ADLC, 31 mars 2025, n° 25-D-02

L'Autorité de la concurrence (section IB),

Vu le courrier du 23 octobre 2020 enregistré sous le numéro 20/0098 F, par laquelle les associations Interactive Advertising Bureau France (IAB France), Mobile Marketing Association France (MMA France), Union des entreprises de conseil et achat media (UDECAM) et Syndicat des Régies Internet (SRI) ont saisi l'Autorité de la concurrence de pratiques mises en œuvre par la société Apple dans le secteur de la publicité sur applications mobiles sur les terminaux iOS ;

Vu les compléments de saisine du 17 août 2021 et du 3 novembre 2021 :

Vu le courrier du 16 février 2022, enregistré sous le numéro 22/0012 F, par lequel le groupement des éditeurs de contenu et de services en ligne (GESTE) a saisi l'Autorité de la concurrence de pratiques mises en œuvre dans le secteur de la distribution d'applications de contenus de presse en ligne sur l'App Store d'iOS en France ;

Vu la décision du 23 février 2022 par laquelle, la rapporteure générale adjointe a procédé à la jonction de l'instruction des affaires n° 20/0098 F et n° 22/0012 F ;

Vu le Traité sur le fonctionnement de l'Union européenne, et notamment son article 102 ; Vu le livre IV du code de commerce, et notamment son article L. 420-2 ;

Vu la décision n° 21-D-07 du 17 mars 2021 relative à une demande de mesures conservatoires présentée par les associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union Des Entreprises de Conseil et Achat Media, et Syndicat des Régies Internet dans le secteur de la publicité sur applications mobiles sur iOS ;

Vu les délibérations n° 2020-137 du 17 décembre 2020 et n° 2022-060 du 19 mai 2022 de la Commission nationale de l'informatique et des libertés portant avis dans le cadre de la plainte déposée par certaines associations professionnelles de la publicité en ligne à l'encontre de la société Apple Inc. devant l'Autorité de la concurrence ;

Vu les lettres du 18 octobre 2023 et du 18 juin 2024 par lesquelles les sociétés Apple Inc., Apple Distribution International Limited et Apple Operations International Limited ont saisi le conseiller auditeur ;

Vu les rapports du conseiller auditeur du 20 octobre 2023 et du 26 juin 2024 ;

Vu les observations présentées par les associations IAB France, MMA France, UDECAM et SRI, le GESTE, les sociétés Apple Inc. Apple Distribution International Limited, Apple

* version publique

Operations International Limited et Apple Operations Europe Limited et le commissaire du Gouvernement ;

Vu les autres pièces du dossier ;

Vu la note en délibéré de la société Apple du 31 octobre 2024 ;

Les rapporteurs, les représentants du service économique, le rapporteur général adjoint, les représentants des associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union des entreprises de conseil et achat media et Syndicat des Régies Internet, du groupement des éditeurs de contenu et de services en ligne, des sociétés Apple Distribution International Limited, Apple Operations Europe Limited, Apple Operations International Limited et Apple Inc. et le commissaire du Gouvernement entendus lors de la séance de l'Autorité de la concurrence du 23 octobre 2024 ;

Vu le procès-verbal des délibérations tenues les 5 et 28 novembre 2024 ;

Adopte la décision suivante

Résumé1

Aux termes de la présente décision, l'Autorité de la concurrence (ci-après, « l'Autorité ») sanctionne Apple pour avoir abusé de sa position dominante sur le marché européen de la distribution d'applications mobiles sur les terminaux iOS en violation des articles 102 du Traité sur le fonctionnement de l'Union européenne (ci-après, « TFUE ») et L. 420-2 du code de commerce.

Cette décision fait suite à une saisine des associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union des entreprises de conseil et achat media, et Syndicat des Régies Internet puis une saisine du groupement des éditeurs de contenu et de services en ligne concernant des pratiques mises en œuvre par Apple en lien avec l'introduction du dispositif App Tracking Transparency (ou transparence sur le traçage en applications) (ci-après, « ATT »).

Apple est un acteur verticalement intégré, qui fabrique des terminaux mobiles intelligents (iPhones et iPads), ainsi que le système d'exploitation iOS qui leur permet de fonctionner. Apple distribue également les applications pour ses terminaux mobiles via son propre magasin d'applications, « App Store », qui est préinstallé sur ses smartphones. L'écosystème d'Apple repose sur un système fermé : d'une part, les fabricants d'appareils tiers ne peuvent pas obtenir d'Apple la licence iOS pour utiliser ce système d'exploitation sur leurs propres smartphones, et d'autre part, jusqu'à l'entrée en vigueur des obligations du règlement sur les marchés numériques (ou Digital Markets Act – « DMA »), les éditeurs d'applications ne pouvaient pas distribuer celles-ci par un magasin d'applications autre que l'App Store sur les terminaux mobiles intelligents équipés d'iOS.

Grâce à l'App Store, et au regard des critères dégagés par la pratique décisionnelle et la jurisprudence, l'Autorité a conclu qu'Apple est en position dominante sur les deux faces de la distribution d'applications mobiles sur les terminaux iOS (faces éditeurs et consommateurs).

L'accès aux identifiants publicitaires d'Apple, qui permet aux éditeurs d'applications distribuant leurs applications sur l'App Store d'accéder aux données des utilisateurs et, ainsi, de valoriser leurs offres publicitaires, est soumis aux règles du RGPD. Les éditeurs doivent donc recueillir le consentement des utilisateurs.

Pour répondre à cet objectif, Apple a imposé aux éditeurs un dispositif de recueil de consentement des utilisateurs aux opérations de collecte de leurs données sur les applications tierces (le « suivi tiers »), l'ATT.

Selon Apple, ce dispositif a été conçu comme une interface utilisant des formules simples et standardisées pour faciliter l'information et le choix de l'utilisateur s'agissant du suivi tiers. Toutefois, il ne permet pas de recueillir un consentement valable au regard de la réglementation de protection des données personnelles, de sorte que les éditeurs d'applications doivent afficher au moins une deuxième fenêtre de recueil de consentement, appelée selon les standards de l'industrie consent management platform, pour autoriser les opérations de suivi tiers sur les applications téléchargées sur un iPhone ou un iPad.

Si Apple est libre d'édicter des règles de protection des consommateurs supplémentaires à celles imposées par la réglementation, c'est à condition, compte tenu de la responsabilité particulière qui lui incombe en tant qu'opérateur dominant sur le marché de la distribution d'applications mobiles sur les terminaux iOS, de concilier cet objectif légitime avec le respect du droit de la concurrence.

À cet égard, un opérateur dominant qui exploite une plateforme numérique peut orienter le modèle économique des opérateurs référencés sur sa plateforme, limiter leur liberté d'entreprendre, et influer sur la qualité et la diversité de l'offre ouverte aux internautes. Aussi, le fait pour un opérateur dominant tel qu'Apple de mettre en œuvre des règles d'accès à une plateforme numérique disproportionnées ou privées de justification objective, peut affecter le fonctionnement des marchés sur lesquels sont actifs les opérateurs économiques référencés par la plateforme numérique, et nuire, in fine, aux intérêts des consommateurs.

Or, l'Autorité a pu constater que la conception et la mise en œuvre de la sollicitation ATT n'étaient ni nécessaires ni proportionnées pour atteindre les objectifs de protection de la vie privée poursuivis par Apple.

D'une part, la circonstance que les éditeurs qui le souhaiteraient ne peuvent s'appuyer sur la sollicitation ATT pour se conformer à leurs obligations légales les contraint à devoir continuer à recourir à leurs propres solutions de recueil du consentement. Cette situation engendre une multiplication des fenêtres de recueil de consentement compliquant excessivement le parcours des utilisateurs d'applications tierces au sein de l'environnement iOS.

D'autre part, les règles encadrant l'interaction entre les différentes fenêtres ainsi affichées portent automatiquement atteinte à la neutralité du dispositif. En effet si le refus ne doit être effectué qu'une fois, l'acceptation d'une opération de traçage publicitaire doit quant à elle toujours être confirmée une seconde fois par l'utilisateur. L'asymétrie en résultant empêche le recueil d'un consentement éclairé que l'ATT est pourtant censé favoriser, ce qui est susceptible d'avoir des conséquences négatives, tant pour les utilisateurs que pour les éditeurs d'applications, en particulier ceux qui dépendent de la publicité pour assurer la rentabilité de leur activité.

Ces dispositions paraissent d'autant moins justifiées que des modifications marginales de l'ATT, recommandées par la Commission nationale de l'informatique et des libertés (ci-après, « CNIL »), permettraient d'éviter de pénaliser les éditeurs d'applications et fournisseurs de services publicitaires sans nuire à l'attrait du dispositif en terme de protection de vie privée.

Invitée par l'Autorité à produire des observations dans le cadre de cette procédure, la CNIL a en effet indiqué « [qu']une amélioration marginale des modalités de paramétrage de la sollicitation ATT ne remettant pas en cause la lisibilité propre à cette fenêtre, de sorte qu'elle puisse être utilisée pour recueillir un consentement valide […] permettrait de conserver la protection de l'utilisateur offerte par la sollicitation ATT […] (refus aussi simple que l'acceptation, mention du suivi), sans présenter l'inconvénient de créer un dispositif complexe et excessif pour l'utilisateur ». Aussi, contrairement à ce qu'a soutenu Apple dans le cadre de cette procédure, la mise en conformité de la fenêtre ATT avec le droit de la concurrence n'aurait pas conduit Apple à dégrader l'efficacité de son dispositif de protection de la vie privée.

En outre, l'instruction a permis de constater que l'ATT pénalise tout particulièrement les plus petits éditeurs. En effet, tandis que ces opérateurs dépendent en grande partie de la collecte de données tierces pour financer leur activité, Apple, comme les principales plateformes verticalement intégrées, peut, pour sa part, se passer de suivi tiers dans la mesure

où elle a accès à de grandes quantités de données personnelles « propriétaires » au sein de son écosystème, données dont la collecte n'est pas concernée par l'ATT.

Dans ces conditions, l'Autorité a considéré que les règles de mises en œuvre de l'ATT constituent des conditions de transaction inéquitables au sens des articles 102 TFUE et L.420-2 du code de commerce, en ce qu'elles sont non objectives, non transparentes et se prêtent à une application discriminatoire. Elle a imposé, en conséquence, une sanction pécuniaire d'un montant de 150 000 000 euros aux sociétés Apple Distribution International Limited, Apple Operations International Limited et Apple Inc., conjointement et solidairement.

I. Les constatations

A. RAPPEL DE LA PROCÉDURE

1. Par lettre enregistrée le 23 octobre 2020 sous le numéro 20/0098 F, les associations Interactive Advertising Bureau France (ci-après, « IAB France »), Mobile Marketing Association France (ci-après, « MMA France »), Union des entreprises de conseil et achat media (ci-après, « UDECAM »), Syndicat des Régies Internet (ci-après, « SRI ») ont saisi l'Autorité de la concurrence (ci-après, « l'Autorité ») de pratiques mises en œuvre par la société Apple à l'occasion d'une mise à jour de ses systèmes d'exploitation iOS et iPadOS 14 (version iOS 14.5 et iPadOS 14.5).

2. Les saisissantes rappelaient que le 22 juin 2020, Apple avait annoncé lors de sa conférence mondiale pour les développeurs que la future mise à jour du système d'exploitation des terminaux mobiles Apple comporterait l'obligation, pour les éditeurs d'applications distribués dans le magasin d'applications présent sur ces terminaux, de solliciter l'autorisation des utilisateurs au sein d'un système dénommé App Tracking Transparency (ou transparence sur le traçage en applications) (ci-après, « ATT »). Au regard des caractéristiques de cette sollicitation, elles soutenaient qu'Apple était en situation de monopole sur le marché de la distribution d'applications sur iOS et abusait de son pouvoir de marché en imposant aux développeurs d'applications présents sur ses systèmes d'exploitation, d'une part, des conditions de transaction inéquitables, méconnaissant les dispositions de l'article 102, sous a) du Traité sur le fonctionnement de l'Union européenne (ci-après, « TFUE »), d'autre part, une obligation supplémentaire sans lien avec l'objet du contrat, en contradiction avec l'article 102, sous d) du TFUE. Accessoirement à leur saisine au fond, les saisissantes ont sollicité, par lettre enregistrée le 23 octobre 2020 sous le numéro 20/0099 M, le prononcé de mesures conservatoires sur le fondement de l'article L. 464-1 du code de commerce.

3. Par décision n° 21-D-07 du 17 mars 2021, l'Autorité a rejeté la demande de mesures conservatoires et a considéré qu'il y avait lieu de poursuivre l'instruction au fond de la saisine.

4. Par courrier du 16 février 2022, enregistré sous le numéro 22/0012 F, le groupement des éditeurs de contenu et de services en ligne a saisi l'Autorité de pratiques mises en œuvre dans le secteur de la distribution d'applications de contenus de presse en ligne sur l'App Store d'Ios en France.

5. Par décision du 23 février 2022, la rapporteure générale adjointe a joint cette saisine à celle enregistrée sous le numéro 20/0098 F (cote 5 541).

B. LES ENTITÉS CONCERNÉES

1. Les saisissantes

6. Les saisissantes représentent toute la chaîne de valeur de la publicité en ligne.

a) L'Interactive Advertising Bureau France

7. L'IAB France est une association créée en 1998 qui représente les acteurs de l'écosystème de la publicité en ligne. L'IAB France est membre du réseau international d'IAB, qui compte actuellement 140 membres.

8. Dans ce cadre, l'IAB France fournit des outils destinés à aider « les [responsables marketing] et leurs agences de conseil à intégrer efficacement internet dans leur stratégie marketing et propose des normes et des exemples de pratiques professionnelles aux nouveaux acteurs qui entrent sur le marché de la publicité en ligne »2.

b) La Mobile Marketing Association France

9. La MMA France est une association consacrée au marketing, à la publicité et à la gestion de la relation client sur terminaux mobiles. Elle a été créée en 2002 et rassemble les principaux acteurs présents sur les médias mobiles : agences de marketing mobile, agences médias, éditeurs, spécialistes du marketing, fournisseurs d'études et de mesures et opérateurs mobiles.

10. IAB France et MMA France se sont rapprochées en 2022 pour former une seule et même association, Alliance Digitale3.

c) L'Union des entreprises de conseil et achat media

11. L'UDECAM est une association qui regroupe différents acteurs des médias et de la communication. Elle se donne pour mission de défendre les intérêts de ses membres auprès de tous les acteurs du marché, ainsi qu'auprès des pouvoirs publics. L'UDECAM représente 90 % des investissements médias réalisés en France.

d) Le Syndicat des Régies Internet

12. Créé en 2003, le SRI fédère des acteurs qui exercent une activité de monétisation publicitaire. Ces acteurs participent au développement et à la professionnalisation de la publicité numérique en France, notamment par le partage et la promotion de bonnes pratiques et de réflexions.

13. Le SRI assure par ailleurs la représentation de ses membres auprès des différents acteurs de la publicité numérique, de l'interprofession, des institutions et des pouvoirs publics.

e) Le groupement des éditeurs de contenus et services en ligne

14. Le GESTE est une association française fédérant les principaux éditeurs de contenus et de service en ligne, notamment la plupart des groupes de presse français.

