise en œuvre de la sollicitation ATT aura un impact extrêmement important sur leurs activités, dès lors que le taux d’acceptation des utilisateurs devrait être réduit et pourrait être compris entre 10 et 20 % seulement. Certains acteurs du secteur s’attendant, par voie de conséquence, à une baisse de leurs revenus réalisés sur iOS de l’ordre de 50 %. Les saisissantes mettent en avant le risque d’un appauvrissement des applications disponibles, leur modèle de financement par la publicité ciblée étant remis en cause. Les éditeurs, qui retireraient des revenus en moyenne deux fois plus importants avec la publicité personnalisée qu’avec la publicité contextuelle46, risquent par ailleurs de voir leurs revenus affectés avec la désactivation des cookies tiers.

2. APPLE AURAIT IMPOSE UNE OBLIGATION SUPPLEMENTAIRE CONTRAIRE A L’ARTICLE 102

89. Les saisissantes soutiennent que l’application de l’article 102 du TFUE ne nécessite pas, en principe, de démontrer que la conduite d’Apple s’insère dans une catégorie juridique particulière mentionnée dans cet article. Toutefois, si une approche contraire devait être retenue par l’Autorité, l’obligation imposée aux développeurs d’application de recourir à la sollicitation ATT pourrait être analysée, selon les saisissantes, comme ayant imposé une obligation supplémentaire, contraire aux dispositions du d) de l’article 102 du TFUE.

90. Selon elles, l’imposition d’une telle obligation serait sans lien avec la distribution d’applications sur les appareils iOS et les accords conclus entre Apple et les développeurs d’applications.

91. En effet, selon les saisissantes, les développeurs d’applications qui souhaitent distribuer leurs applications sur les appareils iOS doivent signer l’accord de programme de licence pour développeurs Apple et se conformer aux lignes directrices de l’App Store (App Store Review Guidelines), la violation de ces clauses pouvant entraîner l’interdiction de l’application sur l’App Store et la résiliation du compte du développeur.

92. Or, selon elles, l’obligation imposée aux développeurs d’applications d’utiliser la sollicitation ATT « n’apparaît pas explicitement dans l’Apple Developer License Program Agreement ou dans les Lignes directrices de l’App Store »47.

93. Les saisissantes soutiennent, en outre, que cette obligation « n’est clairement pas liée à la distribution d’applications sur les appareils iOS, que ce soit par sa nature ou par son utilisation commerciale. […] ce qui est susceptible de produire des effets d’éviction sur a) le marché des publicités d’installation d’applications sur les appareils iOS (puisque Apple sera le seul canal par lequel les spécialistes du marketing seront en mesure d’exécuter des campagnes personnalisées d’installation d’applications sur iOS et de mesurer leurs performances) et b) le marché des services d’attribution des installations d’applications sur les appareils iOS (puisque Apple sera le seul acteur fournissant des services d’attribution par le biais de ses SKAdNetwork, les Mobile Measurement Partners48 étant relégués au rôle d’agrégateurs de données) »49.

94. Enfin, les saisissantes relèvent que ce comportement n’est pas justifié dans la mesure où le RGPD et la directive e-Privacy garantissent la protection de la vie privée des utilisateurs.

F. LA DEMANDE DE MESURES CONSERVATOIRES

95. Accessoirement à leur saisine au fond, les saisissantes ont déposé une demande de mesures conservatoires, pour que soit enjoint à Apple :

- de ne pas exiger l’utilisation de la fenêtre de sollicitation ATT pour obtenir l’autorisation de l’utilisateur pour le suivi, jusqu’à ce qu’une décision sur le fond soit prise dans cette affaire, ou jusqu’à ce qu’une solution acceptable soit trouvée, à la suite de négociations entre Apple et les parties prenantes du secteur, conformément à la deuxième mesure conservatoire demandée ;

- d’engager un dialogue constructif avec les acteurs du secteur afin de trouver une solution acceptable pour obtenir l’autorisation ou le consentement au suivi de l’utilisateur qui soit conforme aux exigences de la législation européenne sur la protection de la vie privée (notamment le RGPD et la directive e-Privacy), et qui soit moins perturbante pour les utilisateurs et moins dommageable pour la concurrence sur les marchés concernés.

II. Discussion

96. Après avoir examiné l’applicabilité du droit de l’Union européenne (A), défini les marchés pertinents concernés par la saisine (B), et examiné la position qu’Apple est susceptible de détenir sur les marchés en cause (C), il conviendra de se prononcer sur les pratiques dénoncées dans le cadre de la saisine au fond (D), puis sur la demande de mesures conservatoires (E).

A. L’APPLICABILITE DU DROIT DE L’UNION EUROPEENNE

97. L’article 102 TFUE interdit, dans la mesure où le commerce entre États membres est susceptible d’en être affecté, le fait pour une ou plusieurs entreprises d’exploiter de façon abusive une position dominante sur le marché intérieur ou dans une partie substantielle de celui-ci. Se fondant sur une jurisprudence constante, et à la lumière de la communication de la Commission européenne relative à la notion d’affectation du commerce figurant aux articles 81 et 82 du traité CE (devenus les articles 101 et 102 du TFUE), l’Autorité de la concurrence considère que trois éléments doivent être réunis pour que des pratiques soient susceptibles d’affecter sensiblement le commerce entre États membres : l’existence d’échanges, à tout le moins potentiels, entre États membres portant sur les services en cause (i), l’existence de pratiques susceptibles d’affecter ces échanges (ii) et le caractère sensible de cette possible affectation (iii).

98. Au cas d’espèce, compte tenu de la dimension mondiale des pratiques dénoncées, il convient de relever que si elles étaient avérées, ces pratiques couvriraient en tout état de cause l’ensemble du territoire français. En outre, les pratiques dénoncées par les saisissantes sont susceptibles de rendre plus difficile l’entrée sur le marché de la distribution d’applications sur iOS. Partant, elles sont susceptibles d’affecter le commerce entre États membres.

99. Par ailleurs, impliquant un acteur de dimension mondiale, dont le chiffre d’affaires excède de loin le seuil de minimis de la communication susvisée, elles sont susceptibles d’affecter le commerce entre États membres de manière sensible, et par voie de conséquence, d’être qualifiées au regard de l’article 102 du TFUE.

B. LES MARCHES PERTINENTS

100. L’analyse des comportements en cause au regard des articles L. 420-2 du code de commerce et 102 du TFUE suppose tout d’abord de définir les marchés pertinents. En effet, en matière d’abus de position dominante, « la définition adéquate du marché pertinent est une condition nécessaire et préalable au jugement porté sur un comportement prétendument anticoncurrentiel, puisque, avant d’établir l’existence d’un abus de position dominante, il faut établir l’existence d’une position dominante sur un marché donné, ce qui suppose que ce marché ait été préalablement délimité »50.

101. Les développements ci-après porteront en premier lieu sur la question de la délimitation du marché de la distribution d’applications sur iOS sur lequel Apple mettrait en œuvre des pratiques abusives (a), et en second lieu, sur celle de la délimitation des marchés des publicités d’installation sur iOS (b) et des services d’attribution d’installation d’applications mobiles (c) sur lesquels ces pratiques produiraient leurs effets.

a) Le marché de la distribution d’applications mobiles sur iOS

102. Dans sa Communication sur la définition du marché en cause aux fins du droit communautaire de la concurrence du 9 décembre 199751, la Commission souligne qu’« un marché de produits en cause comprend tous les produits et/ou services que le consommateur considère comme interchangeables ou substituables en raison de leurs caractéristiques, de leur prix et de l’usage auquel ils sont destinés » (point 9). L’appréciation de la substituabilité se fait généralement du côté de la demande, « facteur de discipline le plus immédiat et le plus efficace vis-à-vis des fournisseurs d'un produit donné » (point 13), mais elle peut également tenir compte de la substituabilité du côté de l’offre.