2. Le groupe Apple

a) L'organisation et les résultats d'Apple

15. Le groupe Apple (Apple Inc. et ses filiales, ci-après collectivement, « Apple ») conçoit, fabrique et commercialise des dispositifs de communication et de média mobiles, des ordinateurs personnels, des tablettes, des téléphones et vend une gamme de logiciels, de services et périphériques, d'espaces publicitaires, de contenus numériques et d'applications tierces.

16. La société mère, Apple Inc., société de droit californien créée en 1977, détient, directement ou indirectement, des participations dans toutes les filiales du groupe4.

17. La commercialisation et la distribution des produits Apple dans la zone Europe est assurée par la société Apple Distribution International Limited (ci-après, « ADI »), basée en Irlande.

18. Le 25 septembre 2016, ADI a fusionné avec iTunes Sarl, société de droit luxembourgeois, et a repris les activités de vente et de distribution de contenus digitaux et d'applications par Internet et d'autres réseaux électroniques et de communication pour les marchés EMEIA (Europe, Moyen-Orient, Inde et Asie). ADI est ainsi responsable de toutes les boutiques numériques d'Apple, y compris l'App Store, Apple Music, Apple Books, News+, Fitness, iCloud, TV+, Arcade et de l'activité publicitaire à travers Apple Search Ads (ci-après, « ASA »).

19. Apple France est une société de droit français dont le siège social est situé à Paris. Apple France ne vend pas et ne distribue pas de produits en France. Son rôle est de fournir des services d'assistance à la vente, de support marketing et de communication et des services de soutien numérique en France à ADI, qui réalise les ventes.

20. Entre les mois de septembre 2023 et septembre 2024, le groupe a réalisé un chiffre d'affaires de 391 milliards de dollars, dont 295 milliards pour la vente de terminaux et 78 milliards pour la fourniture de services. Ce chiffre d'affaires était d'environ 220 milliards de dollars en septembre 20205.

b) Les produits et les services d'Apple

21. Apple est une entreprise verticalement intégrée. Ainsi que l'a relevé la Commission dans une décision du 18 juillet 2018, la stratégie d'Apple se fonde sur l'intégration verticale et la vente de terminaux mobiles haut de gamme6.

i. Les terminaux

22. Apple conçoit et fabrique des téléphones mobiles intelligents, dits « smartphones », des ordinateurs fixes, des ordinateurs portables, des tablettes numériques ainsi que le système d'exploitation qui leur permet de fonctionner. Au premier trimestre de l'exercice fiscal 2022, les ventes du smartphone iPhone représentaient environ 58 % du chiffre d'affaires global de l'entreprise7.

23. En France, la très grande majorité du chiffre d'affaires d'Apple est issue de la vente de matériel8, plus particulièrement de la vente des smartphones iPhone, mais également de tablettes numériques iPad, de montres connectées Apple Watch et d'ordinateurs Mac, iMac et MacBook9.

24. Tous les terminaux ayant pour système d'exploitation iOS14.5 et iPadOS 14.5 (et ses versions postérieures), c'est-à-dire l'iPhone et l'iPad, respectivement, sont concernés par l'affichage de la sollicitation ATT, à l'inverse des terminaux Mac, Apple TV et Apple Watch.

ii. Les systèmes d'exploitation et l'App Store

25. Les systèmes d'exploitation d'Apple, qui permettent de faire fonctionner les terminaux, sont intégrés aux appareils et ne sont pas disponibles pour des appareils autres que ceux d'Apple. Les systèmes d'exploitation de l'iPhone et de l'iPad sont l'iOS et l'iPadOS (la version disponible à la date d'envoi de la notification de grief est iOS 16.5).

26. Le système d'exploitation iOS détermine également quels types de logiciels peuvent fonctionner sur l'appareil, y compris toutes les applications, comme les applications natives, développées spécialement pour fonctionner dans un environnement iOS, ou les sites internet exécutés dans un navigateur. Apple a le contrôle du système d'exploitation sur ses appareils et décide quelles applications y sont préinstallées. Le contenu et le code du système iOS ne sont ni publiés, ni directement accessibles aux développeurs d'applications.

27. Le magasin d'applications mobiles d'Apple, l'App Store, distribue des applications mobiles iOS natives de cet écosystème mobile, c'est-à-dire qui ne pourraient pas être utilisées sur des appareils fonctionnant avec le système d'exploitation Android. Apple le définit comme un « magasin électronique et ses vitrines portant la marque Apple, détenu et/ou contrôlé par Apple ou une Filiale d'Apple ou autre société affiliée à Apple, et auprès duquel il est possible d'acquérir des applications sous licence »10. Il est préinstallé sur les iPhone et iPad, dans leurs différentes versions successives.

28. L'App Store sert d'infrastructure pour les transactions intermédiaires entre les éditeurs d'applications et les utilisateurs d'appareils mobiles qui téléchargent et utilisent ces applications. Jusqu'à l'entrée en vigueur des obligations du nouveau règlement (UE) 2022/1925 sur les marchés numériques (ci-après, « DMA » ou « Digital Markets

Act »)11, et donc au jour de l'envoi de la notification de grief, il était le seul magasin d'applications accessible pour les utilisateurs de terminaux iOS et le seul moyen pour les développeurs d'atteindre les utilisateurs iOS.

29. S'agissant des éditeurs d'application, leurs conditions d'accès sont énoncées dans les lignes directrices, mises à jour fréquemment et unilatéralement par Apple, et dans le contrat de licence prédéfini par Apple12. Les applications doivent respecter ce cadre sous peine d'être retirées de l'App Store13. Cependant, il résulte de la clause 6.8 du contrat de licence14, qu'Apple peut à son entière discrétion rejeter une application pour quelque raison que ce soit, même si cette application répond aux exigences des lignes directrices et plus généralement des règles de fonctionnement de l'App Store éditées par Apple.

30. Les éditeurs qui souhaitent proposer du contenu numérique payant ou des abonnements à ce contenu ont l'obligation d'utiliser le système d'achat « in-app » tel que défini à la clause

3.1.1 des lignes directrices15, pour lequel Apple facture une commission de 30 % sur chaque vente d'application ou achat intégré, pendant la première année d'abonnement, et de 15 % après la première année de souscription ininterrompue.

31. L'App Store propose environ 2 millions d'applications, dont certaines sont préinstallées sur les terminaux16. Si la grande majorité des applications sont gratuites, la part des applications payantes est deux fois plus élevée dans l'App Store (7,3 %) que dans son équivalent Android, Google Play (3,3 %)17.

iii. Les services

32. La vente de services par Apple représente environ 20 % de son chiffre d'affaires. Apple propose une gamme d'offres de services à destination des consommateurs finals, y compris des applications logicielles, et développe en outre une activité publicitaire.

33. Depuis 2018, Apple dispose de l'interface de programmation d'application (ci-après, « API »)18, SkadNetwork (ci-après, « SKAN »), outil gratuit d'attribution publicitaire dont les fonctionnalités sont décrites aux paragraphes 115 et suivants.

34. Apple propose également une gamme de services de publicité liée aux recherches (« Search ») et non liée aux recherches (« Display »), notamment avec sa plateforme publicitaire ASA déployée en France depuis octobre 201619.

C. L'ÉCOSYSTÈME DE LA PUBLICITÉ SUR APPLICATIONS MOBILES

1. La monétisation d'espaces publicitaires : une source de revenus essentielle pour les éditeurs d'applications

35. Ainsi que l'Autorité l'a rappelé dans la décision n° 21-D-11 du 7 juin 2021 relative à des pratiques mises en œuvre dans le secteur de la publicité sur Internet, les éditeurs de sites web ou d'applications mobiles peuvent monétiser leurs contenus ou services en insérant des espaces publicitaires sur leurs applications.

36. Ces espaces publicitaires peuvent être distingués selon qu'ils sont ou non liés à une recherche effectuée par l'internaute (Search ou Display).

37. Les publicités liées à une recherche sont pour leur part affichées sur les pages de résultats des moteurs de recherches, généralistes ou spécialisés et reçoivent communément l'appellation Search 20.21

38. Selon le SRI, en 2021, la publicité Search était la source de revenus la plus importante en France avec 3,2 milliards d'euros de dépenses des annonceurs. La publicité sur les réseaux sociaux22 était la deuxième, avec des revenus ayant dépassé 2 milliards d'euros. La publicité Display (hors réseaux sociaux) avait quant à elle généré 1,5 milliard d'euros de revenus.

39. L'ensemble des espaces publicitaires disponibles à la vente à un moment donné, pour une période donnée, et pour un support publicitaire donné constitue l'inventaire des éditeurs.

40. Les inventaires publicitaires d'un site correspondent à la surface des espaces publicitaires de chaque page de ce site, multipliée par le nombre de fois où cette page est ouverte par les différents utilisateurs (internautes, utilisateurs de smartphones ou d'applications). Chaque fois qu'une page du site est ouverte, une nouvelle surface d'affichage de publicité est disponible23. Les inventaires sont commercialisés auprès des annonceurs et de leurs agences média.

2. Le ciblage des utilisateurs et le suivi des performances publicitaires :

UN ENJEU CRUCIAL POUR LES ANNONCEURS

41. Du côté de la demande, les annonceurs sont les entreprises ou organisations à l'origine d'une opération de communication (publicité, marketing, etc.) visant à promouvoir leurs produits et services ou leur marque. Commanditaires des campagnes publicitaires, ils achètent de l'espace publicitaire (spot de télévision, affichage dans le métro, emplacement sur un site internet, etc.).

42. La capacité des éditeurs à monétiser leurs inventaires dépend de la faculté des annonceurs, d'une part, à optimiser l'envoi de leurs publicités à des internautes susceptibles d'être intéressés par leurs produits et à augmenter le taux de conversion de leurs publicités, c'est-à-dire de convertir l'intérêt de l'internaute pour la publicité en acte d'achat, d'autre part, à suivre les performances de leurs campagnes.

43. À cette fin, les annonceurs peuvent utiliser différentes catégories de services publicitaires qui sont choisis en fonction des objectifs poursuivis, c'est-à-dire les actions qu'un annonceur souhaite que les internautes effectuent lorsqu'ils sont exposés à une publicité. Les annonceurs peuvent utiliser une gamme de formats et placements publicitaires qui varient selon l'éditeur qui vend ses espaces publicitaires.

44. Tout comme les éditeurs, les annonceurs dépendent à cet égard de différentes entreprises qui interviennent dans la vente d'espaces publicitaires et exploitent des données à des fins publicitaires pour permettre de cibler au mieux l'audience recherchée, de contrôler les conditions de fourniture des services publicitaires et d'apprécier les performances de campagnes publicitaires.

3. L'intervention de nombreux prestataires intermédiaires

45. Si les éditeurs peuvent commercialiser eux-mêmes leurs espaces publicitaires auprès des annonceurs, la grande majorité a recours à des intermédiaires, dans la mesure où leurs espaces ne pourraient être commercialisés dans le cadre d'un modèle verticalement intégré, faute d'une audience suffisante24. En pratique, les éditeurs utilisent plusieurs types de services :

- les serveurs publicitaires (Ad Servers) permettent aux éditeurs de gérer leurs inventaires publicitaires en évaluant leur disponibilité et de sélectionner automatiquement les publicités disponibles les plus pertinentes et les plus rentables ;

- les réseaux publicitaires (Ad Networks) achètent des inventaires publicitaires auprès de différents éditeurs puis les vendent directement aux annonceurs ou par le biais de bourses d'annonces publicitaires ;

- les plateformes de mises en vente d'espaces publicitaires (Supply Side Platforms ou

« SSP »), dont l'objectif est d'optimiser et d'automatiser la vente d'espaces publicitaires, permettent aux éditeurs de définir les conditions de mise à disposition de leurs inventaires (prix planchers, formats, annonceurs exclus, etc.) ;

- les bourses d'annonces publicitaires (Ad Exchanges) sont des places de marché qui permettent aux éditeurs et aux annonceurs de vendre et d'acheter des espaces publicitaires.

46. Du côté de la demande, les annonceurs sont également en concurrence dans le cadre d'enchères susceptibles de faire intervenir plusieurs SSP. Ils cherchent en outre à optimiser l'envoi de leurs publicités à des internautes susceptibles d'être intéressés par leurs produits, la mesure du taux de conversion des campagnes publicitaires constituant pour eux un réel

enjeu économique. Ces différents objectifs mobilisent de nombreux prestataires des services d'intermédiation :

- les agences médias accompagnent les annonceurs dans la conception et la mise en œuvre de leurs stratégies de communication : elles optimisent la mise en relation entre la marque et les publics auxquels elle s'adresse. Elles réalisent la stratégie médias, le médiaplanning, l'achat d'espaces et utilisent également un ensemble de techniques de communication et de moyens de diffusion ;

- les trading desks sont des plateformes de services centralisées issues d'agences médias ou indépendants, spécialisées dans l'achat programmatique ;

- les serveurs publicitaires permettent d'héberger les créations publicitaires des annonceurs et d'assurer le suivi des campagnes par des statistiques et indicateurs ;

- les plateformes d'achat d'espaces publicitaires (Demand Side Platform ou « DSP »), technologies permettent d'optimiser, d'automatiser et de piloter l'achat d'espaces publicitaires, au moyen soit d'enchères organisées par les SSP, soit, dans certains cas, d'achats auprès de réseaux publicitaires ou d'achat d'inventaires auprès d'acteurs verticalement intégrés, tels que les réseaux sociaux ;

- les annonceurs utilisent, enfin, des services d'analyse de données à des fins d'attribution publicitaire et de vérification. La fonction d'attribution consiste à déterminer un lien de causalité entre un événement déterminé et l'exposition à une publicité. Elle permet ainsi de déterminer les modalités et niveaux de rémunération de différents acteurs de l'écosystème. La vérification consiste quant à elle à évaluer la visibilité des publicités, le contexte dans lequel elles sont affichées et l'existence éventuelle de fraudes25.

4. Le rôle central des données pour l'efficacité des services publicitaires et l'animation de la concurrence

a) Les différentes catégories de données et leur fonction

47. Les différentes entreprises intervenant dans la vente d'espaces publicitaires exploitent de nombreuses données à des fins publicitaires, pour permettre aux annonceurs de cibler au mieux l'audience recherchée, contrôler les conditions de fourniture des services publicitaires et apprécier les performances des campagnes publicitaires26.

48. Ces données peuvent être regroupées en trois principales catégories : les données utilisateurs, les données sur les terminaux et les données d'analyse.

49. Les données utilisateurs portent sur le comportement et les caractéristiques, notamment sociodémographiques, des personnes ciblées par les publicités. Elles permettent notamment de déterminer la publicité la plus pertinente pour un utilisateur particulier. Les annonceurs créent des segments d'audience en fonction du profil des internautes et recoupent ces données avec d'autres sources. Les objectifs de la segmentation et du recoupement des données sont l'acquisition d'une connaissance de l'utilisateur, l'optimisation du ciblage et la personnalisation de la relation.

50. Les données sur les terminaux donnent des informations sur le terminal, les connexions et les identifiants spécifiques au terminal (notamment l'adresse IP). Elles aident en particulier à améliorer l'expérience de l'utilisateur en permettant l'adaptation de l'affichage de la publicité à l'environnement de navigation. Elles facilitent en outre la reconnaissance d'un même utilisateur à travers les différents appareils qu'il utilise (par exemple en se connectant à un compte de messagerie unique sur ses différents terminaux) afin de lui adresser des publicités pertinentes sur la base de son activité.

51. Les données d'analyse portent sur les impressions (contexte de diffusion, volume, caractéristiques et qualité/visibilité/fraude), les enchères (placement d'une enchère, prix gagnant de l'enchère, nombre d'enchères gagnées sur les enchères placées), ou encore les clics, les vues, et les conversions notamment. Le suivi des impressions permet de recueillir des données très fines servant à déterminer les points de contact ayant contribué ou non à une conversion (par exemple l'achat d'un produit) et à proposer des modèles d'attribution, qui servent à expliquer l'acte de conversion en fonction des événements passés. Les données sur les campagnes publicitaires permettent également aux plateformes programmatiques de sélectionner le gagnant des enchères, de vérifier les caractéristiques de l'inventaire et ainsi de minimiser les cas de fraude, et donc d'affichage dans des conditions qui ne correspondent pas à la campagne. Grâce aux données sur les campagnes publicitaires dont ils disposent, les annonceurs sont en mesure d'enchérir selon leurs besoins, et les éditeurs de mieux définir leurs prix planchers.

52. L'accès à des données de qualité peut constituer un avantage concurrentiel significatif en raison de son impact sur l'efficacité des campagnes publicitaires.

53. À cet égard, la situation des éditeurs se caractérise par la présence de très nombreux acteurs, dont la taille, le modèle économique et le degré de dépendance à la publicité varient significativement.

54. Certains d'entre eux se trouvent dans des situations délicates et voient leurs revenus publicitaires diminuer, en dépit de la croissance soutenue du secteur. Ceux qui ne peuvent offrir de publicité ciblée, ou bien qui ne peuvent en offrir que dans des proportions limitées, peuvent se trouver pénalisés, tandis que le développement de l'écosystème conduit un certain nombre d'intermédiaires et de plateformes verticalement intégrées à capter une part très significative de la valeur. À cet égard, des entreprises comme Google et Meta offrent des capacités de ciblage à travers les terminaux plus performantes que d'autres acteurs, notamment en raison de la nature « loguée » (voir infra) des services qu'elles fournissent aux internautes.

55. En réponse à ces défis, les éditeurs les plus puissants, tels qu'Amazon, développent des modèles d'intégration verticale qui leur permettent de commercialiser leurs inventaires sans dépendre d'intermédiaires techniques, alors que d'autres ont fait le choix de se regrouper dans le cadre d'alliances, telles que Gravity. Celle-ci est une plateforme de commercialisation de segments d'audience et d'achats d'espaces publicitaires lancée en 201727 à l'initiative de Lagardère, Les Echos, SFR et Solocal et qui est aujourd'hui composée d'acteurs importants de l'économie numérique, notamment des organes de presse présents en ligne tels que Capital, L'Express, Elle ou GQ Magazine.

b) Les technologies de collecte des données

56. Les données peuvent également être distinguées selon leur provenance.

57. Premièrement, les données peuvent être distinguées selon qu'elles sont collectées par une entreprise directement à partir des services qu'elle fournit aux internautes (données dites

« first party » ou « propriétaires »), ou à partir des services fournis par une autre entreprise. (données dites « third party » ou « tierces »).

58. Les annonceurs et éditeurs peuvent en effet collecter leurs propres données, que celles-ci soient volontairement fournies par les utilisateurs ou observées (par exemple sur leurs sites web, programmes de fidélité, etc.), pour les partager avec les plateformes qui mettent en œuvre leurs campagnes publicitaires (par exemple, DSP, DMP28, etc.). Afin de paramétrer leurs campagnes publicitaires ou de permettre le ciblage sur leur inventaire, les annonceurs et les éditeurs peuvent également utiliser toute donnée mise à disposition par leurs intermédiaires publicitaires, y compris les données de l'éditeur du site ou de l'application sur lesquels la publicité est susceptible d'être affichée.

59. Les données tierces peuvent être collectées par les annonceurs, les éditeurs ou des fournisseurs de données, ou être collectées via des technologies intégrées sur des sites tiers, telles que des Software Development Kit (ci-après, « SDK »)29, des pixels30 ou des traceurs (ci-après, « cookies »)31. Les données peuvent aussi être collectées via des fonctionnalités d'authentification unique (ou « Single Sign-On ») permettant la connexion à des sites o

u applications tierces qui sont fournies par de grandes plateformes (Facebook login par exemple)32.

60. Ces données peuvent également être collectées via les services publicitaires fournis aux éditeurs.

61. Dans son avis n° 18-A-03 du 6 mars 2018 portant sur l'exploitation de données dans le secteur de la publicité en ligne, l'Autorité a examiné les notions de « technologies et outils de suivi », qui englobent l'exploitation de données propriétaires, et celle « [d']outil de suivi tiers » 33. Elle a constaté qu'il « existe énormément d'outils de suivi tiers »34.

62. La Competition and Markets Authority (ci-après, « CMA »), dans son rapport du 1er juillet 2020 sur la publicité sur Internet, a également proposé une définition du suivi, qui inclut le suivi sur des sites et applications d'entreprises tierces mais aussi sur des sites et applications appartenant à la même entreprise : « [l]e suivi est la collecte et la connexion de données à propos de l'activité d'un utilisateur ou d'un appareil à travers plusieurs sites web ou applications, ainsi que la conservation, l'utilisation ou le partage de ces données. L'objectif du suivi est de relier l'activité d'un seul utilisateur à travers différentes sessions de navigation, propriétés (pages web et applications) et appareils, afin de créer un profil plus complet de l'utilisateur qui pourrait, entre autres, aider à fournir une publicité personnalisée, évaluer l'efficacité des publicités sur les conversions et éclairer les décisions de dépenses des annonceurs »35.

63. Deuxièmement, une autre source importante de données est spécifique aux environnements authentifiés ou « logués », c'est-à-dire nécessitant une identification initiale.

64. Dans le cas des plateformes verticalement intégrées, qui fournissent leurs services aux internautes dans le cadre d'univers logués, les fonctions de connexion utilisateurs sont capables d'associer toutes les expositions et conversions sur les appareils et sessions avec un utilisateur spécifique, ce qui confère aux plateformes des capacités de mesure spécifiques par rapport aux approches fondées sur les traceurs ( par exemple, un navigateur sur un ordinateur portable qui pourrait être partagé entre différentes personnes dans une famille) 36.

65. Sur ce point, « [l'e]ngagement de confidentialité » d'Apple précise par exemple que les utilisateurs divulguent des informations à Apple lorsqu'ils achètent un smartphone, pendant la procédure d'activation du terminal : « [l]orsque vous créez un identifiant Apple, […] achetez et/ou activez un produit ou appareil, […] nous pouvons collecter tout un ensemble d'informations »37.

D. LES PRATIQUES CONSTATÉES

1. Propos introductifs

66. Le 22 juin 2020, lors de sa conférence mondiale des développeurs, Apple a annoncé une nouvelle version de ses systèmes d'exploitation iOS et iPadOS. Celle-ci devait inclure plusieurs nouveautés visant à offrir aux utilisateurs un meilleur contrôle sur leurs données.

67. Les versions 14 d'iOS et d'iPadOS prévoyaient notamment l'obligation, pour les éditeurs d'applications souhaitant accéder à l'identifiant publicitaire Identifier for Advertisers (ci-après, l'« IDFA ») des terminaux concernés, d'obtenir au préalable l'autorisation des utilisateurs via une fenêtre dite « sollicitation ATT ». Utilisé sur les terminaux mobiles d'Apple, l'IDFA facilite la mise en relation, entre les services publicitaires tiers, des données collectées sur un utilisateur. Il permet aux acteurs publicitaires de valoriser ces données en proposant des publicités ciblées dans d'autres applications, en fonction des informations recueillies dans une application donnée.

68. En pratique, la sollicitation ATT se traduit par l'apparition, sur l'iPhone ou l'iPad d'un utilisateur, d'une fenêtre qui s'ouvre lorsque ce dernier utilise une application donnée (téléchargée précédemment via l'App Store), lorsque le développeur de cette application veut suivre l'utilisateur sur des applications ou sites tiers. Si l'utilisateur fait le choix, dans la sollicitation ATT, de ne pas autoriser l'application à le suivre dans d'autres applications ou sites tiers, les développeurs et leurs fournisseurs ne seront pas autorisés à le suivre, que ce soit par le biais de l'IDFA de son terminal ou par l'intermédiaire de toute autre méthode alternative de suivi basée sur l'identification de l'utilisateur.

69. Dans la suite de la présente décision, les développements relatifs à l'iOS sont valables également pour le système d'exploitation iPadOS, en ce que l'ATT est également mis en œuvre dans ce système.

70. Apple a conçu la sollicitation ATT avec certains éléments fixes, imposés et non modifiables par les développeurs d'applications, tandis que d'autres éléments restent flexibles, permettant aux développeurs d'adapter son périmètre et d'en personnaliser partiellement le contenu. Outre la personnalisation de la sollicitation ATT en elle-même, les développeurs peuvent afficher une fenêtre supplémentaire avant, mais aussi après avoir affiché la sollicitation ATT, afin par exemple d'expliquer à l'utilisateur les raisons pour lesquelles le suivi des données serait nécessaire au bon fonctionnement de l'application ou à son financement. Ces fenêtres ne sont pas générées par le système d'exploitation d'Apple. Leur format, ainsi que leur contenu, sont librement déterminés par les développeurs, dans le respect des règles édictées par Apple.

71. Initialement prévue pour le mois de septembre 2020, en même temps que le lancement d'iOS 14, cette mesure a finalement été reportée par Apple au 26 avril 2021, à la suite d'importants débats suscités par cette annonce dans l'univers des différents opérateurs, développeurs d'applications mobiles et entreprises de la publicité en ligne, sur sa légitimité et les conséquences qu'elle risquait d'entraîner.

72. À cet égard, il convient de relever que la mise en place par Apple de son propre système de recueil du consentement ne permet pas aux éditeurs de se conformer aux obligations légales et réglementaires de l'Union européenne (ci-après, « l'Union ») applicables en matière de protection de la vie privée. Les éléments du dossier attestent en effet qu'Apple a introduit certaines limitations techniques, empêchant les éditeurs qui le souhaiteraient d'insérer les informations requises par la réglementation dans la partie personnalisable de la sollicitationATT pour se conformer à la loi. En pratique, les développeurs d'applications doivent afficher une deuxième fenêtre de consentement pour obtenir l'autorisation des utilisateurs aux fins de réaliser des opérations de suivi publicitaire sur les applications téléchargées depuis l'App Store, alors même que ce suivi aurait déjà été autorisé par l'utilisateur.

73. Il convient d'ajouter que pendant la période couverte par le grief, Apple interdisait à toute autre entreprise de proposer une boutique d'applications alternative compatible avec iOS38, de sorte qu'il était impossible pour des éditeurs d'applications de se tourner vers des magasins d'applications alternatifs à celui d'Apple pour accéder aux utilisateurs des terminaux mobiles d'Apple. Cette situation est en passe de changer, avec l'entrée en vigueur des obligations du règlement DMA qui visent à permettre la distribution d'applications natives via des magasins d'applications concurrents sur les écosystèmes numériques détenus par des contrôleurs d'accès.

74. Après avoir présenté les technologies d'accès aux données sur les terminaux mobiles d'Apple (2) et le cadre juridique applicable à leur exploitation à des fins publicitaires (3), l'Autorité exposera ses constatations relatives, d'une part, à la mise en œuvre de l'ATT en ce qu'elle permet aux fournisseurs de services publicitaires d'avoir accès aux données (4) et, d'autre part, aux conditions de collecte des données mises en œuvre par Apple pour la fourniture de ses propres services publicitaires (5).

2. Les technologies d'accès aux données sur les terminaux Apple

a) Les technologies d'accès aux données à disposition des éditeurs d'applications mobiles

75. Apple met à disposition des acteurs du secteur publicitaire deux séries d'outils pour le ciblage et l'évaluation des performances des campagnes publicitaires.

76. D'une part, l'IDFA permet le ciblage des utilisateurs et la mesure des performances au sein de l'ensemble des applications ( i. ). À défaut, l'Identifier For Vendors (ci-après, « l'IDFV »), couplé au service SKAN d'Apple, offre un suivi limité aux applications propriétaires d'un même éditeur ( ii .). Dans tous les cas, la collecte doit être autorisée par l'utilisateur ( iii .).

i. L'IDFA : un identifiant permettant une collecte précise de données propriétaires et tierces au sein de l'ensemble des sites et applications

Fonctionnement de l'IDFA

77. Introduit en 2012 par Apple avec la version 6 d'iOS, l'IDFA est un identifiant de terminal (ou « device ID »), qui comprend un numéro d'identification crypté propre à l'appareil et attribué par le système d'exploitation mobile du terminal mobile d'Apple iOS (smartphone, tablette, etc.). Contrairement aux cookies, qui permettent de suivre l'utilisateur lors de sa navigation sur Internet et dont la valeur est définie indépendamment pour chaque tiers publicitaire, cet identifiant reste identique pour tous les tiers. L'IDFA est attribué de manière aléatoire et anonyme lors du premier démarrage de l'appareil.

78. Dans les faits, bien que l'IDFA soit attribué à un appareil, il permet également d'identifier un individu, dans la mesure où l'usage d'un smartphone est généralement moins partagé que celui d'un ordinateur.

79. L'IDFA permet ainsi aux acteurs des réseaux publicitaires mobiles, notamment les annonceurs, les développeurs d'applications mobiles, mais également les services d'intermédiation publicitaire, de « suivre » le terminal de l'utilisateur à travers son utilisation des applications et, ce faisant, de valoriser les données en proposant des publicités ciblées39.

80. En pratique, l'utilisation de l'IDFA nécessite de recueillir le consentement des utilisateurs dans le cadre de plusieurs fenêtres :

- pour se conformer à leurs obligations légales et réglementaires, les éditeurs affichent une fenêtre appelée plateforme de gestion du consentement ou Consent Management Platform (ci-après, « CMP »), demandant aux utilisateurs de consentir à l'ensemble des finalités d'utilisation des données ;

- en outre, depuis le 26 avril 202140, les éditeurs d'application souhaitant accéder à l'IDFA doivent obtenir au préalable l'autorisation des utilisateurs par le biais de la sollicitation ATT. L'affichage de la sollicitation ATT et l'approbation de l'utilisateur sont ainsi nécessaires, conformément aux lignes directrices d'Apple. Le mécanisme et la mise en œuvre de la sollicitation ATT sont décrits plus précisément infra.

Une technologie perçue comme essentielle par de nombreux acteurs

81. Plusieurs acteurs de la chaîne de valeur du secteur de la publicité en ligne ont souligné l'importance de l'IDFA et, en l'absence d'autorisation à la sollicitation ATT, l'impossibilité d'utiliser d'autres technologies de suivi dans les applications mobiles ou sites web d'entreprises tierces.