103. Dans le même document, la Commission définit par ailleurs le marché d’un point de vue géographique, en précisant que « le marché géographique en cause comprend le territoire sur lequel les entreprises concernées sont engagées dans l’offre des biens et des services en cause, sur lequel les conditions de concurrence sont suffisamment homogènes et qui peut être distingué de zones géographiques voisines parce que, en particulier, les conditions de concurrence y diffèrent de manière appréciable ».

104. Suivant la même approche, l'Autorité a rappelé que « le marché est défini comme le lieu sur lequel se rencontrent l'offre et la demande de produits ou de services spécifiques, considérés par les acheteurs ou les utilisateurs comme substituables entre eux, mais non substituables aux autres biens et services offerts »52.

105. Dans le cadre de la présente affaire, les saisissantes soutiennent qu’il existe un marché de la distribution d’applications sur iOS.

106. Plusieurs éléments conduisent à considérer, en l’état de l’instruction, qu’un marché pertinent de la distribution d’applications sur iOS pourrait être délimité. Il peut, à cet égard, être relevé qu’à la différence de ses concurrents, Apple est une société verticalement intégrée53. En effet, d’une part, Apple fabrique des smartphones ainsi que le système d’exploitation qui leur permet de fonctionner ; d’autre part, elle distribue les applications pour ses appareils mobiles via sa propre boutique en ligne App Store, qui est préinstallée sur ses smartphones, tablettes et baladeurs numériques à écran tactile.

107. La Commission, dans sa décision Google Android du 18 juillet 201854, a relevé les spécificités caractérisant le développement d’applications sous système d’exploitation Android. Elle a notamment relevé que Google, en tant que fournisseur d’Android, système d’exploitation sous licence, ouvert aux fabricants d’appareils tiers, n’appartient pas au même marché que les développeurs verticalement intégrés tels qu’Apple55. En effet, les fabricants d’appareils tiers ne peuvent pas obtenir d’Apple la licence iOS pour utiliser ce système d’exploitation sur leurs propres smartphones. En outre, elle a ajouté que la concurrence d’Apple n’exerçait pas, du point de vue des utilisateurs finals, une pression suffisante sur Google en amont.

108. Partant, la Commission a considéré que la position dominante du Play Store de Google sur la boutique d’applications en ligne Android n’était pas entravée par l’App Store d’Apple, qui n’est disponible que sur les appareils iOS.

109. Au regard de la délimitation retenue par la Commission dans cette décision, il n’est donc pas exclu que l’App Store d’Apple puisse constituer un marché de produits distinct de celui des magasins d’applications opérant sous système d’exploitation Android.

110. En outre, il peut être relevé, du point de vue de la demande, que l’App Store d’Apple constitue le seul canal de distribution des applications mobiles sur les appareils iOS pour les développeurs, Apple n’autorisant pas le téléchargement d’applications en dehors de son magasin App Store.

111. Ce marché est marqué par une absence de substituabilité du point de vue des utilisateurs, ces derniers étant peu susceptibles de changer d’écosystème en cas d’augmentation du prix des applications payantes sur iOS ou de baisse de qualité des applications. Il en est notamment ainsi en raison du fort attachement des utilisateurs Apple aux produits de la marque, qui se manifeste, entre autres, par le très fort taux de renouvellement de l’univers iOS, alors même que les produits Apple sont en moyenne nettement plus chers que ceux du reste du marché. À titre d’exemple, en 2017, plus de 90 % des détenteurs d’un appareil de marque Apple choisissent à nouveau un appareil de cette marque au moment du renouvellement de leur téléphone56.

112. Du point de vue des développeurs d’applications, le magasin d’application d’Apple est le seul magasin leur permettant d’atteindre les utilisateurs iOS. Il faut relever en outre que les utilisateurs iOS constituent une « cible » particulièrement stratégique et attractive pour les développeurs, car ils génèrent plus de revenus que les utilisateurs présents sur Android57. Ceci est notamment lié au fait que les possesseurs d’iPhone et autres appareils mobiles Apple appartiennent généralement à la part de population bénéficiant des plus hauts revenus58.

113. Dans le cadre de ses observations écrites, Apple a relevé que la pression concurrentielle existant sur le marché primaire de la vente de terminaux mobiles suffisait à la priver d’une position dominante sur le marché secondaire de la distribution d’applications.

114. À cet égard, il convient de relever, en application des critères dégagés dans la décision de la Commission Pelikan/Kyocera59, qu’en l’absence de position dominante sur le marché primaire, une position dominante sur le marché secondaire peut être exclue si quatre conditions cumulatives sont remplies : i) les consommateurs peuvent faire un choix éclairé incluant les prix qu’ils subiront dans le futur ; ii) les consommateurs feront vraisemblablement un tel choix ; iii) un nombre suffisant de consommateurs adapteront leur comportement d’achat sur le marché primaire en cas de hausse de prix ou de dégradation de la qualité sur le marché secondaire ; iv) cette adaptation se fera dans un délai raisonnable.

115. Au cas d’espèce, et en l’état de l’instruction, l’Autorité considère que les conditions énumérées ci-dessus pour exclure une position dominante sur le marché secondaire ne sont pas remplies : le choix d’un terminal mobile par un consommateur est avant tout influencé par son prix, les dépenses relatives à l’achat d’applications ne constituant pas un élément déterminant. Par ailleurs, au-delà du marché primaire de l’iPhone, les utilisateurs Apple appartiennent également à un écosystème complet, fondé sur des équipements matériels (iPad, Apple Watch, iMac) ainsi que sur des outils logiciels (iTunes, Apple TV+, AirPlay par exemple), dont la compatibilité complète ainsi que l’expérience utilisateur ne sont assurées qu’au sein de la gamme Apple. Dès lors, il est improbable que les utilisateurs iOS se reportent sur une offre alternative sur le marché primaire, en cas d’augmentation des prix ou de dégradation de la qualité des applications de l’App Store, puisqu’un tel changement impliquerait, pour une partie des utilisateurs iOS, la perte de leur investissement dans l’écosystème d’Apple60. L’existence de coûts élevés en cas de changement d’environnement constitue ainsi une forte barrière au changement.

116. Au regard de l’ensemble des éléments développés ci-dessus, on ne peut exclure, à ce stade de l’instruction, que le marché de la distribution d’applications mobiles sur iOS constitue un marché pertinent.

117. S’agissant de la dimension géographique du marché en cause, Apple vend des terminaux mobiles sous système d’exploitation iOS au niveau mondial, sans adaptation du matériel ou logiciel en fonction des zones géographiques dans lesquelles ils sont distribués. L’App Store, qui est partie intégrante du système d’exploitation iOS, est donc le seul canal de distribution d’applications sur iOS disponible au niveau mondial. À ce stade de l’instruction, un tel marché pourrait donc être regardé comme étant de dimension mondiale.

b) Le marché de la publicité d’installation d’applications mobiles sur iOS

118. Les saisissantes font valoir qu’il existe un marché spécifique qui correspondrait aux publicités pour les applications mobiles sous iOS, lorsque celles-ci apparaissent dans les applications iOS elles-mêmes et visent directement à promouvoir leur installation par l’utilisateur sur son terminal. Un tel marché exclurait les publicités poursuivant le même objectif mais qui apparaîtraient en dehors d’une application, par exemple sur un site internet d’éditeur de presse.

119. Ce marché n’a jamais été défini, ni par la pratique décisionnelle des autorités de concurrence, ni par la jurisprudence. Les publicités d’installation d’applications désignent, dans le secteur de la publicité en ligne, les annonces visibles au sein d’applications (dites « in-app »), qui invitent l’utilisateur, lorsqu’il clique dessus, à télécharger une application (généralement, elles redirigent l’utilisateur vers un magasin d’applications).