82. Les saisissantes expliquent que « l'IDFA est le principal instrument d'identification utilisé par les développeurs d'applications et leurs fournisseurs pour tous les cas d'utilisation […], à savoir le ciblage, le plafonnement des fréquences, ainsi que la mesure et l'attribution des conversions […] L'IDFA est également nécessaire pour les services d'attribution au niveau de l'utilisateur »41. Le GESTE indique qu'« avant la mise en œuvre de l'ATT, l'IDFA était l'identifiant le plus utilisé par les éditeurs et leurs fournisseurs indépendants de services publicitaires. Lisible et transmissible à l'ensemble de la chaîne de l'écosystème applicatif, il permettait une très grande précision, granularité et donc une optimisation de la monétisation des inventaires, un impact important sur les utilisateurs pour lesquels cela était le plus pertinent »42.

83. La grande majorité des acteurs interrogés considèrent que l'IDFA a une place importante dans la mise en œuvre de campagnes publicitaires sur les terminaux d'Apple et que l'accès plus limité à l'IDFA est de nature à dégrader l'efficacité des campagnes publicitaires.

Certaines entreprises estiment que cet identifiant publicitaire est indispensable pour la mise en œuvre de campagnes impliquant des applications mobiles.

84. Du côté de la demande, c'est-à-dire du point de vue des annonceurs, plusieurs agences média ont confirmé l'importance de l'IDFA.

85. Selon Dentsu, l'IDFA est « l'élément central pour toutes les campagnes d'audience planning telles que le retargeting, l'activation d'audience 1st party d'un annonceur ou encore les campagnes de personnalisation »43. Havas considère que « sans cet identifiant, il n'est plus possible continuer à travailler de façon 100% déterministe et les différentes technologies & partenaires doivent intégrer une part de modélisation, de probabiliste pour continuer à justifier des résultats sur les campagnes. En termes de ciblage, certaines stratégies comme le retargeting pourraient ne plus être activables »44. Publicis soutient que le « rôle d'un identifiant comme l'IDFA au même titre que l'Android ID ou les cookies sur les environnements web, est indispensable pour cibler des audiences, gérer la répétition et mesurer l'efficacité́ des campagnes Display »45.

86. Du côté de l'offre d'espaces publicitaires, une majorité des éditeurs d'applications mobiles interrogés a également souligné l'importance de l'IDFA.

87. Pour CMI, dans « la très grande majorité des cas, les technologies publicitaires reposent sur l'utilisation de l'IDFA. Cet IDFA est indispensable au fonctionnement des technologies et à la mise en relation technique d'acheteurs et de vendeurs de publicités »46. Plusieurs éditeurs d'application, dont TF1, Voodoo et LinkedIn, confirment que l'IDFA est crucial pour le suivi des utilisateurs non-inscrits et la gestion des campagnes programmatiques.

88. Parmi les éditeurs verticalement intégrés actifs dans le secteur de la publicité sur Internet, plusieurs réseaux sociaux ont également confirmé cette importance.

89. LinkedIn a indiqué que l'IDFA est « primordial pour LAN 47 sur iOS, ainsi que pour le suivi des conversions et les audiences correspondantes »48.

90. Selon Meta, « l'IDFA est essentiel pour une publicité efficace au sein de l'écosystème iOS » et, eu égard aux modifications apportées au système iOS 14, « le fait de ne pas afficher la fenêtre pop-up sur les applications [Facebook et Instagram] et de ne pas collecter l'IDFA pour le nombre limité d'utilisateurs qui acceptent l'ATT causerait un préjudice encore plus important à ses partenaires que le dommage causé par l'affichage de la fenêtre pop-up ». Ne pas collecter l'IDFA par le biais de l'ATT « éliminerait toute utilité résiduelle de l'IDFA pour l'attribution et la personnalisation des publicités sur les appareils iOS »49.

91. TikTok a expliqué qu'elle « utilise généralement des identifiants publicitaires mobiles, tels que l'IDFA, dans l'application mobile de TikTok à des fins de publicité et de mesure publicitaire ». TikTok mentionne plusieurs cas dans lesquels l'IDFA joue un rôle important :

la mesure et l'attribution, les audiences personnalisées, et les campagnes de reciblage (« retargeting »)50.

92. Twitter (désormais X) soutient que « la mise à jour iOS 14 d'Apple remaniant le système IDFA a réduit et peut continuer à réduire la quantité et la qualité des données et des métriques qui peuvent être collectées ou utilisées par Twitter et ses partenaires, ou nuire à la capacité de Twitter à effectuer du ciblage publicitaire. Ces limitations ont affecté et peuvent continuer à affecter négativement la capacité de Twitter et de ses annonceurs à procéder à un ciblage publicitaire efficace, et à mesurer leurs performances ». Le réseau social déclare toutefois que « l'impact définitif de ces changements proposés sur l'écosystème global de la publicité mobile, sur l'activité de Twitter et sur les développeurs, partenaires et annonceurs au sein de cet écosystème n'est pas encore clair »51.

93. De nombreuses entreprises fournissant des services aux annonceurs et aux éditeurs ont une position proche de celles des éditeurs et des agences média. Leurs contributions sont récapitulées dans le tableau ci-dessous.



94. L'importance de l'IDFA a également été soulignée par d'autres entreprises actives dans l'intermédiation publicitaire52, telles que Branch, Didomi, Digital Virgo, Madvertise, Magnite, Mediamath, Mobsuccess, Open X, S4M, Smart, Yieldmo et Zeotap.

95. Parmi les entreprises interrogées, seule Google a indiqué qu'elle n'utiliserait plus l'IDFA53. Avant la mise en œuvre de la sollicitation ATT, elle utilisait l'IDFA pour ses services d'intermédiation publicitaire et d'exploitation de données pour la personnalisation et la mesure des annonces. Google utilisait également l'IDFA pour au moins vingt de ses applications propres54 mais désormais « ne demande plus l'accès à l'IDFA dans ses applications mobiles » et « ne combine pas les données provenant de Google et de tierces parties via ses applications iOS, afin d'éviter l'affichage de l'invite ATT »55.

96. Google a expliqué qu'elle avait « dû revoir la conception de ses applications iOS pour se conformer aux lignes directrices d'Apple sans devoir afficher l'invite ATT dans ses applications, notamment en supprimant toutes les formes de suivi telles que définies par les lignes directrices », notamment l'affichage de « publicités ciblées basées sur les données utilisateur collectées à partir d'applications et de sites web appartenant à des sociétés tierces »56.

97. En conclusion, il ressort des réponses des entreprises interrogées que :

- l'IDFA est utilisé par les annonceurs, les éditeurs, les fournisseurs de services d'intermédiation publicitaire ainsi que par les plateformes verticalement intégrées (réseaux sociaux) ;

- l'IDFA revêt un rôle de première importance dans les campagnes publicitaires (pour le ciblage, la gestion de la diffusion des campagnes, la mesure des performances), le fonctionnement des technologies tierces, telles que SDK, et la mise en relation technique d'acheteurs et de vendeurs d'espaces publicitaires ;

- l'IDFA revêt également une importance significative pour certaines offres publicitaires spécifiques telles que les offres dites drive-to-store ou les offres de retargeting ;

- le niveau de revenu des éditeurs d'application serait directement lié à la part d'inventaire utilisant l'IDFA ;

- seule Google a décidé de ne pas afficher la sollicitation ATT et de ne pas utiliser l'IDFA pour la vente des espaces publicitaires de ses applications propres (avec l'exception de YouTube mentionnée en note de bas de page au paragraphe 95 ).

ii. L'IDFV : un identifiant permettant une collecte moins étendue, limitée aux données propriétaires

98. L'IDFV, identifiant unique à la fois pour chaque appareil et pour chaque éditeur, permet à un éditeur d'application de suivre un utilisateur au sein de ses propres applications et, le cas échéant, groupes d'applications. Il ne permet pas de reconnaître l'utilisateur dans les applications d'autres éditeurs.

99. Selon une définition fournie par Apple, l'IDFV est « une chaîne alphanumérique qui identifie de manière unique un appareil auprès du développeur ». L'identifiant est différent pour chaque développeur et pour chaque appareil. Il permet donc à un développeur de faire correspondre l'identité de ses utilisateurs à travers différentes applications qu'il possède, à l'exclusion d'applications tierces57.

100. Ainsi que l'Autorité l'a relevé dans la décision n° 21-D-07, la page internet d'Apple à destination des développeurs indique que « l'IDFV peut être utilisé à des fins d'analyse entre les applications provenant d'un même fournisseur de contenu »58. Il n'est pas fait mention d'usages publicitaires.

101. L'IDFV est pourtant utilisé à des fins publicitaires, bien que dans le cadre d'usages spécifiques et plus limités que l'IDFA. Il n'entre pas dans le champ d'application de la sollicitation ATT.

102. Interrogée sur les usages de l'IDFV à des fins publicitaires, Apple a affirmé, que « l'IDFV peut être utilisé de la même manière que l'IDFA, mais uniquement sur la base de données propriétaires. Cela signifie qu'il peut être utilisé pour l'analyse et le plafonnement de la fréquence sur la base de données propriétaires. [Il peut également être utilisé] pour l'attribution et la mesure car ces activités peuvent être réalisées sur la base de données propriétaires »59. Enfin, Apple rappelle que « la mise en œuvre de la sollicitation ATT n'a aucun effet sur IDFV »60.

103. Dans leur complément de saisine, les saisissantes considèrent que la puissance de l'IDFV n'est pleinement déployée que dans le cadre de groupes d'entreprises verticalement intégrés à différents niveaux de la chaîne publicitaire, tels que celui de Google61. Criteo considère également que l'IDFV favorise « les entreprises dont le modèle commercial repose sur des données propriétaires par rapport aux données tierces »62 et qu'il « défavorise donc les petits acteurs dont le modèle économique repose sur des données tierces, et qui auront désormais beaucoup plus de difficultés à atteindre leur public cible, ce qui limitera leur croissance et leur capacité à rivaliser avec les grandes entreprises »63.

104. À cet égard, Meta a indiqué que « les développeurs ont tout intérêt à posséder plusieurs applications et à partager des données entre ces applications. Cet avantage, qui a déjà été observé, a favorisé les regroupements dans le secteur »64. Twitter65 et TikTok66 estiment l'IDFV moins pertinent.

105. Google utilise l'IDFV pour ses propres applications dans le cadre d'usages limités et spécifiques. Elle a indiqué qu'elle « utilise l'IDFV dans ses propres applications pour lutter contre les fraudes et limiter la fréquence d'exposition »67 mais qu'elle n'y a pas recours

« pour le ciblage publicitaire ou la mesure des performances des campagnes publicitaires au sein de ses applications installés sur les terminaux iOS »68.

106. Selon Voodoo, « l'IDFV est considéré comme un identifiant technique très utile au sein du portefeuille d'applications d'un même éditeur dans la mesure où il permet aux éditeurs de suivre des comportements individuels au sein des applications qu'ils ont eux-mêmes publiées ». S'agissant des pratiques publicitaires, l'utilisation de l'IDFV « pourrait bénéficier aux éditeurs avec une base suffisamment importante d'utilisateurs […] ou avec une offre de services et d'applications diversifiées ». Voodoo estime que « l'utilisation de l'IDFV risque donc de favoriser les acteurs les plus importants aujourd'hui en comparaison de l'IDFA »69.

107. Si l'utilisation de l'IDFV n'est pas couverte par le champ d'application de la sollicitation ATT, il ressort de l'avis de la CNIL du 19 mai 2022 que cet identifiant permet effectivement un suivi à des fins publicitaires et qu'il entre dans le champ des obligations légales et réglementaires relatives au consentement70.

108. Dans son avis, la CNIL souligne que le consentement est nécessaire pour le traitement de l'IDFV à des fins publicitaires, conformément à l'article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après, « loi Informatique et Libertés »)71, qui impose un consentement préalable pour toute lecture ou écriture sur le terminal de l'utilisateur, qu'il y ait ou non traitement de données personnelles72. Elle précise que ces dispositions s'appliquent à l'IDFV, dès lors que son traitement implique un accès aux informations stockées sur l'équipement de l'utilisateur, indépendamment du fait que cet identifiant ne soit pas utilisé à des fins de traçage publicitaire selon la définition d'Apple.

109. Selon la CNIL, « l'IDFV peut, en effet, être techniquement utilisé par des éditeurs d'application ayant de nombreux produits pour permettre des usages liés à la publicité, tels que le plafonnement du nombre d'expositions publicitaires ou le ciblage d'audience, et que ce type d'usage n'est pas proscrit par la société Apple et ne nécessite pas d'obtenir un accord de l'utilisateur via la fenêtre ATT »73. Elle conclut que « si l'IDFV est utilisé à des fins publicitaires, notamment de ciblage et de mesure publicitaires, le consentement libre spécifique, éclairé et univoque de l'utilisateur devra être préalablement recueilli. Si l'usage de l'IDFV n'implique pas de traçage publicitaire tel que défini par la société Apple, cela n'aura pas d'effet sur la nécessité de recueillir ce consentement. Cette circonstance aurait pour seule conséquence de ne pas imposer à l'éditeur l'affichage de la sollicitation ATT »74.

110. Le 29 décembre 2022, la CNIL a sanctionné la société Voodoo pour l'utilisation de l'IDFV à des fins publicitaires sans le consentement de l'utilisateur75. Dans l'affaire examinée, lorsqu'un utilisateur refusait le suivi publicitaire dans la fenêtre ATT, Voodoo affichait une seconde fenêtre l'informant que seules des publicités non-personnalisées seraient proposées. Toutefois, la CNIL a constaté que, malgré ce refus, Voodoo continuait à lire l'IDFV et à traiter des informations liées à la navigation de l'utilisateur à des fins publicitaires, en contradiction avec l'information donnée et, partant, en violation de l'article 82 de la loi Informatique et Libertés.

111. Il ressort enfin des explications de Google que l'IDFV est susceptible d'être communiqué par certains éditeurs à des entreprises tierces.

112. Google a en effet expliqué ne pas utiliser directement l'IDFV pour le ciblage publicitaire ou la mesure des performances des campagnes publicitaires, mais seulement pour la synchronisation avec ses propres identifiants. Ces identifiants sont ensuite utilisés pour le ciblage publicitaire, la lutte contre la fraude et la limitation de la fréquence d'exposition. Google complète en ces termes : « [l]es éditeurs peuvent transmettre l'IDFV par le biais des identifiants fournis par l'éditeur (“PPID” ou “Publisher provided identifier”) 76 partagés via Ad Manager. Cependant, Google n'est pas en mesure de connaître ce que contiennent les données transmises par les signaux chiffrés provenant des éditeurs (‘ESP' ou ‘encrypted signal from publishers'), car ceux-ci sont conçus pour garantir que les signaux partagés entre annonceurs et éditeurs ne soient pas accessibles à Google qui ne peut donc les utiliser »77.

113. Des exemples de transmission de l'IDFV à des tiers ont été observés. Par exemple, OpenX a déclaré qu'elle « prend en charge la transmission d'IDFV aux annonceurs pour la prise de décision sur l'achat de médias uniquement s'il est fourni par l'éditeur. Il s'agit de l'une des méthodes permettant aux annonceurs de conserver les capacités d'adressage sur le trafic iOS sans IDFA »78.

114. Le recours à l'IDFV oblige les éditeurs à solliciter le consentement des utilisateurs79 à travers une CMP. Aucune option dans les paramètres des appareils Apple ne permet à l'utilisateur d'empêcher tous les éditeurs d'accéder à l'IDFV.

iii. Le service d'attribution SKAN

115. Apple met à disposition des éditeurs qui affichent des publicités dans leurs applications un service appelé SKAN. SKAN est un outil gratuit d'attribution publicitaire introduit par Apple au mois de mars 2018.

116. SKAN permet aux développeurs et réseaux publicitaires, pour leurs campagnes, de mesurer l'attribution pour l'installation et la réinstallation d'applications issues de l'App Store sur les appareils iOS.

117. Apple explique que dans ce service, l'attribution publicitaire ne combine pas les données relatives aux utilisateurs ou aux appareils dans les applications et sites web tiers. SKAN serait ainsi plus respectueux de la vie privée. Selon Apple, « les API SKAN sont conçues pour conserver les données publicitaires sur l'appareil, séparément des applications », sans utilisation de l'IDFA. Pour utiliser SKAN, les applications n'ont donc pas recours à la sollicitation ATT.

118. Dans cette solution, l'attribution, limitée à la campagne publicitaire, est moins granulaire que celle opérée à l'aide de l'IDFA. SKAN envoie au réseau publicitaire des données limitées sur les installations d'applications et les conversions publicitaires liées à un utilisateur et attribuées à une campagne publicitaire donnée, et ce de façon différée. À l'inverse, l'attribution rendue possible par l'IDFA est opérée en temps réel.

b) La collecte des données sur l'App Store et les applications d'Apple : le service

Apple Search Ads (ASA)

119. Dans le cadre de la collecte de données pour ses propres services publicitaires, Apple déclare assurer un niveau maximal de protection de la vie privée en limitant la quantité et le type d'informations collectées. À cette fin, le service ASA ( i. ) repose sur une méthodologie dénommée « privacy by design » directement mise en œuvre dans chaque appareil aux fins d'exclure tout suivi publicitaire sur les applications et sites tiers ( ii .).

i. L'Apple Search Ads (ASA)

120. Lancé en octobre 2016 aux États-Unis80, puis en France en 201881, le service ASA permet aux éditeurs de promouvoir leurs applications auprès des utilisateurs lorsque ceux-ci cherchent à télécharger une application et à Apple de vendre son inventaire publicitaire sur l'App Store.

121. Sur l'App Store, les publicités ASA sont affichées dans deux emplacements. Jusqu'au mois d'octobre 2022, ces publicités pouvaient se situer dans l'onglet Recherche de l'App Store, sous Suggestions 82 , ou sur la page des résultats de recherche83. Elles ne sont personnalisées que dans l'hypothèse où l'utilisateur a activé le paramètre relatif à la publicité ciblée dans les réglages de son terminal84. Les publicités sont matérialisées par un signe Annonce encadré de bleu85.

122. Apple vend des espaces publicitaires sur deux autres de ses applications, Apple News et Apple Bourse86. Leur inventaire est composé de publicités Display (pour Apple Bourse) ou de publicités Display et Search (pour Apple News).

123. Le service ASA se décline sous deux formats :

· Apple Search Ads Basic, uniquement accessible aux éditeurs d'applications agissant en tant qu'annonceurs. Dans cette version d'ASA, les éditeurs ont accès à un ensemble de données pour suivre les performances de leurs campagnes mais ne peuvent pas faire de ciblage87, la correspondance entre la publicité et la recherche faite par l'utilisateur étant automatisée88 ;

· Apple Search Ads Advanced, accessible non seulement aux éditeurs, mais également aux annonceurs et aux agences89. En particulier, l'éditeur a la possibilité de cibler un public précis, en utilisant des critères parmi les suivants : sexe, âge, localisation, type

d'appareil, date et type d'utilisateurs (tous les utilisateurs, seulement les nouveaux, ou ceux qui ont déjà téléchargé d'autres applications de cet éditeur)90. À cet effet, l'éditeur peut combiner ces critères pour créer des segments, c'est-à-dire des groupes d'au moins 5 000 utilisateurs comportant plusieurs caractéristiques communes91.

124. Les deux formats d'ASA proposent une automatisation « intelligente »92 pour l'affichage des publicités les plus à même d'intéresser les utilisateurs93. Pour ce faire, Apple explique se fonder sur ses propres données (données propriétaires), à savoir les informations du compte, l'âge, le sexe, la localisation, les contenus téléchargés sur les applications d'Apple, ainsi que, lorsque ce service est disponible, les publications consultées et les abonnements sur Apple News94.

125. Apple met également à la disposition des éditeurs qui utilisent son service ASA l'API Apple Search Ads Attribution95, qui permet aux éditeurs d'application de mesurer et d'attribuer les téléchargements d'application qui proviennent des campagnes ASA réalisées sur l'App Store96.

126. Apple explique que lorsque l'éditeur programme sa campagne pour cibler un public en particulier, dès lors que le ciblage est opéré par le biais des critères démographiques, les utilisateurs qui ont refusé l'affichage de publicités personnalisées ne seront pas concernés par cette campagne publicitaire97.

ii. Une collecte de données limitée reposant sur un mécanisme de « privacy by design »

127. Outre son champ limité aux données propriétaires, selon Apple, ASA ne permettrait pas de collecter d'informations sur les utilisateurs ou les appareils auprès des tiers afin d'établir des profils de consommateurs à des fins publicitaires98.

128. Le document intitulé « Publicité Apple et confidentialité » disponible sur le site internet de l'entreprise99, indique sur ce point : « [l]a plateforme publicitaire d'Apple ne suit pas vos activités, c'est-à-dire qu'elle n'associe pas les données d'utilisateur ou d'appareil recueillies sur nos apps à des données d'utilisateur ou d'appareil recueillies auprès de tiers à des fins de ciblage ou de mesure publicitaires ». Le même document précise qu'Apple peut utiliser les informations liées aux achats, téléchargements et abonnements des utilisateurs afin de les placer dans un « segment » et ajoute : « [n]ous n'autorisons pas le ciblage basé sur le téléchargement d'une app spécifique ou l'achat d'une app spécifique

(y compris les abonnements) à partir de l'App Store, sauf si le ciblage est réalisé par le développeur de l'app ».

129. Apple affirme que ces données personnelles « ne sont en aucun cas communiquées à des tiers »100 et ne sont utilisées que pour l'activité publicitaire d'ASA.

130. Elle explique n'utiliser ni l'IDFA101 ni l'IDFV102 pour fournir ses services publicitaires, mais trois autres identifiants, utilisés à différentes étapes de la personnalisation des publicités : le Directory Services Identifier (DSID), le Device Pack Identifier (DPID) et l'Advertising Identifier (iADID)103.

131. Le DSID est l'identifiant technique du compte Apple d'un utilisateur (Apple ID). Il est généré, lors de la création de ce compte, sur les serveurs d'Apple.

132. Cet identifiant sert à la collecte de données et recueille, outre « l'identité de l'utilisateur et d'autres données à caractère personnel (par exemple l'adresse électronique) »104, les données liées à l'activité de l'utilisateur, comme les téléchargements ou achats, associées au DSID105.

133. Pour éviter que la personnalisation et l'affichage des publicités reposent directement sur le DSID, le DPID et l'iADID viennent remplacer le DSID pour la personnalisation et l'affichage des publicités dans le cadre de recherches dans l'App Store.

134. Ainsi, lorsqu'un utilisateur fait une recherche sur l'App Store, une requête est envoyée à Ad Platforms 106. Les serveurs d'Ad Platforms déterminent la publicité à afficher en fonction des mots clés de la recherche, du DPID, de l'iADID et des segments dans lesquels l'utilisateur a été placé107.

135. Selon Apple, le remplacement du DSID par deux identifiants aléatoires sur le terminal de l'utilisateur empêche Ad Platforms de faire tout lien entre le DSID (l'ensemble des données collectées sur un utilisateur) et les identifiants qu'elle reçoit. Apple souligne que le personnel d'Ad Platforms est en outre soumis à une obligation de confidentialité au soutien de ce même objectif108.

136. Depuis le 20 septembre 2021, date de sortie de la version 15 de l'iOS, la collecte par Apple des données sur l'App Store est soumise au recueil du consentement des utilisateurs dont les modalités sont exposées ci-après aux paragraphes 178 et suivants.

3. Le cadre juridique de l'exploitation des données à des fins publicitaires

a) Les obligations législatives et réglementaires

137. L'exploitation des données à des fins publicitaires est soumise à un ensemble de règles issues du droit de l'Union européenne. Les textes pertinents sont le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données », ci-après, « RGPD ») et la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, (ci-après, la « directive ePrivacy »). Cette dernière a été modifiée le 25 novembre 2009 à la suite de l'adoption de la directive 2009/136/CE.

138. En droit national, ces deux textes ont conduit notamment à la modification de la loi Informatique et Libertés109.

139. Le RGPD impose aux responsables du traitement des données de recueillir le consentement libre, spécifique, éclairé et univoque de l'utilisateur avant tout traitement de ses données à caractère personnel. En outre, l'utilisateur doit être en mesure de retirer ce consentement à tout moment avec la même simplicité.

140. L'article 5, paragraphe 3, de la directive ePrivacy pose un principe de consentement analogue. Avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci, l'utilisateur doit donner son consentement, sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

141. L'article 82 de la loi Informatique et Libertés transpose cette règle dans les cas où un opérateur effectue des opérations d'écriture ou de lecture sur le terminal d'un utilisateur, c'est-à-dire lorsqu'il accède à des informations déjà stockées dans l'équipement terminal de l'utilisateur par voie de transmission électronique (par exemple, un identifiant publicitaire), ou bien y inscrit des informations.

142. L'Autorité a rappelé le cadre législatif et réglementaire de manière plus détaillée aux paragraphes 43 à 53 de la décision n° 21-D-07 précitée.

143. Par deux délibérations du 17 septembre 2020, la CNIL a publié une recommandation et des lignes directrices pour l'application de l'article 82 de la loi Informatique et Libertés110.

144. Elles encadrent en particulier les modalités de recueil du consentement de l'utilisateur en cas d'opération de lecture ou d'écriture sur son terminal, notamment par le dépôt de cookies ou d'autres traceurs111. Elles rappellent ainsi que l'interface de recueil de consentement proposée par l'éditeur à cet effet doit être neutre, tant dans sa forme que sa formulation, afin que l'utilisateur ne soit pas induit en erreur. En outre, lorsqu'un traceur est utilisé pour plusieurs finalités, dont certaines n'entrent pas dans le cadre des exemptions fondées sur la finalité exclusive ou le caractère strictement nécessaire mentionnés plus haut, il est nécessaire de recueillir le consentement de l'utilisateur pour le recours à ce traceur.

145. Le RGPD fait référence à la notion de suivi du comportement des personnes sur Internet sans limiter cette notion au suivi publicitaire par une entreprise sur des sites web et des applications mobiles appartenant à des entreprises tierces. Ainsi, aux termes du considérant 24 du RGPD, afin « de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d'établir si les personnes physiques sont suivies sur internet, ce qui comprend l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit ».

146. En France, afin de déterminer si les entreprises sont soumises aux obligations du cadre législatif et réglementaire, la CNIL ne recourt pas à la notion de suivi. Dans son premier avis du 17 décembre 2020 rendu à la demande de l'Autorité, elle avait estimé que les

« traitements publicitaires mis en œuvre par la société Apple nécessitent un consentement dès lors qu'ils impliquent des opérations de lecture ou écriture sur le terminal de l'utilisateur »112.

b) Le développement par l'industrie d'une modalité de recueil du consentement standardisé : les plateformes de gestion du consentement (« CMP »)

147. Afin de recueillir le consentement des utilisateurs à la collecte et l'utilisation de leurs données, les éditeurs d'application affichent plusieurs fenêtres.

148. Pour se conformer à leurs obligations légales et réglementaires, les éditeurs affichent une fenêtre CMP demandant le consentement des utilisateurs à l'ensemble des finalités d'utilisation des données.

149. Les CMP sont développées dans le cadre du « Transparency and Consent Framework » (ci-après, « TCF », ou cadre de transparence et de consentement).

150. Il s'agit d'un ensemble de règles, élaboré par l'un des saisissants, à savoir l'IAB en avril 2018, et complété dans une seconde version en août 2019 ayant pour objectif de

faciliter la mise en conformité des acteurs de l'écosystème de la publicité en ligne avec les obligations fixées par la réglementation en matière de traitements publicitaires. Cette facilitation passe par une standardisation des interactions liées au respect de ce cadre réglementaire entre les différents acteurs impliqués.

151. Si le TCF n'a pas de caractère obligatoire, son respect est exigé pour les acteurs de la publicité en ligne enregistrés auprès de l'Alliance Digitale (issue de la fusion de l'IAB avec la MMA), entité chargée du suivi du TCF.

c) Les règles encadrant la collecte des données sur les terminaux commercialisés par Apple

152. Outre les règles précédemment exposées, les éditeurs d'application sont soumis aux obligations contractuelles imposées par Apple pour l'usage de l'App Store. Celles-ci incluent plusieurs stipulations en matière de protection des données à caractère personnel qui s'imposent tant aux éditeurs d'applications ( i. ) qu'à Apple dans le cadre de la collecte des données qu'elle effectue pour ses propres services ( ii .)

i. Les conditions imposées aux éditeurs d'application mobile

Les conditions de référencement dans l'App Store

153. Le référencement des applications sur l'App Store est sujet à plusieurs prérequis.

154. Pour pouvoir distribuer ses applications dans l'App Store, un éditeur doit accepter la licence d'utilisation d'Apple113 (« Apple Developer Program License Agreement »114). Ce n'est qu'à cette condition qu'il peut accéder aux kits de développement logiciel pour les terminaux Apple et aux services de développement mis à disposition par Apple. La licence d'utilisation d'Apple contient également des règles sur la collecte de données et l'information de l'utilisateur sur les traitements réalisés (paragraphes 3.3.7 à 3.3.11), l'utilisation de l'IDFA (paragraphe 3.3.12) ou encore le consentement de l'utilisateur pour la collecte et l'utilisation de ses données de géolocalisation (paragraphes 3.3.13 à 3.3.17).

155. L'application développée par l'éditeur doit également respecter un ensemble de règles contenues dans les lignes directrices d'examen des applications (« App Review Guidelines »), qui constituent le cadre de référence du contrôle par Apple de la conformité des applications115.

156. Une sous-section consacrée aux problèmes soulevés par certains modèles d'affaires (« 3.2. Other Business Model Issues ») établit une distinction entre les modèles d'affaires acceptables et inacceptables selon Apple. En particulier, est inacceptable au sens de cette sous-section un modèle consistant pour une application à exiger des utilisateurs qu'ils autorisent le suivi pour pouvoir accéder à une fonctionnalité ou du contenu, ou pour

simplement utiliser l'application116. Dans les lignes directrices en vigueur à la date de la présente décision, cette règle figure, sous une formulation légèrement modifiée, à l'article 3.1.2 (a) « Usages autorisés »117.