120. D’après les saisissantes, les publicités d’installation d’applications sur les appareils iOS ne sont pas substituables aux annonces qui apparaissent sur l’inventaire des sites internet, y compris dans le cadre d’une navigation sur internet à partir d’un iPhone, dans la mesure où s’agissant : « (...) d’appareils mobiles, des études montrent que l’utilisateur moyen passe 90 % de son temps sur les applications (au lieu du web mobile). Les annonces in-app sont donc indispensables pour les spécialistes du marketing qui souhaitent atteindre les consommateurs et générer des téléchargements. » (cote 59)61.

121. Au sein des publicités sur mobile, les publicités d’installation d’applications présentent certaines caractéristiques propres. Comme les publicités contextuelles62, elles permettent de cibler une audience grâce à des supports spécifiques, en fonction du contexte où se trouve l’utilisateur exposé au message. Néanmoins, elles présentent l’avantage de pouvoir engendrer une action directe de l’utilisateur sur la publicité, à savoir le téléchargement de l’application objet de l’annonce publicitaire.

122. Les publicités qui correspondraient au marché évoqué ci-dessus sont achetées par les développeurs qui souhaitent augmenter les téléchargements de leurs applications et ainsi recruter de nouveaux utilisateurs. Les publicités d’installation d’applications peuvent apparaître sur l’App Store lui-même, ainsi que sur des applications tierces qui sont disponibles sur iPhone.

123. Du point de vue des développeurs, les publicités d’installation sur les applications fonctionnant sous iOS ne semblent pas substituables avec celles qui apparaissent sur les applications sous Android, dès lors que chacun des deux systèmes dispose de son propre magasin d’applications, et s’adresse à un type de consommateur différent. L’utilisateur d’iOS serait par ailleurs plus enclin à dépenser pour les achats d’applications et au sein de ces applications.

124. Du point de vue de la demande, la possibilité d’interaction directe du consommateur avec la publicité est une caractéristique importante, puisqu’elle permet à l’annonceur de bénéficier de l’impulsivité du consommateur quant au téléchargement d’une application. Cet avantage est difficilement reproductible sur un autre support. Pour une partie des annonceurs qui valorisent ces spécificités techniques ou l’expérience utilisateur différente, il y aurait donc une faible substituabilité de la demande. Cette caractéristique serait renforcée par le fait que les utilisateurs de terminaux mobiles privilégieraient une navigation sur les applications à une navigation sur l’internet mobile.

125. À ce stade de l’instruction, la définition d’un éventuel marché de la publicité d’installations d’applications mobiles limité à iOS peut être laissée ouverte. Un tel marché pourrait, le cas échéant, être considéré comme étant de dimension nationale63.

c) Le marché des services d’attribution d’installations d’applications mobiles sur iOS

126. L’attribution aide les annonceurs à mesurer l’efficacité de leurs campagnes en connectant des événements de conversion, tels que les installations d’applications ou d’autres événements (comme les achats d’applications), à la campagne multimédia qui a conduit à un tel événement de conversion. Les services d’attribution d’installations d’applications mobiles sur iOS visent à identifier si l’utilisateur qui a été exposé à une annonce l’incitant à télécharger une application a effectivement téléchargé cette dernière et, si tel est le cas, quelle campagne doit être considérée comme responsable de cette « conversion ». En publicité numérique, la « conversion » peut être définie par le fait qu’un visiteur exposé à une publicité ou que le destinataire d’une campagne accomplisse l’action recherchée, un achat par exemple. La conversion peut également prendre la forme d’une action réalisée en dehors d’Internet, comme un appel téléphonique ou une visite en magasin. L’action considérée comme une conversion dépend du contexte de la campagne, de la nature de l’activité et des objectifs assignés à une cible ou une campagne64.

127. Il existe, du côté de l’offre, de nombreux prestataires proposant des solutions d’attribution fonctionnant sur les deux systèmes d’exploitation. En effet, les acteurs offrant ce type de technologie publicitaire ne sont pas spécifiques à un système d’exploitation : la quasi-totalité d’entre eux fournissent leurs services à la fois sur iOS et Android65. La pratique du marché est que les développeurs d’applications utilisent les mêmes partenaires de technologie publicitaire sur les deux OS. Par ailleurs, la Commission européenne, dans sa décision Google Android, indique qu’un taux important de développeurs d’applications sur Android développent également leurs produits sur iOS. Elle relève notamment que 92 des 100 applications les plus populaires d’éditeurs tiers disponibles sur le magasin d’applications de Google sont également disponibles sur l’App Store66.

128. Les entreprises auditionnées dans le cadre de l’instruction ont indiqué que ce marché était,

a minima, de dimension européenne.

129. À ce stade de l’instruction, les services d’attribution des installations d’applications sur iOS et Android seraient susceptibles de constituer un marché, de dimension au moins européenne.

C. LA SITUATION DE MONOPOLE D’APPLE SUR LE MARCHE EN CAUSE

130. Les pratiques d’Apple ont eu lieu sur le marché de la distribution d’applications sur iOS. Compte tenu du fait que l’App Store d’Apple constitue le seul canal de distribution des applications mobiles sur les appareils iOS, Apple apparaît susceptible, à ce stade de l’instruction, de détenir une situation de monopole sur ce marché. Il n’est pas nécessaire, toujours à ce stade de l’instruction, de s’interroger sur la position d’Apple sur les marchés où les éventuels effets des pratiques sont susceptibles de se produire.

D. SUR LE CARACTERE POTENTIELLEMENT ANTICONCURRENTIEL DES PRATIQUES DENONCEES

131. Selon la jurisprudence de la Cour de cassation, « des mesures conservatoires peuvent être décidées dès lors que les faits dénoncés apparaissent susceptibles, en l’état des éléments produits aux débats, de constituer une pratique contraire aux articles L. 420-1 ou L. 420-2 du code de commerce, à l’origine directe et certaine d’une atteinte grave et immédiate aux intérêts protégés par l’article L. 464-1 du code de commerce ; (…) la caractérisation d’une telle pratique n’est pas requise à ce stade de la procédure » (arrêt de la Cour de cassation du 4 octobre 2016, Orange, n° 15-14158). Préalablement à l’examen des critères prévus par l’article L. 464-1 du code de commerce, il convient donc de vérifier si les faits dénoncés dans la procédure au fond, apparaissent susceptibles, en l’état des éléments produits aux débats, de constituer une pratique contraire aux articles L. 420-1 ou L. 420-2 du code de commerce67.

132. Les saisissantes soutiennent que la décision d’Apple de mettre en place la sollicitation ATT, dont le déploiement est prévu en mars ou avril 2021, constitue un abus de position dominante, en ce qu’elle impose des conditions de transaction inéquitables au sens du paragraphe a) de l’article 102 du TFUE, dans la mesure où cette sollicitation n’est ni nécessaire, ni proportionnée pour atteindre l’objectif de protection de la vie privée des utilisateurs poursuivi par Apple.

133. Les saisissantes considèrent que le comportement d’Apple est également susceptible de contrevenir au paragraphe d) de l’article 102 du TFUE qui interdit de : « subordonner la conclusion de contrats à l'acceptation, par les partenaires, de prestations supplémentaires qui, par leur nature ou selon les usages commerciaux, n'ont pas de lien avec l'objet de ces contrats ».

a) La liberté de l’opérateur dominant d’édicter des règles d’accès et de maintien à la plateforme numérique

134. Toute entreprise, y compris lorsqu’elle est en situation de position dominante, jouit, en vertu de la liberté du commerce et de l’industrie, de la faculté de définir librement les règles et principes de fonctionnement des produits et services qu’elle met à la disposition du public. Cette liberté porte notamment sur les règles techniques permettant d’optimiser le fonctionnement du produit ou service, et peut par ailleurs correspondre à la politique commerciale de différenciation de l’entreprise concernée. Cette liberté trouve toutefois sa limite dans le respect des lois et règlements par ailleurs applicables, et, s’agissant plus particulièrement du droit de la concurrence, ne saurait être mise en œuvre si elle est contraire aux règles de concurrence, notamment si elle a un objet anticoncurrentiel.