157. La sous-section 5.1 rappelle certaines exigences légales relatives à la collecte et au stockage des données, à l'utilisation et au partage des données, aux données de géolocalisation et à des catégories particulières de données (données de mineurs et données de santé). Dans cette sous-section, l'article 5.1.1 énonce les conditions d'information et de recueil du consentement de l'utilisateur. Il fait explicitement référence aux règles du RGPD et ajoute que « les applications doivent respecter les paramètres d'autorisation de l'utilisateur et ne doivent pas essayer de manipuler, tromper ou forcer les personnes à consentir à l'accès à des données non nécessaires »118 .

158. Parmi les autres règles inscrites dans cette sous-section figurent notamment l'obligation d'inclure un lien vers la « politique de confidentialité » de l'application dans les métadonnées de l'App Store (point i.), de ne collecter que les données qui sont pertinentes pour la fonctionnalité essentielle de l'application et n'utiliser que celles qui sont nécessaires pour accomplir la tâche en question (point iii.), et de ne pas exiger de l'utilisateur qu'il saisisse des informations personnelles pour faire fonctionner l'application (point v.).

L'instauration du dispositif « App Tracking Transparency » pour l'autorisation du suivi sur les sites et applications tiers

159. L'article 5.1.2 des App Review Guidelines, qui définit les conditions dans lesquelles les éditeurs d'application peuvent utiliser ou partager les données qu'ils ont collectées sur les utilisateurs, prévoit la mise en œuvre de la fenêtre ATT afin de recueillir le consentement des utilisateurs au suivi de leur activité sur les sites et applications tiers qu'Apple définit simplement par les termes « suivi » ou « tracking »119.

160. Pour Apple, en effet, les termes « suivi » et « traçage » sont des traductions de l'anglais

« tracking », que l'entreprise définit comme « l'acte de relier les données d'utilisateur ou d'appareil collectées à partir de votre application avec les données d'utilisateur ou d'appareil collectées à partir d'applications, de sites Web ou de propriétés hors ligne d'autres sociétés à des fins de publicité ciblée ou de mesure publicitaire. Le traçage désigne également le partage de données d'utilisateurs ou d'appareils avec des courtiers en données »120.

161. Par ailleurs, Apple définit la notion de « données d'utilisateurs ou d'appareils recueillies auprès des tiers » comme toute information qui est propre à un individu ou à un appareil, et qui permet par conséquent de relier les données relatives à un même utilisateur final ou appareil à travers les applications, sites web ou propriétés hors ligne de différentes entreprises121. Apple cite l'IDFA comme exemple de données relatives à un appareil.

162. D'après le site internet d'Apple destiné aux développeurs d'applications, les actions suivantes sont considérées comme du suivi122 :

- afficher des publicités ciblées dans une application en fonction des données utilisateur collectées à partir d'applications et de sites web d'autres sociétés ;

- partager des données de localisation de l'appareil ou des listes de diffusion avec un courtier en données ;

- partager une liste de courriels, d'identifiants publicitaires ou d'autres identifiants avec un réseau publicitaire tiers qui utilise ces informations pour cibler ces utilisateurs dans les applications d'autres développeurs ou pour trouver des utilisateurs similaires ; et

- placer un SDK tiers dans une application qui combine les données utilisateur de plusieurs applications.

163. En outre, l'article 5.1.1 des App Review Guidelines interdit d'exiger de l'utilisateur qu'il permette l'accès à ses données pour utiliser des fonctionnalités payantes, tandis que l'article

5.1.2 interdit de « tenter de construire de manière clandestine des profils utilisateurs » à partir de données anonymisées, agrégées ou toute autre donnée non identifiante, qu'elles soient collectées par l'éditeur de l'application ou par un tiers sur cette même application.

164. Apple interdit également le recours par les éditeurs au « fingerprinting »123, qui constitue une technique d'identification d'un utilisateur de manière unique en utilisant les caractéristiques techniques de son terminal ou de son navigateur (langue, version du système d'exploitation, fuseau horaire, modèle de terminal, etc.). Dans une section « Foire aux questions » sur la confidentialité des utilisateurs et l'utilisation des données, Apple rattache explicitement cette interdiction à sa licence d'utilisation124.

165. L'affichage de la sollicitation ATT et l'approbation de l'utilisateur sont obligatoires pour les éditeurs, dès lors qu'ils souhaitent partager les données de leurs utilisateurs avec des tiers. À défaut d'approbation, les développeurs et leurs fournisseurs ne pourront pas suivre l'utilisateur, que ce soit par l'IDFA ou par l'intermédiaire de toute autre méthode alternative de suivi telle que le hachage de l'adresse e-mail ou le recours au « fingerprinting » (voir les paragraphes 193 et suivants ci-dessous).

Le contrôle par Apple des conditions de référencement dans l'App Store

166. Le respect des conditions de référencement contenues dans les lignes directrices est vérifié par une équipe d'environ [confidentiel] personnes125. Cette « App Review Team » est chargée de contrôler les nouvelles applications, mais aussi les mises à jour de celles-ci lorsqu'elles sont déjà référencées.

167. Les saisissantes expliquent que « la procédure de revue est une procédure impérative, préalable qui implique la soumission par l'éditeur d'application de sa proposition de modification ou de mise à jour à des équipes dites de Review d'Apple. Les équipes difficilement joignables autrement que par email car Apple dégage [sic] toute responsabilité ou toute forme d'assistance aux éditeurs d'application dans le contrat principal, répondent généralement par référence à des paragraphes spécifiques des lignes directrices d'Apple »126 .

168. D'après les saisissantes, ce processus, qui peut durer plusieurs semaines, voire plusieurs mois, peut se conclure par une validation, par un rejet pur et simple, par une suspension tant que des modifications ne sont pas apportées par l'éditeur, ou enfin par le silence127.

169. Les saisissantes soulignent également qu'en l'absence de validation, en cas de rejet, de suspension ou en attendant une décision des équipes de contrôle d'Apple, la capacité de monétisation de l'application est compromise, empêchant une exploitation complète de son inventaire. Pour les fournisseurs indépendants de services aux éditeurs, notamment en matière d'attribution, les événements de conversion ne peuvent être correctement attribués, valorisés ou rémunérés, entraînant ainsi des « conséquences tangibles et immédiates »128.

170. Les équipes peuvent approuver ou refuser la nouvelle version de l'application, qui ne peut pas être publiée tant que ce contrôle n'a pas été effectué. La mise à jour d'une application peut toutefois être acceptée provisoirement par l'équipe de revue, si elle permet de corriger une erreur importante, dans l'attente d'une soumission ultérieure concernant la mise en conformité.

171. Lorsque la mise à jour proposée par les éditeurs est jugée non conforme aux lignes directrices de l'App Store, l'équipe de revue leur envoie l'article correspondant des lignes directrices. Les développeurs peuvent poser des questions et obtenir des précisions ou demander un appel téléphonique afin d'éclaircir les modifications à apporter. Ils ont également la possibilité de former un recours devant une instance dénommée « App Review Board ».

172. Même en l'absence de mise à jour, Apple procède également à un contrôle approfondi des applications distribuées sur l'App Store. [confidentiel]129. [confidentiel]130.

173. Lors de ce contrôle a posteriori, lorsqu'une violation des politiques ou lignes directrices est constatée, Apple peut suspendre la distribution de l'application sur l'App Store tant que la violation n'a pas cessé ou bannir l'application si la violation est répétée ou suffisamment grave. À titre d'exemple, plusieurs médias français, dont Le Figaro, ont été exclus

temporairement de l'App Store, Apple expliquant que ces applications transmettaient des données de géolocalisation à des tiers sans le consentement des utilisateurs131, violation suffisamment grave au sens d'Apple.

174. Enfin, Apple se réserve la possibilité de procéder à une suppression de l'App Store132 des applications qui « ne fonctionnent plus comme prévu […] ou qui sont obsolètes ».

ii. Les règles encadrant la collecte des données sur l'App Store

175. Avant septembre 2021, le consentement pour l'exploitation des données à des fins publicitaires était activé par défaut dans les réglages des terminaux mobiles d'Apple.

176. À compter du 20 septembre 2021, date de sortie de la version 15 d'iOS, Apple a mis en place pour le suivi publicitaire de ses propres applications une fenêtre de format et de contenu différents de la sollicitation ATT destinée aux applications des tiers.

177. Cette fenêtre, présentée comme une annonce, s'intitule « Annonces personnalisées » ou

« Publicités personnalisées ». Elle fournit une explication sur les publicités personnalisées (« les publicités personnalisées présentées dans les apps d'Apple telles que l'App Store et Apple News vous aident à découvrir des apps, des produits et des services pertinents ») et propose deux boutons d'action : « activer » ou « désactiver » les publicités personnalisées.

4. L ES CONDITIONS D ' ACCÈS DES FOURNISSEURS DE SERVICES PUBLICITAIRES AUX DONNÉES DANS LE CADRE DE LA MISE EN ŒUVRE DE L 'A PP T RACKING T RANSPARENCY (ATT).

178. Selon Apple, l'ATT constitue une mesure nécessaire pour renforcer l'effectivité du consentement des utilisateurs au suivi de leur activité sur les sites et applications tiers (a). L'instruction a toutefois permis de révéler l'existence de difficultés engendrées par la mise en œuvre et la conception du dispositif (b), les constats opérés par les services d'instruction rejoignant sur ce point en grande partie ceux opérés par la CNIL dans deux délibérations (c).

a) Fonctionnement et justification du dispositif ATT selon Apple

i. Un dispositif ciblant spécifiquement la collecte et l'utilisation des données tierces

L'information insuffisante des utilisateurs sur l'existence et l'importance de la collecte de données tierces selon Apple

179. Apple affirme que les utilisateurs sont insuffisamment informés du partage de leurs données avec des tiers133.

180. À cet égard, la sollicitation ATT a selon elle pour but de « donner du pouvoir aux utilisateurs »134 en leur permettant de décider, « développeur par développeur », de l'utilisation de leurs données.

181. Ainsi, l'objectif de l'ATT n'est pas de permettre aux développeurs de se conformer à leurs obligations légales, mais d'offrir « plus de transparence et un choix supplémentaire aux consommateurs, afin de compléter les mesures prises par chaque développeur »135 .

182. Sur ce point, Apple soutient que l'ATT aura des effets positifs sur la concurrence, car la possibilité de faire un choix application par application incitera les développeurs à améliorer la confidentialité pour gagner la confiance des utilisateurs136.

L'exclusion de l'ensemble des données propriétaires du champ de l'ATT

183. En raison de la définition du suivi limitée au suivi sur les applications et sites tiers sous-tendant l'ATT, le dispositif ne s'applique pas au suivi publicitaire et à l'utilisation de traceurs par les éditeurs d'application dans leurs propres sites web et applications mobiles.

184. Sur ce point, plusieurs entreprises interrogées au cours de l'instruction considèrent que la mise en place de la sollicitation ATT pourrait favoriser les entreprises qui proposent des services dans le cadre d'environnements logués, qui, comme décrits aux paragraphes 63 et 64 , supposent l'authentification de l'utilisateur par un compte utilisateur (par exemple une adresse de messagerie électronique).

185. Criteo estime que « les applications qui nécessitent une connexion ou une inscription (ce qui nécessite l'obtention d'un consentement pour la fourniture et l'utilisation de données, en dehors de l'appareil) sont susceptibles de bénéficier d'un avantage significatif »137.

186. Selon Voodoo, « il est possible que ces limitations favorisent le développement d'environnements logués dans lesquels la collecte de l'adresse email des utilisateurs pourrait pallier l'absence d'identifiant permettant le suivi de comportements individuels entre des applications d'éditeurs tiers ». Voodoo considère que la collecte d'adresses mail, qui sont des identifiants persistants par nature, présente moins de garanties pour la protection de la vie privée des utilisateurs que la collecte et l'exploitation d'IDFA, « qui sont réinitialisables et demeurent sous le contrôle des utilisateurs »138.

187. Ad4screen soutient que « certains acteurs ayant la capacité de savoir quel utilisateur est connecté à telle application à un moment donné, ont la possibilité de [suivre] les utilisateurs sans utiliser l'IDFA. Par exemple, les utilisateurs utilisant les services Google (…). Il en va de même pour Facebook. Les acteurs ayant leur propre “écosystème” de données pourront donc tirer leur épingle du jeu et renforcer leur offre sans utiliser l'IDFA ou les cookies »139.

188. Apple avait déjà exprimé cette idée s'agissant des services de Meta, lorsqu'un utilisateur de Facebook télécharge une autre application et se connecte avec son identifiant Facebook :

« Facebook peut s'appuyer sur l'identifiant Facebook des utilisateurs pour lier les données collectées entre ses différentes applications, sans avoir à demander aux utilisateurs l'autorisation de les tracer (puisque l'intégralité des données utilisées sont des données propriétaires) »140.

189. Toutefois, Apple précise qu'il en va autrement si « un utilisateur de Facebook se connecte à une application tierce via son identifiant Facebook, et que cela permet à Facebook d'accéder à des informations personnelles issues de ce développeur d'applications ». Une réponse à la sollicitation ATT est alors nécessaire141. Il n'en reste pas moins que même dans ce cas de figure, un recueil du consentement conforme au RGPD est nécessaire, ainsi que l'illustre la sanction de Meta prononcée le 4 janvier 2023 par la commission irlandaise de la protection des données142.

ii. Un dispositif censé faciliter le choix de l'utilisateur

Une fenêtre qui n'a pas pour objet le recueil d'un consentement conforme au cadre réglementaire

190. Le dispositif ATT se manifeste par l'apparition d'une fenêtre à l'ouverture d'une application téléchargée précédemment sur l'App Store. Elle a été conçue comme comportant certains éléments non modifiables par les éditeurs, imposés par Apple, et d'autres dont le contenu et le périmètre peuvent être déterminés par les éditeurs.

191. Le cadre graphique et l'interface de la sollicitation ATT sont imposés par Apple. Le site internet d'Apple à destination des développeurs précise que le titre de la sollicitation, qui inclut le nom de l'application est généré automatiquement. Seul est personnalisable le message de « description de l'usage » : « Une explication exacte et concise des raisons pour lesquelles votre application requiert un accès à des données sensibles, normalement formulée en une phrase complète, permet à l'utilisateur de prendre une décision informée et améliore la probabilité que cet utilisateur autorise l'accès à ses données »143.

192. Les trois parties de la sollicitation, à savoir la formule de sollicitation, la description de l'usage et les boutons d'action sont observables dans la capture d'écran ci-dessous :

· la formule de sollicitation, non modifiable et en caractères gras, indique à l'attention de l'utilisateur que l'application souhaite « suivre vos activités dans les apps et sur les sites web d'autres sociétés » ;

· la description de l'usage, composée d'un texte en caractères non gras, est pour sa part personnalisable par les éditeurs ;

· la troisième partie de la sollicitation ATT, constituée des deux boutons d'action, permet à l'utilisateur de choisir entre refuser et autoriser le suivi.



Une solution technique garantissant l'effectivité du refus exprimé par de l'utilisateur

193. Dans la décision n° 21-D-07, l'Autorité a constaté au paragraphe 30 que « si l'utilisateur fait le choix, dans la sollicitation ATT, de ne pas autoriser l'application à le suivre dans d'autres applications ou sites tiers en cliquant sur la fenêtre du bas, les développeurs et leurs fournisseurs ne seront pas autorisés à suivre l'utilisateur, que ce soit par le biais de l'IDFA de son terminal ou par l'intermédiaire de toute autre méthode alternative de suivi basée sur l'identification de l'utilisateur 144. Les méthodes concernées sont par exemple : le hachage de l'adresse e-mail ou du numéro de téléphone 145 , ou encore la technique des empreintes numériques, dite “fingerprintingˮ ».

194. Apple explique en particulier sur la page « vie privée et usage des données » de son site que les éditeurs d'application ne peuvent pas utiliser d'empreintes numériques pour identifier un terminal ou un utilisateur : « [s]elon l'Accord de licence pour le programme développeurs d'Apple, vous n'êtes pas autorisé à collecter les données d'un appareil dans le but de l'identifier de manière unique. Les données de l'utilisateur ou de l'appareil comprennent, de manière non limitative : les propriétés du navigateur web d'un utilisateur et sa configuration, l'appareil de l'utilisateur et sa configuration, la position géographique de l'utilisateur ou la connexion internet de l'utilisateur. Les applications qui se révèlent mettre en œuvre de telles pratiques ou qui référencent des SDK (y compris, entre autres, les réseaux

publicitaires, les services d'attribution et d'analyse) peuvent être exclues de l'App Store »146.

iii. Les indications fournies par Apple lors de la procédure de mesures conservatoires s'agissant des possibilités de personnalisation de l'ATT

195. Lors de la procédure de mesures conservatoires, Apple a indiqué que les éditeurs pourraient personnaliser partiellement le texte de la sollicitation ATT, choisir le moment où celle-ci s'afficherait (à condition que cela précède tout traçage de l'utilisateur), et ajouter une fenêtre d'information supplémentaire, même si l'utilisateur refusait d'être tracé.

196. Apple a expliqué que, premièrement, les développeurs pouvaient modifier le texte en « non- gras » dans la fenêtre ATT pour fournir des informations supplémentaires en vue d'obtenir un consentement éclairé au sens de l'article 4(11) du RGPD, deuxièmement, ils étaient libres d'expliquer comment les données des utilisateurs seraient utilisées et de tenter de les convaincre d'accepter le suivi et, troisièmement, la documentation guidait les développeurs sur les possibilités de personnalisation, limitées à la seule description de l'usage des données147.

197. Apple a précisé que les développeurs pouvaient concevoir eux-mêmes des fenêtres d'information à ajouter avant ou après l'affichage de la sollicitation ATT148. Ces fenêtres seraient à même d'offrir des explications supplémentaires aux utilisateurs, y compris après un refus de traçage, leur indiquant par exemple comment modifier leurs choix. Selon Apple,

« la combinaison de la sollicitation ATT et de ces fenêtres additionnelles permet une plus grande transparence et une meilleure information des utilisateurs »149. Apple a indiqué, enfin, que « l'utilisateur peut modifier son choix en cliquant directement sur un lien et non en lisant des explications complexes ou détaillées sur le chemin à suivre pour modifier son choix initial. Il suffit pour cela que le développeur insère un lien dans la fenêtre d'informations renvoyant directement l'utilisateur vers les réglages pertinents de son appareil »150.

198. Ces options de personnalisation ont expressément été prises en compte par l'Autorité dans sa décision de mesures conservatoires.

199. En particulier, l'Autorité a relevé que les développeurs pourraient « modifier librement la description de l'usage, composée d'un texte en caractères non gras, qui s'affiche en non gras dans la sollicitation ATT, (…) choisir le moment auquel la sollicitation ATT s'affiche, afin de maximiser la proportion de consommateurs qui souhaiteront être tracés [et] faire apparaître une fenêtre avant l'apparition de la sollicitation ATT, pour expliquer plus en détail comment les données de l'utilisateur telles que l'IDFA seront utilisées et pour quel type de traçage, et une autre fenêtre après l'apparition de la sollicitation ATT, en cas de refus par l'utilisateur du traçage »151 .

b) Les limites du dispositif ATT constatées dans le cadre de l'instruction

200. Les éléments au dossier contredisent les déclarations d'Apple dans le cadre de l'instruction de la demande de mesures conservatoires, selon lesquelles les « développeurs conçoivent eux-mêmes ces fenêtres » et « déterminent librement leur structure, leur format et leur contenu »152.

201. Tout d'abord, les possibilités de personnalisation de l'ATT s'avèrent en fait limitées. Cette circonstance complique le parcours des utilisateurs d'applications tierces en obligeant les éditeurs à cumuler ce dispositif avec leur CMP, voire avec d'autres fenêtres ( i .). Ensuite, les règles édictées par Apple afin d'encadrer l'interaction entre les différentes fenêtres affichées créent un système asymétrique favorisant le refus du suivi ( ii. ). Enfin, les éléments du dossier indiquent que la position d'Apple concernant le champ d'application et la mise en œuvre de l'ATT a considérablement fluctué, cette circonstance ajoutant aux difficultés rencontrées par les éditeurs dans la mise en œuvre du dispositif ( iii. ).

i. Des possibilités de personnalisation limitées compliquant le parcours des utilisateurs

202. Les saisissantes ont fait valoir qu'en raison des limitations de l'ATT, les utilisateurs des terminaux Apple « seront inondés de demandes de consentement multiples (puisque le pop-up d'Apple n'est pas conforme au RGPD) »153. À cet égard, plusieurs entreprises interrogées ont souligné les contraintes engendrées par les règles de mise en œuvre de la sollicitation ATT, qu'il s'agisse des possibilités de personnalisation limitées, ou de la possibilité donnée par Apple d'ajouter des fenêtres supplémentaires pour en préciser le contenu.

L'obligation pour les éditeurs d'afficher systématiquement une CMP en plus de l'ATT

203. S'agissant, en premier lieu, du texte qu'il n'est pas possible de personnaliser, certaines entreprises font valoir qu'il est susceptible de limiter de fait son champ d'application à un seul mode de collecte et d'exploitation de données, à savoir le suivi des activités sur des sites web et applications tierces, alors que pourtant le cadre légal et réglementaire s'applique également à l'exploitation de données propriétaires.

204. En raison de cette limitation, les éditeurs peuvent être conduits à afficher une CMP afin de collecter et d'exploiter des données, notamment propriétaires.

205. À cet égard, Ogury soutient par exemple que « l'ATT est incomplet, puisqu'il ne permet que de donner son consentement sur le suivi publicitaire ciblé au travers des applications. Or, Ogury doit demander le consentement pour d'autres finalités non couvertes par l'ATT [et doit] donc afficher un second popup pour demander le consentement à l'utilisateur afin de s'assurer du respect des obligations définies par le RGPD et par la directive ePrivacy »154.

206. S'agissant, en second lieu, de la partie du texte de la sollicitation ATT qu'il est possible de modifier, la sollicitation ATT ne permet pas aux éditeurs de se conformer à leurs obligations

légales et réglementaires, ce qu'Apple ne conteste d'ailleurs pas dans la mesure où, comme rappelé aux paragraphes 190 et suivants ci-avant, l'ATT ne poursuit pas cet objectif.

207. Le site d'Apple pour les développeurs précise ainsi que, pour se conformer au RGPD et à la loi Informatique et Libertés, les éditeurs peuvent inclure des fenêtres distinctes de l'ATT, en ajoutant des demandes d'autorisation supplémentaires155.

208. Or il apparaît que cette situation conduit les éditeurs à afficher plusieurs fenêtres pour se conformer au RGPD, cette situation étant dénoncée comme inutile et excessive par plusieurs opérateurs.

209. Selon Didomi la sollicitation ATT fait « doublon avec la CMP » et présente « très peu d'options de personnalisation (tout au mieux un petit message en petits caractères et un écran préalable qui fait office d'un 3e repoussoir) »156.

210. S4M explique que l'ATT « ne permet en aucune manière à l'utilisateur de réaliser des choix informés, l'information présentée par Apple étant bien trop liminaire [sic] pour retranscrire fidèlement et de manière nuancée les différentes utilisations qui peuvent être faîtes des données collectées. L'ATT d'Apple ne permet d'ailleurs pas à un éditeur de se conformer au RGPD tant les principes de transparence et de spécificité du consentement sont ignorés par Apple. […] Les éditeurs sont contraints de demander à nouveau l'accord des utilisateurs, même après que l'utilisateur a répondu oui à l'utilisation de technologies de tracking »157.

211. Prisma, se référant aux lignes directrices de la CNIL du 17 septembre 2020158, souligne que si « l'ATT permet à l'utilisateur d'exercer un choix général d'accepter ou de refuser le suivi de l'activité », elle ne suffit pas à permettre un recueil valide du consentement étant donné que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel »159.

Les possibilités de personnalisation permises par l'ajout de fenêtres situées avant ou après l'ATT ne font que complexifier davantage le parcours de l'utilisateur

212. Il ressort de la décision rejetant la demande de mesures conservatoires qu'Apple a indiqué que les développeurs pourraient « faire apparaître une fenêtre avant l'apparition de la sollicitation ATT, pour expliquer plus en détail comment les données de l'utilisateur telles que l'IDFA seront utilisées et pour quel type de traçage, et une autre fenêtre après l'apparition de la sollicitation ATT, en cas de refus par l'utilisateur du traçage. Apple a précisé que l'éditeur d'application peut s'il le souhaite prévoir l'affichage de ces deux fenêtres de façon cumulative » (soulignement ajouté)160.

213. Or les éléments du dossier indiquent qu'en pratique, cette possibilité ne permet toutefois pas de simplifier le parcours de l'utilisateur.

214. En premier lieu, ce constat peut être effectué s'agissant de l'insertion d'une fenêtre avant l'ATT, ou « pre prompt ».

215. En effet, à supposer même qu'une telle fenêtre permette le recueil d'un consentement valide dans le cadre de la sollicitation l'ATT, l'éditeur doit toutefois toujours, comme exposé supra aux paragraphes 203 et suivants, afficher sa CMP pour la collecte des données propriétaires.

216. Dans ce cas, l'insertion d'un pre prompt oblige de fait l'éditeur à afficher au moins trois fenêtres successivement, cette situation ayant été soulignée par plusieurs entreprises dans le cadre de l'instruction.

217. Ainsi, Google affirme avoir refusé de mettre en place l'ATT au motif notamment que l'affichage de plusieurs sollicitations risquerait de perturber les utilisateurs161.

218. D'autres opérateurs, tels que S4M et Smart, soulignent la lourdeur du processus, avec jusqu'à quatre fenêtres successives avant que l'utilisateur puisse accéder à l'application162. Amaury confirme cette idée, indiquant que « l'enchaînement (incompréhensible pour quelqu'un hors de la tech) ATT / CMP rend encore plus illusoire les velléités pour un éditeur de faire comprendre à l'utilisateur ce qu'on lui demande. L'image de la marque est écornée, et les finalités poursuivies par l'éditeur pour le maintien d'un service de qualité sont également impactées »163.

219. En second lieu, l'affichage d'une fenêtre après l'ATT, ou « post prompt », permettant, le cas échéant, de revenir sur le refus exprimé dans le cadre de l'ATT ne peut pas par définition simplifier le parcours de l'utilisateur par rapport à une situation où seuls s'afficheraient l'ATT et la CMP de l'éditeur.

ii. La mise en place d'un système asymétrique facilitant les refus par rapport aux autorisations

220. Les saisissantes soutiennent que l'ordre d'apparition de l'ATT et de la CMP a été progressivement fixé par Apple au terme d'une période de grande incertitude : « [l]es retours contradictoires, illisibles et chaotiques des premiers mois ont été rapidement structurés par Apple qui a déterminé de manière uniforme l'ordre d'apparition de la CMP de l'éditeur et de l'ATT »164 . Elles font valoir que les règles imposées par Apple à cet égard aboutissent à un système facilitant le refus du suivi sur les sites et applications tiers par rapport à l'acceptation. Il ressort sur ce point de l'instruction qu'alors qu'Apple impose aux éditeurs de ne pas afficher une deuxième sollicitation en cas de refus du suivi par un utilisateur (au moyen de l'ATT ou d'une CMP), des contraintes similaires ne paraissent pas s'imposer lorsqu'un utilisateur autorise le suivi publicitaire dans une première fenêtre.

L'impossibilité de revenir sur un premier refus du suivi sur les sites et applications tiers

¨ Situation prévalant lorsque le refus est exprimé dans le cadre de l'ATT

221. Le dossier contient plusieurs exemples d'interdiction faite à un éditeur d'afficher une fenêtre supplémentaire invitant les utilisateurs à revenir sur leur choix lorsqu'il est exprimé dans le cadre de l'ATT.

222. Dans plusieurs cas, Apple a toutefois précisé qu'une CMP limitée à d'autres usages que le suivi sur les applications et sites tiers pouvait être affichée après un refus exprimé dans le cadre de l'ATT. Il peut en outre être relevé que dans ses échanges avec les éditeurs, Apple n'aborde pas les implications juridiques et technologiques de la mise en œuvre d'une CMP modifiée, qui ne s'affiche que dans les cas de refus préalable de suivi.

223. Apple a, dans certains cas, recommandé à des éditeurs d'afficher la CMP en première place pour éviter d'afficher une CMP modifiée. L'application [confidentiel] a ainsi reçu le message suivant165 :

« [confidentiel] » 166.

224. Cette solution n'est toutefois pas systématiquement proposée à tous les éditeurs et n'est pas mentionnée sur le site d'Apple.

¨ Situation prévalant lorsque le refus est exprimé dans le cadre de la CMP de l'éditeur

225. En second lieu, il ressort de plusieurs déclarations (par exemple, [confidentiel]), qu'Apple n'autorise pas l'affichage de l'ATT après un refus du suivi exprimé au moyen de la CMP167.

226. Dans ces messages, Apple demande de ne pas recueillir une deuxième fois le consentement pour la même finalité, ce qui constitue une position compatible avec celle exprimée par la CNIL dans l'avis du 19 mai 2022 exposé plus amplement aux paragraphes 271 et suivants ci-après.

L'obligation faite aux éditeurs de toujours autoriser deux fois le suivi sur les sites et applications tiers

227. Sur l'App Store (dans le cas par exemple de l'application 20 Minutes, Le Parisien etc.), il a été observé que lorsque le suivi est autorisé une première fois, une deuxième fenêtre apparaît, la CMP ou l'ATT.




228. Cette situation résulte pour partie des limitations de l'ATT décrites ci-avant et pour partie des règles édictées par Apple concernant l'affichage de l'ATT.

¨ Apple impose l'affichage de l'ATT en cas d'acceptation du suivi sur les sites et applications tiers dans le cadre de la CMP

229. Apple a introduit une hiérarchie entre les sollicitations, en définissant une obligation de respecter la réponse de l'utilisateur formulée au moyen de l'ATT, quand bien même l'ATT ne permettrait pas de recueillir un consentement éclairé ainsi qu'il a été exposé ci-dessus.