135. Dans sa communication du 24 février 2009 relative aux priorités retenues pour l’application de l’article 102 du TFUE, la Commission européenne indique qu’elle « part du principe que, d’une manière générale, une entreprise, qu’elle soit ou non dominante, devrait avoir le droit de choisir ses partenaires commerciaux et de disposer librement de ses biens » 68.

136. Conformément à ce principe, un opérateur en position dominante est libre d’édicter les règles qu’il estime utiles pour conditionner l’accès à ses biens ou ses services, sous réserve que leur mise en œuvre n’ait pas pour objet ou pour effet de restreindre la concurrence. Ce principe de liberté commerciale s’applique également aux plateformes dites « structurantes »69, qui détiennent un pouvoir de marché considérable sur le marché sur lequel elles interviennent à titre principal mais également sur des marchés voisins, en raison de leur statut de « contrôleur d’accès » (« gatekeeper »), dès lors que les règles conditionnant l’accès ou le maintien d’opérateurs économiques à ou sur ces plateformes n’ont pas pour objet ou pour effet de restreindre la concurrence.

137. L’Autorité a eu l’occasion d’appliquer ces principes dans le cas de l’adoption d’une politique de protection des consommateurs par un opérateur en position dominante dans le secteur de la publicité en ligne liée aux recherches. Elle a estimé, s’agissant de la définition par Google de règles définissant des conditions d’accès au service AdWords (puis Google Ads), qu’un tel comportement ne présente pas en soi un caractère anticoncurrentiel et relève de l’exercice légitime de la liberté commerciale de l’opérateur dominant70. Celui-ci demeure, à cet égard, libre d’édicter des règles prévoyant des protections supplémentaires pour les internautes par rapport à ce qu’impose par ailleurs la réglementation.

138. Toutefois, la liberté dont dispose l’opérateur dominant pour définir, par exemple, des règles protectrices des consommateurs, n’exonère pas cette entreprise de l’obligation de mettre en œuvre cette politique dans des conditions objectives, transparentes et non discriminatoires.

En effet, un opérateur dominant qui exploite une plateforme numérique peut orienter le modèle économique des opérateurs économiques référencés sur sa plateforme, limiter leur liberté d’entreprendre, et influer sur la qualité et la diversité de l’offre ouverte aux internautes. L’opérateur dominant est donc soumis, en raison du pouvoir qu’il exerce sur le marché, à une responsabilité particulière de ne pas porter atteinte par son comportement à une concurrence effective et non faussée. Ainsi, le fait pour un opérateur dominant de mettre en œuvre des règles d’accès à une plateforme numérique disproportionnées ou privées de justification objective, peut affecter le fonctionnement des marchés où les opérateurs économiques référencés sur la plateforme numérique sont actifs et nuire, in fine, aux intérêts des consommateurs.

b) Apple peut-elle être regardée comme ayant imposé des conditions de transaction inéquitables ?

Sur les principes applicables

139. Selon l’article 102 du TFUE, « Est incompatible avec le marché intérieur et interdit, dans la mesure où le commerce entre États membres est susceptible d'en être affecté, le fait pour une ou plusieurs entreprises d'exploiter de façon abusive une position dominante sur le marché intérieur ou dans une partie substantielle de celui-ci ».

140. Le a) du deuxième alinéa de l’article 102 du TFUE, prévoit, plus spécifiquement, parmi les pratiques qui peuvent être qualifiées d’abusives, le fait « d’imposer de façon directe ou indirecte des prix d’achat ou de vente ou d’autres conditions de transaction non équitables ».

141. Comme l’a rappelé l’Autorité dans sa décision n° 19-D-2671, l’application de ces dispositions ne se limite pas à la qualification de prix non équitables ou excessifs, l’article 102 faisant également référence aux autres conditions de transaction non équitables. La pratique décisionnelle, en France et en Europe, donne plusieurs illustrations de cas dans lesquels des conditions autres que tarifaires ont été considérées comme abusives du fait de leur caractère inéquitable.

142. Dans un arrêt du 21 mars 1974, BRT/SABAM et Fonior72, la Cour de justice s’est ainsi fondée73 sur le a) du deuxième alinéa de l’article 102 du Traité, pour juger « que le fait qu'une entreprise chargée de l'exploitation de droits d'auteur, occupant une position dominante au sens de l'article 86 [devenu article 102 du TFUE], imposerait à ses adhérents des engagements non indispensables à la réalisation de son objet social et qui entraveraient ainsi de façon inéquitable la liberté d'un adhérent dans l'exercice de son droit d'auteur, peut constituer une exploitation abusive »74.

143. Le standard de preuve retenu par la jurisprudence consiste, d’une part, à examiner les modalités selon lesquelles les conditions de transaction ont été conclues, les termes du a) du deuxième alinéa de l’article 102 précisant que la pratique abusive peut consister à « imposer » des conditions, et d’autre part, à apprécier le caractère inéquitable de ces conditions, en examinant plus particulièrement si les comportements de l’entreprise dominante ont été accomplis dans une « mesure raisonnable ». La jurisprudence précise à cet égard « que s’il est exact, (…) que l’existence d’une position dominante ne saurait priver une entreprise se trouvant dans une telle position du droit de préserver ses propres intérêts commerciaux, lorsque ceux-ci sont attaqués, et qu’il faut lui accorder, dans une mesure raisonnable, la faculté d’accomplir les actes qu’elle juge appropriés en vue de protéger ses dits intérêts, on ne peut admettre de tels comportements lorsqu’ils ont précisément pour objet de renforcer cette position dominante et d’en abuser »75. S’agissant de l’appréciation du caractère raisonnable de la pratique imposée, la jurisprudence examine si celle-ci est à la fois nécessaire et proportionnée pour remplir l’objectif poursuivi par l’entreprise dominante ou la réalisation de son objet social76.

Sur l’objectif de protection des données personnelles poursuivi par Apple

144. Apple fait valoir, en réponse à la saisine, que la mise en place de la sollicitation ATT s’inscrit dans une priorité donnée, de longue date, à la protection de la vie privée, et a plus précisément pour objet d’assurer aux utilisateurs de ses produits (iPhone notamment) une protection renforcée à l’égard de la collecte et de l’exploitation de leurs données personnelles. Apple fait aussi valoir que la protection de la vie privée est un élément inhérent à son image de marque et que le développement d’outils et de politiques, matériels et logiciels spécifiques vise à répondre aux attentes des consommateurs qui achètent ses produits.

145. Les éléments produits aux débats confirment, tout d’abord, que la protection des données personnelles s’inscrit dans une stratégie de long terme d’Apple, cette dernière ayant mis en œuvre par le passé plusieurs mesures permettant aux utilisateurs de bénéficier d’une protection renforcée de leurs données personnelles (notamment par le cryptage de données propres à l’iPhone ou à son utilisateur) et de mieux contrôler l’utilisation qui en est faite. À titre d’exemple, en 2005, Apple a mis en place un mode de navigation privé sur son navigateur Internet (Safari) pour permettre à ses utilisateurs de bloquer les cookies par défaut. En 2017, Apple a mis en place le système « Intelligent Tracking Prevention » (« ITP », pour prévention de traçage intelligente) sur Safari pour détecter et supprimer les cookies tiers dans certaines circonstances.

146. Il apparaît par ailleurs, que cette politique de protection de la vie privée répond à une demande croissante des consommateurs. Selon un sondage IFOP réalisé par la CNIL, 70 % des personnes interrogées trouvent indispensable que les acteurs obtiennent leur accord avant qu’il soit possible de se servir de leurs données de navigation via des traceurs77. Plusieurs associations de consommateurs et de défense du droit à la vie privée soutiennent d’ailleurs, à cet égard, l’introduction de la sollicitation ATT78, comme le fait valoir Apple.

147. L’Autorité considère, pour sa part, que l’objectif visé par l’introduction de la sollicitation ATT s’inscrit dans les choix retenus par Apple en matière de protection de la vie privée des utilisateurs des produits iOS. La mise en place d’une telle stratégie n’apparaît pas comme anticoncurrentielle par elle-même et relève, en son principe, de l’exercice légitime de la politique commerciale d’Apple.

Sur le caractère nécessaire et proportionné de la sollicitation ATT

148. Il ressort de l’avis de la CNIL du 17 décembre 2020 que la sollicitation ATT proposée par Apple permettra au consommateur d’accepter ou de refuser le traçage avec le même degré de simplicité, via l’inclusion de boutons « autoriser le traçage » et « demander à l’application de ne pas tracer mes activités », ces boutons étant situés au même niveau et suivant le même format79.

149. La formulation retenue par Apple dans le cadre de la sollicitation ATT est neutre et ne permet pas d’établir qu’une option soit privilégiée par rapport à une autre. Dans la version française actuellement disponible, l’option « Autoriser le suivi » est d’ailleurs plus visible que l’option « Demander à l’app de ne pas suivre mes activités ». C’est ce qui ressort par exemple de l’installation de l’application Reuters News, qui affiche déjà la sollicitation ATT80 (voir supra au paragraphe 23).

150. Les modalités de choix de la sollicitation ATT constituent un moyen simple, objectif et transparent, qui permet à l’utilisateur d’exprimer aussi facilement son refus que son consentement d’être suivi à des fins publicitaires, en donnant accès à son IDFA.

151. L’affirmation des saisissantes selon laquelle la sollicitation ATT, en faisant référence au suivi des utilisateurs, aurait « une tonalité inquiétante de nature à faire peur à l'utilisateur » n’apparaît pas fondée. La phrase décrit de façon objective la sollicitation ATT, sans dissuader, par sa formulation, l’utilisateur d’y répondre positivement. Il convient de noter, ensuite, que la CNIL, dans son avis du 17 décembre 2020 précité, insiste au contraire sur la nécessité de faire référence à cette notion de traçage pour informer correctement le consommateur de la portée de son choix : « [la CNIL] estime que la mention du suivi au sein des différentes applications et sites web utilisés par ce dernier et détenus par d'autres éditeurs est une information essentielle pour permettre à l'utilisateur de prendre conscience de l'ampleur potentielle de la collecte de données qui ira alimenter son profil à des fins publicitaires et donc d'être éclairé sur la portée de son choix »81.

152. Le fait que les utilisateurs disposent d’une fonctionnalité spécifique leur offrant la possibilité d’effectuer un choix distinct, application par application, permettra, par ailleurs, aux applications qu’ils connaissent mieux et dans lesquelles ils ont le plus confiance, d’avoir des taux d’acceptation plus élevés en réponse à la sollicitation ATT. En outre, il y a lieu de tenir compte de ce qu’Apple a prévu d’autoriser les développeurs d’applications à personnaliser, en partie, la sollicitation ATT, afin de leur permettre d’expliquer les raisons pour lesquelles ils souhaitent accéder à l’IDFA, et de convaincre le maximum d’utilisateurs d’accepter leur traçage à des fins publicitaires82. Les développeurs pourront ainsi :

- modifier librement la description de l’usage, composée d’un texte en caractères non gras, qui s’affiche en non gras dans la sollicitation ATT ;

- choisir le moment auquel la sollicitation ATT s’affiche, afin de maximiser la proportion de consommateurs qui souhaiteront être tracés (par exemple, en l’affichant une fois que le consommateur se sera familiarisé avec les fonctionnalités de l’application et sera donc en mesure d’apprécier l’utilité de cette dernière) ;

- faire apparaître une fenêtre avant l’apparition de la sollicitation ATT, pour expliquer plus en détail comment les données de l’utilisateur telles que l’IDFA seront utilisées et pour quel type de traçage, et une autre fenêtre après l’apparition de la sollicitation ATT, en cas de refus par l’utilisateur du traçage. Apple a précisé que l’éditeur d’application peut s’il le souhaite prévoir l’affichage de ces deux fenêtres de façon cumulative83.

153. La sollicitation ATT mise en œuvre par Apple n’apparaît ainsi ni excessive, ni disproportionnée au regard des intérêts des consommateurs, qui souhaitent avoir le contrôle de l’utilisation de leurs données personnelles à des fins publicitaires, et des développeurs d’application, et ce alors qu’un grand nombre d’entreprises développant et exploitant des applications financent leurs services par le recours à la publicité personnalisée.

154. L’Autorité relève en outre que la mise en place de cette sollicitation devait initialement intervenir en septembre 2020, parallèlement au lancement d’iOS 14, mais a été reportée par Apple au mois de mars ou avril 2021, afin de permettre aux développeurs d’applications de s’adapter à ce nouveau mode de recueil de consentement. À la date à laquelle l’Autorité se prononce, la mise en place de la sollicitation ne revêt donc pas un caractère brutal, les développeurs d’application en ayant été informés plusieurs mois avant.

155. Enfin, les allégations des saisissantes selon laquelle la sollicitation ATT ne permettrait pas de recueillir le consentement des internautes conformément aux exigences du RGPD n’apparaissent pas de nature à établir un caractère potentiellement abusif de la pratique. Il convient tout d’abord de relever que la mise en place de la sollicitation ATT n’est présentée par Apple, ni vis-à-vis des acteurs de l’écosystème de la publicité en ligne, ni vis-à-vis des consommateurs, comme permettant de recueillir le consentement requis au titre du RGPD. Elle est présentée comme une mesure complémentaire destinée à assurer une protection supplémentaire de l’utilisateur, sans se substituer par elle-même au consentement qui pourrait être recueilli par d’autres acteurs au titre de la collecte et de l’exploitation de leurs données personnelles.

156. Ensuite, et en tout état de cause, les règles de concurrence n’interdisent pas à Apple de mettre en place son propre recueil du consentement, en complément des plateformes de consentement utilisées par les développeurs pour répondre aux exigences du RGPD, dès lors qu’une telle décision est guidée par l’objectif légitime de protéger la vie privée des utilisateurs. Sur ce point, Apple a indiqué qu’elle ne souhaitait pas que la sollicitation ATT remplace les mécanismes par lesquels les développeurs recueillent le consentement des utilisateurs et que la sollicitation ATT a été conçue en complément des interfaces déjà utilisées par les développeurs et afin de permettre aux utilisateurs de faire un choix plus éclairé84.

157. La position d’Apple, selon laquelle un opérateur peut prévoir des mesures de protection des données personnelles complémentaires à celles prévues par la réglementation, n’apparaît pas contraire à la lettre ni à l’esprit du RGPD. Telle a également été l’analyse de la CNIL, qui dans son avis du 17 décembre 2020, a précisé que : « le RGPD et les dispositions nationales transposant la directive « ePrivacy » n’interdisent en aucun cas aux concepteurs de logiciels de fournir voire d’imposer son design sur la fenêtre de recueil des choix. La règlementation encourage d’ailleurs fortement ces derniers à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de leurs produits et à s'assurer que les responsables du traitement et les sous-traitants sont en mesure de s'acquitter des obligations qui leur incombent en matière de protection des données »85. Elle en conclut que même si Apple n’était pas tenue de recueillir le consentement des utilisateurs pour les opérations de suivi publicitaires de développeurs d’applications sur le fondement d’une obligation légale, « la règlementation relative à la protection des données n’empêche pas la société Apple de mettre en œuvre un dispositif permettant d’interdire aux éditeurs d’application de tracer l’utilisateur sans consentement, d’autant plus lorsque celui-ci est imposé par la règlementation ».

158. Dans son avis du 17 décembre 2020, la CNIL prend par ailleurs acte des précisions apportées par Apple selon lesquelles les éditeurs d’application seront, en effet, en mesure de compléter la fenêtre informative d’Apple afin, notamment, d’informer les utilisateurs sur l’utilisation qui sera faite des données collectées via les traceurs et tenter de les inviter à consentir à cette utilisation. Au regard de ces éléments, la CNIL relève que, sous certaines conditions, le recueil de consentement ATT pourrait permettre aux éditeurs d’application de recueillir un consentement éclairé, ce qui pourrait dans une telle hypothèse, qui n’est pas encore réalisée, conduire à substituer la sollicitation ATT à d’autres sollicitations réalisées par l’éditeur. Elle en conclut que « le dispositif proposé par la société Apple permettrait aux éditeurs d’application, sous réserve d’intégrer les éléments d’informations légalement exigibles, que la CNIL a rappelés à l’article 2 de ses lignes directrices « cookies et autres traceurs », de collecter un consentement éclairé tel qu’exigé par la règlementation applicable ».

159. Enfin, si les saisissantes ont critiqué la rigidité de la sollicitation ATT, telle qu’elle est aujourd’hui présentée, en ce qu’une partie du texte de la fenêtre est fixe et ne peut être modifiée par le développeur, l’Autorité relève que la décision d’Apple de recourir à une telle standardisation n’apparaît pas comme non objective ou disproportionnée. Le fait que la fenêtre de sollicitation ATT soit pour partie « normée » peut, notamment, être de nature à faciliter le choix du consommateur.

160. Enfin, la circonstance qu’Apple n’affiche pas la sollicitation ATT dans le cadre de son propre service publicitaire Apple Search Ads ne permet pas, au regard des éléments produits aux débats, de conclure que cette mesure ne serait pas justifiée au regard de l’objectif de protection de vie privée mis en avant par Apple.

161. À cet égard, Apple considère que la sollicitation ATT n’a pas à s’appliquer à son propre service publicitaire, dans la mesure elle n’utilise pas des techniques de suivi individuel des internautes, Apple Search Ads se contentant d’utiliser un nombre limité de données propriétaires générées par l’utilisation des services d’Apple, afin de regrouper les utilisateurs par cohorte d’au moins 5 000 personnes.

162. Sur ce point, l’Autorité estime, au stade préliminaire d’examen des mesures d’urgence, qu’il ne résultait pas des éléments produits au dossier qu’Apple appliquerait, en imposant la sollicitation ATT aux acteurs souhaitant pouvoir recourir au suivi de l’activité des utilisateurs sur les sites tiers, un traitement plus rigoureux que celui qu’elle s’appliquerait à elle-même pour des traitements similaires.

163. L’instruction de la saisine au fond permettra toutefois de déterminer si ce traitement constitue ou non une pratique anticoncurrentielle, notamment en ce qu’il produirait de la part d’Apple une forme de discrimination à son profit (ou « self-preferencing »).

164. En conclusion, les éléments produits par les saisissantes ne permettent pas d’établir que le déploiement de la sollicitation ATT constitue une pratique déraisonnable d’Apple, qui ne soit pas nécessaire et proportionnée pour poursuivre l’objectif de protection des données personnelles des utilisateurs de produits iOS. La décision d’Apple de mettre en place la sollicitation ATT n’apparaît donc pas, à ce stade de l’instruction, susceptible d’être regardée comme ayant imposé des conditions de transaction inéquitables.

c) Apple a-t-elle imposé une obligation supplémentaire aux développeurs d’applications dans des conditions contraires à l’article 102 du TFUE ?

Sur les principes applicables

165. Le d) du deuxième alinéa de l’article 102 du TFUE, prévoit que, parmi les pratiques d’un opérateur dominant qui peuvent être qualifiées d’abusives, figure le fait de « subordonner la conclusion de contrats à l'acceptation, par les partenaires, de prestations supplémentaires qui, par leur nature ou selon les usages commerciaux, n'ont pas de lien avec l'objet de ces contrats ».

166. Dans la décision Google/Android, la Commission a précisé les quatre conditions cumulatives devant être réunies pour qu’un comportement qui subordonne la conclusion d’un contrat d’un produit ou un service à une obligation supplémentaire soit susceptible de tomber sous le coup de cette interdiction : (i) l’entreprise est dominante sur le marché où elle offre le produit ou le service ; (ii) l’obligation supplémentaire n’est pas liée à l’objet du contrat ; (iii) l’obligation supplémentaire ne laisse pas à l’autre partie le choix d’obtenir le produit ou le service autre sans accepter l’obligation supplémentaire ; et (iv) l’obligation supplémentaire est susceptible de restreindre la concurrence86.

167. Selon une jurisprudence constante, l’énumération des pratiques abusives figurant au deuxième alinéa de l’article 102 du TFUE n’est pas limitative, de sorte que les pratiques qui y sont mentionnées ne constituent que des exemples particuliers d’abus de position dominante, expressément désignés comme tels par le Traité87. Il en résulte qu’une entreprise en position dominante imposant une obligation supplémentaire peut méconnaître l’article 102 du TFUE, alors même que ce comportement ne correspondrait pas à l’exemple mentionné au d) du second alinéa de l’article 102 du TFUE.

Appréciation au cas d’espèce

168. L’introduction de la sollicitation ATT, par laquelle Apple se contente d’offrir au consommateur un cadre standardisé lui permettant de choisir la manière dont ses données seront utilisées, n’a pas pour objet d’imposer aux développeurs d’applications de fournir une prestation ou un produit supplémentaires au sens du d) de l’article 102 du TFUE.

169. En outre, depuis 2012, les consommateurs utilisant les produits iPhone d’Apple peuvent décider d’autoriser ou non les développeurs à les suivre via l’option de réglage « Limiter le traçage publicitaire », qui fait partie des réglages proposés par l’appareil. La sollicitation ATT constitue donc une nouvelle modalité de mise en œuvre d’un dispositif préexistant.

170. Enfin, contrairement à ce que prétendent les saisissantes, il apparaît que la sollicitation ATT présente un lien avec à la prestation principale de distribution d’applications dans l’App Store. La distribution d’applications implique en effet de fournir un certain nombre de prestations accessoires aux consommateurs, afin que ceux-ci puissent télécharger en toute confiance les applications dans l’App Store. À cet égard, il ressort des pièces du dossier que, comme il a été dit plus haut, la protection de la vie privée répond à une attente croissante des consommateurs, qui se montrent de plus en plus attentifs à l’utilisation de leurs données personnelles et à la politique de confidentialité des opérateurs offrant des services numériques.

171. Au regard de ce qui précède, les saisissantes n’ont pas apporté, en l’état du dossier, d’éléments permettant d’établir que le déploiement de la sollicitation ATT serait susceptible de constituer une pratique imposant aux partenaires d’Apple des obligations supplémentaires qui seraient contraires aux dispositions de l’article 102 du TFUE.

172. Par conséquent, il n’apparaît pas nécessaire d’analyser les effets d’éviction générés par le déploiement de la sollicitation ATT sur les marchés des publicités d’installation d’applications et des services d’attribution des installations d’applications, dans la mesure où il n’est pas établi, en l’état de l’instruction, que de tels effets résulteraient d’un comportement d’Apple susceptible d’être qualifié d’anticoncurrentiel.

E. SUR LES MESURES CONSERVATOIRES

173. L’Autorité estime que les saisissantes n’ont pas apporté d’éléments permettant de considérer l’introduction de la sollicitation ATT comme susceptible d’avoir imposé aux développeurs d’applications sur iOS des conditions de transactions inéquitables des prestations supplémentaires, en contradiction avec l’article 102 du TFUE.

174. Il en résulte qu’aucun fait dénoncé par les saisissantes n’est susceptible, en l’état des éléments produits aux débats, de constituer une pratique anticoncurrentielle.

175. En conséquence, il convient de rejeter la demande de mesures conservatoires présentée par les saisissantes. sans qu’il y ait lieu de vérifier si les conditions requises par l’article L. 464-1, alinéas 1 et 2, du code de commerce sont en l’espèce remplies.

DÉCISION

Article 1er : Il y a lieu de poursuivre l’instruction au fond de la saisine enregistrée sous le numéro 20/0098 F.

Article 2 : La demande de mesures conservatoires enregistrée sous le numéro 20/0099 M est rejetée.

NOTES

1 Ce résumé a un caractère strictement informatif. Seuls font foi les motifs de la décision numérotés ci-après.

2 https://www.vox.com/recode/2020/6/22/21299398/apple-ios14-big-sur-privacy-wwdc-2020

3 Lignes directrices de la CNIL du 17 septembre 2020 « cookies et autres traceurs » - https://www.cnil.fr/sites/default/files/atoms/files/lignes_directrices_de_la_cnil_sur_les_cookies_et_autres_tra ceurs.pdf

4 Voir notamment paragraphe 40 et suivants de l’avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet.

5 IDFA sur iOS et Android Advertising Identifier sur Android.

6 Selon la définition donnée par Apple dans son document « Apple Developer Program License Agreeement » (cote 167), l’IDFA est un identifiant unique, non personnel et non permanent fourni par l’intermédiaire des API de support publicitaire qui sont associées à un appareil de la marque Apple en particulier et qui doivent être utilisées uniquement à des fins publicitaires, sauf autorisation expresse écrite d’Apple.

7 Audition de la société E-Novate du 8 janvier 2021. « L’IDFA permet également de maîtriser la fréquence de diffusion publicitaire par utilisateur (« frequency capping ») et de lutter contre certaines formes de fraude publicitaire », (cote 2031).

8 Paragraphes 25 et 30 de l’avis n° 18-A-03 du 6 mars 2018 de l’Autorité de la Concurrence portant sur l’exploitation des données dans le secteur de la publicité sur internet.

9 Audition de la société Mobsuccess du 6 janvier 2021. « L'IDFA nous permet dans un premier temps de vérifier que l'utilisateur est bien dans notre cible socio-démographique. Dans un second temps, il nous permet de savoir si la personne a déjà enregistré l'application ou déjà vu une publicité. », (cote 1987).

10 L’engagement du client est apprécié notamment au vu de son investissement avec une marque ou un produit. Le réengagement consiste, pour un utilisateur ayant consulté une page correspondant à un produit, une réservation d’hôtel ou un billet d’avion, à finalement passer à l’acte d’achat.

11 Saisine - cote 26 : « Au Royaume-Uni, près de 28% des utilisateurs d’iPhone ont choisi de ne pas être tracés en 2020, en Allemagne 22,5% des utilisateurs d’iOS et en France 14,5%. ».

12 Cette nouvelle fonctionnalité (https://www.apple.com/fr/ios/ios-14/features) sera disponible dans les paramètres de confidentialité de l’iPhone ou lorsqu’une application demandera à l’utilisateur le partage de sa localisation. Dans ce dernier cas, dans la fenêtre de demande d’autorisation, un bouton « position exacte », précoché sur oui, pourra être désactivé afin de n’autoriser qu’un partage de la localisation « approximative » de l’utilisateur (cercle d’un diamètre d’une dizaine de kilomètres). Ce réglage constituera une alternative supplémentaire à la localisation fine actuelle (ou à l’option « pas de localisation », qui interdit d’accéder à certaines applications comme le guidage géographique par exemple).

13 Réponse récapitulative d’Apple du 26 janvier 2021, note de bas de page 8 - cote 2287.

14 Paragraphe 45 des observations du 17 décembre de la société Apple (cote 494).

15 https://developer.apple.com/documentation/uikit/protecting_the_user_s_privacy/requesting_access_to_protected_re- sources

16 Cote 2118, page 4 de la réponse d’Apple. aux questions 1 à 10 du questionnaire de l’Autorité de la concurrence du 29 décembre 2020.

17 Cotes 2116 à 2121.

18 Paragraphe 61 des observations récapitulatives de la société Apple du 26 janvier 2021 (cote 2316) : « Si les développeurs le souhaitent, ils peuvent : (...)

- faire apparaître une fenêtre avant l’apparition de la sollicitation ATT pour expliquer plus en détail comment les données de l’utilisateur telles que l’IDFA seront utilisées et pour quel type de traçage ;

- faire apparaître une autre fenêtre après l’apparition de la sollicitation ATT, en cas de refus par l’utilisateur du traçage. (...) ».

19 https://developer.apple.com/app-store/user-privacy-and-data-use/

20 Cotes 2936 à 2937.

21 Informations disponibles dans la foire aux questions de la page internet « User Privacy and Data Use » à l’adresse : https://developer.apple.com/app-store/user-privacy-and-data-use/.

22 Technique consistant à rendre anonyme certains éléments de l’adresse e-mail ou du numéro de téléphone en les remplaçant par des croix, comme sur les reçus de carte bancaire par exemple.

23 Le fingerprinting consiste à créer une "empreinte digitale" de l'utilisateur grâce à un algorithme qui recueille une série d'informations dont la combinaison forme une signature unique permettant de "reconnaître" un utilisateur et de suivre son activité sur une application notamment. À chaque visite de site ou d'application mobile, l'internaute envoie jusqu'à 80 informations techniques comme son fuseau horaire, la version de son navigateur, la résolution de son écran ou les plug-ins installés, qui sont analysées afin de l’identifier et de le suivre entre applications.

24 En l’état du dossier, le fait de suivre le TCF ne constitue toutefois pas une garantie certaine de conformité au cadre réglementaire, la CNIL ne s’étant pas à ce jour prononcée sur ce point.

25 https://www.iabfrance.com/actualite/liab-france-presente-le-taux-dadoption-de-la-nouvelle-version-du-tcf- en-france

26 Cotes 2758 à 2765

27 Cote 2765.

31 Cote 47.

29 Cotes 2937 et 2938.

30 Voir notamment paragraphe 47 de la présente décision.

31 Voir par exemple la délibération du 21 janvier 2019 par laquelle la CNIL a sanctionné la société GOOGLE LLC d’une amende de 50 millions d’euros, confirmée par un arrêt du Conseil d’État en date du 12 juin 2020, n° 430810 ;voir également la délibération du 7 décembre 2020 par laquelle la CNIL a sanctionné la société GOOGLE LLC d’une amende de 60 millions d’euros et la société GOOGLE IRELAND LIMITED d’une amende de 40 millions d’euros, notamment pour avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante ; le Conseil d’État a rejeté, par décision n° 449212 du 4 mars 2021, le référé par lequel les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED demandaient la suspension de cette délibération du 7 décembre 2020.

32 Paragraphe 24 de l’avis de la CNIL du 17 décembre 2020, cote 1733.

33 Paragraphe 27 de l’avis précité, cote 1734.

34 Paragraphe 43 de l’avis précité, cote 1737.

35 Paragraphe 48 de l’avis précité, cote 1738.

36 Paragraphe 45 de l’avis précité, cotes 1737 et 1738.

37 Paragraphe 46 de l’avis précité, cote 1738.

38 Cote 11.

39 Cote 11.

40 Cote 69.

41 Cote 70.

42 Ibid.

43 Cote 71.

44 Cote 105. Voir également https://www.statista.com/statistics/1020996/distribution-of-free-and-paid-ios- apps/

45 Apple précise dans ses observations que la commission est de 15 % la première année puis de 30 %, et qu’avec le programme « small business » la commission est de 15 % pour tout développeur générant moins d’un million de dollars sur l’App Store.

46 Cote 105.

47 Cote 82.

48 Les MMP sont des fournisseurs de services d’attribution qui aident les annonceurs à évaluer l’efficacité de leurs campagnes publicitaires.

49 Cotes 82 et 83.

50 Arrêt du Tribunal de l’Union du 6 juillet 2000, Aff. T-62/98, Volkswagen AG / Com., paragraphe 230.

51 Publiée au JOCE du 9 décembre 1997, C 372, p. 5.

52 Voir notamment décision n° 11-D-09 du 8 juin 201 relative à des pratiques mises en œuvre par EDF et RTE dans le secteur de l’électricité, paragraphe 143 ; décision n° 13-D-11 du 14 mai 2013 relative à des pratiques mises en œuvre dans le secteur pharmaceutique, paragraphe 285.

53 Paragraphe 508 de la décision de la Commission européenne Google Android du 18 juillet 2018.

54 Décision de la Commission européenne Google Android en date du 18 juillet 2018, n° 40099.

55 Paragraphe 238 de la décision de la Commission européenne Google Android : «The Commission concludes that non-licensable smart mobile OS such as iOS and BlackBerry do not belong to the same product market as licensable smart mobile OSs. ».

56 https://www.phonandroid.com/apple-92-pourcent-comptent-acheter-iphone.html

57 Une analyse du site Sensor Tower estime ainsi qu’en 2020, les dépenses mondiales sur l’App Store se sont élevées à 72,3 milliards de dollars et à 38,6 milliards sur le Play Store.

58 https://www.begeek.fr/avoir-un-iphone-un-signe-exterieur-de-richesse-selon-un-organisme-282160

59 Décision de la Commission du 22 septembre 1995, Pelikan/Kyocera, °IV/34.330.

60 Décision de l’Autorité de la Concurrence n° 20-D-04 du 16 mars 2020 relative à des pratiques mises en œuvre dans le secteur de la distribution de produits de marque Apple : «En deuxième lieu, bien que très diversifiés, les produits de marque Apple présentent une forte interopérabilité entre eux dans la mesure où leurs fonctionnalités matérielles et logicielles respectives sont conçues pour fonctionner de manière optimale lorsqu’elles sont combinées. Ils ont en outre en commun des fonctionnalités et des caractéristiques physiques, en partie liées à leur design spécifique. Enfin, la limitation de l’interopérabilité des produits Apple avec les matériels concurrents peut accroître les coûts de transfert des clients Apple qui souhaiteraient passer d’un fournisseur à l’autre. »

61 L’étude mentionnée au paragraphe 109 de la saisine (cote 59) est la suivante : Yoram Wurmser, “US Time Spent with Mobile 2019”, eMarketer, 30 mai 2019, https://www.emarketer.com/content/us-time-spent-with- mobile-2019.

62 Avis de l’Autorité de la Concurrence n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internent - note de bas de page 75 : « (...) La publicité contextuelle correspond à une méthode de ciblage fondé sur le contenu de la page où la publicité est diffusée. Le ciblage socio- démographique est une stratégie consistant à diffuser une publicité en se basant sur l’information démographique disponible (âge, sexe, revenu, ou nationalité). Le ciblage temporel permet aux annonceurs de ne diffuser leurs publicités que certains jours ou à certaines heures spécifiques. Le ciblage géographique permet de diffuser des publicités aux utilisateurs en fonction de leur localisation. ».

63 Décision n° 10-MC-01 du 30 juin 2010 relative à la demande de mesures conservatoires présentée par la société Navx.

64 https://www.definitions-marketing.com/definition/conversion/

65 Cote 1771. Réponse du 22 décembre 2020 des saisissantes à l’Autorité de la Concurrence : « (...) il n’y a aucun acteur (DSP, MMP) dont le chiffre d’affaires dépend exclusivement ou à tout le moins majoritairement d’iOS, puisque les acteurs offrent leurs services à la fois sur iOS et Android. ».

66 Paragraphe 555 de la décision Google Android de la Commission européenne du 18 juillet 2018 citant un article de Marco Iansiti, Harvard University, Assessing the relevant markets for licensable mobile operating systems and Google Android compatible app stores : « the Apple App Store and the Google Play Store have significant overlap among top apps : 92 of the top 100 third party iOS apps are also available on Google Play Store. By the same token, 90 of the top 100 third party Google Play Store apps are available on Apple App Store. This finding suggests that consumers can find the most popular apps on either app store, and that most developers of popular apps multi-home on the Google Play Store and the Apple App Store ».

67 Com, 8 novembre 2005, Société Neuf Télécom n° 04-16.857.

68 Communication de la Commission du 24 février 2009, Orientations sur les priorités retenues par la Commission pour l'application de l'article 82 du traité CE aux pratiques d'éviction abusives des entreprises dominantes (2009/C 45/02), paragraphe 75.

69 Voir la contribution de l’Autorité de la concurrence au débat sur la politique de concurrence et les enjeux numériques, du 19 février 2020.

70 Décisions n° 19-D-26 du 19 décembre 2019 relative à des pratiques mises en œuvre dans le secteur de la publicité en ligne liée aux recherches, paragraphes 334 à 336 (faisant l’objet d’un recours devant la cour d’appel en cours à la date de la présente décision) ; n° 13-D-07 du 28 février 2013 relative à une saisine de la société E-kanopi, paragraphe 46.

71 Décision n° 19-D-26 du 19 décembre 2019 relative à des pratiques mises en œuvre dans le secteur de la publicité en ligne liée aux recherches, paragraphe 346.

72 Arrêt de la Cour du 21 mars 1974, Belgische Radio en Televisie et société belge des auteurs, compositeurs et éditeurs (« BRT ») /SV SABAM, C-127/73.

73 L’espèce concernait une société détenant un monopole de gestion des droits d’auteur, édictant et mettant en œuvre des règles appliquées à l’égard d’entreprises tierces, les adhérents de la société de gestion.

74 Ibid, point 15.

75 Arrêt de la Cour du 14 février 1978, United Brands et United Brands Continentaal BV/Commission, 27/76, point 189.

76 Décision n° 19-D-26 du 19 décembre 2019 relative à des pratiques mises en œuvre dans le secteur de la publicité en ligne liée aux recherches, paragraphe 352 ; arrêt du Tribunal du 6 octobre 1994, Tetra Pak, T-83/91, points 138-140 ; arrêt de la Cour de justice, BRT, précité, points 8-11.

77 https://www.ifop.com/publication/les-francais-et-la-reglementation-en-matiere-de-cookies/.

78 Natalie Maréchal, Ranking Digital Rights, 6 octobre 2020, « Apple must implement antitracking ». Voir également cote 2800.

79 Cote 1733.

80 Voir également cote 2315.

81 Cote 1734.

82 Cotes 2315 et 2316.

83 Cotes 499, 500, 2315 et 2316.

84 Cote 2306.

85 Cote 1737.

86 Décision de la Commission européenne, Aff. AT.4009, Google/Androïd, paragraphe 1011.

87 Arrêt de la Cour du 21 février 1973, Europemballage et Continental Can/Commission, 6/72, Rec. p. 215, point 26, et arrêt Compagnie maritime belge transports e.a./Commission, point 229 supra, point 112.