230. La section « Foire Aux Questions » énonce des règles concernant la possibilité d'utiliser une CMP (sous les termes de « demandes d'autorisation supplémentaires pour me conformer à des réglementations ») :

« Vous pouvez choisir d'inclure des écrans afin de vous conformer aux réglementations gouvernementales. Cependant, votre application doit systématiquement respecter la réponse de l'utilisateur à la sollicitation ATT et, ce quand bien même la réponse de l'utilisateur serait en conflit avec ses réponses à d'autres sollicitations. À cet égard, la règle 5.1.1 (iv) précise que : “[l]es applications doivent respecter les paramètres d'autorisation de l'utilisateur et ne pas tenter de manipuler, tromper ou forcer les utilisateurs à consentir à

un accès non nécessaire aux données”. Ces comportements incluent, notamment, la modification de la réponse de l'utilisateur à la sollicitation ATT, en faisant prévaloir sa réponse à d'autres demandes d'autorisation. Vous pouvez utiliser des CMPs (Consent Management Platform, des plateformes de gestion du consentement) tierces pour ajouter ces demandes d'autorisation, sous réserve toutefois qu'aucun suivi ne résulte de cette utilisation »168 (soulignement ajouté).

231. Les saisissantes expliquent que la fenêtre ATT s'affiche toujours lorsque l'utilisateur a répondu « Oui » à la CMP de l'éditeur. Elles estiment que « l'ATT vient uniquement perturber le parcours de consentement d'un utilisateur d'application tierce autre qu'Apple lorsque celui-ci a déjà accepté d'être suivi à des fins notamment publicitaires ». Elles ajoutent que le refus de l'ATT prévaut sur toute autre décision de l'utilisateur, ce dernier ne pouvant revenir sur sa décision, le cas échéant, que « via un parcours dans les réglages, nécessairement compliqué, incommode »169. Lors de ses échanges avec Apple, [confidentiel] a confirmé que l'ATT n'était pas affichée après un refus de suivi, mais seulement après une acceptation, conformément aux exigences d'Apple : « [confidentiel] »170.

232. Dans sa réponse, Apple n'a pas indiqué qu'elle contestait l'affichage de l'ATT si l'utilisateur a précédemment accepté le suivi publicitaire, mais a simplement répondu que l'éditeur ne devait pas afficher l'ATT après un refus du suivi par l'utilisateur : « [confidentiel] »171.

233. Selon TF1, « si dans la CMP, l'utilisateur accepte tout, l'autorisation ATT est demandée. Mais si dans la CMP, l'utilisateur refuse tout, l'autorisation ATT n'est pas demandée. Or, c'est le consentement ATT qui détermine l'accès de l'éditeur à l'IDFA (« oui » ATT = IDFA transmis à l'éditeur ; « non » ATT = IDFA non transmis à l'éditeur). Ainsi, en imposant la demande d'autorisation ATT en seconde position, et uniquement en cas d'autorisations CMP, la chance pour l'éditeur d'accéder à l'IDFA est sensiblement réduite. »172.

234. En réponse à un message d'Apple, [confidentiel] a quant à elle décrit son parcours de consentement en ces termes : « [confidentiel] »173.

235. L'explication sur le site d'Apple ne fait pas référence à la situation décrite par [confidentiel] mais seulement à la nécessité de « respecter la réponse de l'utilisateur à la sollicitation ATT »174 sans faire de distinction entre les refus et les autorisations de suivi publicitaire.

236. Il convient de rappeler que la CNIL a consacré des développements à cette question dans son avis du 19 mai 2022 (voir les paragraphes 271 et suivants ci-après).

¨ L'obligation de confirmer l'acceptation de l'ATT dans le cadre d'une CMP afin de recueillir un consentement aux prescriptions réglementaires

237. Dans la mesure où les conditions de mise en œuvre de l'ATT définies par Apple ne permettent pas, le recueil d'un consentement valable au regard du RGPD, l'acceptation de cette sollicitation doit être renouvelée dans le cadre de la CMP de l'éditeur.

238. Le GESTE estime à ce sujet que « les éditeurs d'application supportent des obligations légales et réglementaires auxquelles un mécanisme tel que l'ATT ne permet pas de répondre, tout en exigeant qu'il prévale en cas de conflit au risque d'un rejet d'application et d'une exclusion de l'App Store »175.

iii. L'absence de clarté des positions communiquées par Apple aux éditeurs sur la mise en œuvre de l'ATT

239. Les règles publiées par Apple sur la mise en œuvre de l'ATT, de même que leur application par ses équipes, se caractérisent par une certaine fluctuation. À cet égard, plusieurs entreprises interrogées ont rapporté avoir rencontré des difficultés dans le cadre des contrôles opérés sur la plateforme.



240. Il convient de relever que, dans son rapport sur les écosystèmes mobiles publié en juin 2022, la CMA avait recueilli des observations comparables à celles des entreprises citées ci- dessus. Elle a ainsi indiqué que « beaucoup de développeurs se plaignaient que l'explication qu'ils reçoivent pour le rejet de leur application ou mise à jour ne leur fournissait souvent pas suffisamment d'informations sur le raisonnement employé par Apple. Cela signifie qu'ils ne comprennent pas comment résoudre les préoccupations d'Apple et rendre conforme leur application. […] Les développeurs ont soulevé le problème de l'inconstance dans l'interprétation des App Store Review Guidelines »176.

241. L'examen des messages aux éditeurs communiqués par Apple dans le cadre de l'instruction au fond montre que, si Apple fait référence aux articles des lignes directrices, elle n'explique généralement pas précisément quelle interdiction a été enfreinte. Dans de nombreux cas, les informations fournies ne permettent pas de comprendre précisément la violation alléguée et les moyens d'y remédier.

242. Les positions d'Apple étaient par ailleurs susceptibles d'évoluer sans que les éditeurs soient préalablement avertis, ce que ne conteste pas Apple, qui indique parfois aux éditeurs que ses lignes directrices sont un « document vivant »177.

243. L'instabilité des positions d'Apple concernant l'articulation entre l'ATT et la CMP de l'éditeur peut, par exemple, être illustrée par les échanges avec l'éditeur de l'application [confidentiel].

244. Celui-ci a écrit le message suivant à Apple, rappelant qu'à la demande de cette dernière, elle avait maintenu l'affichage de l'ATT après un refus exprimé par un CMP :

« [confidentiel] »178.

245. De nombreux échanges avec des éditeurs illustrent également l'existence de difficultés concernant l'exploitation de données propriétaires, l'absence d'échanges de données avec des tierces parties et l'obligation d'afficher l'ATT.

246. Certains éditeurs ont contesté l'applicabilité de l'ATT à leurs pratiques de collecte et d'exploitation de données. Il en ressort qu'Apple a une interprétation de la notion de suivi applicable aux éditeurs plus étendue que celle qu'elle s'applique, en limitant y compris la collecte de données propriétaires lors d'un refus exprimé au moyen de l'ATT.

247. [confidentiel] a par exemple indiqué, en réponse aux questions d'Apple, qu'aucune donnée personnelle n'était envoyée à des tierces parties et que ses données étaient stockées et utilisées de manière interne.

248. Apple a tout de même rejeté cette version de l'application en répondant qu'elle

« [confidentiel] »179. Apple a formulé une réponse identique aux éditeurs de l'application [confidentiel]. Or la définition du suivi par Apple est supposée être limitée au suivi des

« activités dans les apps et sur les sites web d'autres sociétés »180 et ne pas concerner les sites et contenus web dont l'éditeur de l'application est également propriétaire.

249. De plus, Apple n'a pas répondu explicitement aux questions ultérieures de l'éditeur sur la nécessité d'afficher la fenêtre ATT si l'application collecte des données sur des webviews de sites dont elle n'est pas propriétaire.

250. Sur son site internet, Apple fournit les indications suivantes : « [s]i le suivi est opéré dans une webview à l'intérieur d'une application, dois-je utiliser la fenêtre App Tracking Transparency ? Oui. Si vous utilisez une webview comme fonctionnalité d'application, cela doit être traité de la même façon qu'une fonctionnalité native de votre application, sauf si vous permettez à l'utilisateur de naviguer dans l'open web »181. Ainsi, l'utilisation de webviews suppose l'affichage de l'ATT lorsqu' un suivi est réalisé, c'est-à-dire sur des sites et applications tierces et non propriétaires. Néanmoins, Apple a demandé à l'éditeur d'afficher l'ATT et de supprimer sa propre fenêtre.

251. L'éditeur de l'application [confidentiel] a fourni la réponse suivante à Apple :

« [confidentiel] »182.

252. Apple s'est contentée de répondre qu'elle continuait sa revue mais n'a pas formulé d'observations sur ces explications.

253. L'éditeur de l'application [confidentiel] a informé Apple qu' [confidentiel]. Il a demandé en conséquence à Apple : « [confidentiel] »183. En réponse, Apple a remercié [confidentiel] d'avoir pris en compte les problèmes restants, approuvé la soumission et proposé de l'aider à corriger les bugs pour les utilisateurs184.

254. [confidentiel] a communiqué dans deux messages une série d'observations à Apple, qui lui reprochait de mettre en œuvre « [confidentiel] ».

255. Dans un second message, [confidentiel] a complété : « [confidentiel] »185.

256. Dans sa réponse, Apple a annoncé simplement « [confidentiel] »186.

257. De manière comparable, l'entreprise [confidentiel] a soutenu qu'elle n'était pas tenue d'afficher l'ATT car elle n'utilise pas l'IDFA et n'échange pas de données avec des tierces parties. Après la réception d'un message de rejet, elle a écrit à Apple en ces termes :

« [confidentiel] »187.

258. [confidentiel] a reçu un deuxième message standardisé d'Apple l'informant d'une violation de l'article 5.1.2, toujours liée à l'absence d'affichage de l'ATT. Après la communication de deux autres messages et un appel de la décision d'Apple, [confidentiel] a finalement mis en œuvre l'ATT, sans toutefois changer de position. [confidentiel] a répondu au deuxième message d'Apple : « [confidentiel] ».

259. Apple a fourni la réponse suivante : « [confidentiel] »188. Apple n'a pas répondu sur la question de savoir si le suivi réalisé par l'application, qui selon [confidentiel] n'était pas réalisé à des fins publicitaires, entrait dans le champ d'application de l'ATT.

260. Dans une dernière réponse à un message d'Apple demandant à l'éditeur de l'application [confidentiel] de retirer sa fenêtre propriétaire et d'afficher l'ATT, celui-ci a écrit le message suivant resté sans réponse de la part d'Apple : « [confidentiel] »189 .

c) Les délibérations de la CNIL relatives à la conformité de l'ATT au cadre réglementaire

i. L'avis du 17 décembre 2020 relatif au projet de mise en œuvre de l'ATT présenté par Apple

261. Dans le cadre de la demande de mesures conservatoires, l'Autorité a sollicité les observations de la CNIL sur les questions susceptibles d'être posées en matière de protection des données à caractère personnel en lien avec l'introduction de la sollicitation ATT.

262. Dans son avis rendu par délibération du 17 décembre 2020190, rendu antérieurement au déploiement du dispositif, la CNIL a formulé plusieurs constats s'agissant de ce dernier.

263. Premièrement, elle a affirmé que même dans l'hypothèse où Apple ne devait pas être considéré en tant que responsable conjoint des opérations de traitement, « le RGPD et les dispositions nationales transposant la directive “ePrivacyˮ n'interdisent en aucun cas aux concepteurs de logiciels de fournir, voire d'imposer [leur] design sur la fenêtre de recueil des choix. La réglementation encourage d'ailleurs fortement ces derniers à prendre en compte le droit à la protection des données lors de l'élaboration et de la conception de leurs produits ».

264. Elle a relevé à cet égard que « la réglementation relative à la protection des données n'empêche pas la société Apple de mettre en œuvre un dispositif permettant d'interdire aux éditeurs d'application de tracer l'utilisateur sans consentement, d'autant plus lorsque celui-ci est imposé par la réglementation ».

265. Deuxièmement, la CNIL a considéré que la sollicitation ATT conçue par Apple se distingue

« positivement », à certains égards, d'un grand nombre d'interfaces de sites internet ou applications mobiles non conformes à la règlementation.

266. À cet égard, la CNIL a souligné que la sollicitation ATT permettra à l'utilisateur d'accepter ou de refuser le traçage avec le même degré de simplicité, grâce à l'inclusion de boutons

« permettre le suivi » et « demander à l'application de ne pas permettre le suivi », les deux étant situés au même niveau et sur le même format. Se référant à sa recommandation précitée de 2020 relative aux cookies et autres traceurs, la CNIL estime que ces modalités constituent un moyen simple et clair pour permettre à l'utilisateur d'exprimer son refus aussi facilement que son consentement.

267. La CNIL s'est également prononcée favorablement sur la mention du suivi retenue par la sollicitation ATT, au motif que cette mention est « une information essentielle pour permettre à l'utilisateur de prendre conscience de l'ampleur potentielle de la collecte de données qui ira alimenter son profil à des fins publicitaires, en relevant que l'utilisateur doit donc être éclairé sur la portée de son choix ». Elle a ajouté que le fait que la sollicitation ATT permette un recueil du consentement sur chacune des applications concernées contribuait à garantir que l'utilisateur serait pleinement conscient de la portée de son consentement.

268. S'agissant des éditeurs, la CNIL a considéré que la sollicitation ATT aiderait les plus petits d'entre eux « à se conformer à l'obligation posée par les dispositions de l'article 82 de la loi [Informatique et Libertés] en leur fournissant un outil simple leur permettant de recueillir un consentement valide pour leurs opérations de traçage publicitaire », à condition d'opérer certaines modifications de la sollicitation.

269. Troisièmement, la CNIL a pris acte de la possibilité, annoncée par Apple, pour l'éditeur de compléter la sollicitation ATT pour recueillir un consentement valide au sens de la règlementation applicable. Elle a ainsi observé qu'en l'état des informations qui lui étaient présentées, le dispositif ATT permettrait aux éditeurs d'application, « sous réserve d'intégrer les éléments d'informations légalement exigibles […] de collecter un consentement éclairé tel qu'exigé par la règlementation applicable », précisant que les éléments légalement exigibles étaient ceux rappelés à l'article 2 des lignes directrices

« cookies et autres traceurs ».

270. Elle a pris acte également de la précision apportée par Apple selon laquelle l'utilisateur serait, dans ce dispositif, capable de revenir sur ses choix « application par application » au sein des réglages du système d'exploitation, afin de s'assurer que le retrait ne nécessite pas plus d'efforts que lorsque l'utilisateur a donné son consentement par un simple « clic » sur la sollicitation ATT.

ii. L'avis du 19 mai 2022 sur le dispositif effectivement mis en œuvre par Apple à cette date

271. La CNIL a rendu un second avis à la demande de l'Autorité à l'occasion de l'instruction au fond, par délibération du 19 mai 2022, dans laquelle elle s'est penchée sur les modalités de mise en œuvre concrètes de l'ATT à compter de la version d'iOS 14.5.

272. À titre liminaire, la CNIL a commencé par rappeler que les positions prises dans sa précédente délibération du 17 décembre 2020 reposaient notamment sur les précisions apportées par la société Apple selon lesquelles les développeurs auraient « toute liberté » pour modifier la partie personnalisable de la fenêtre ATT afin « notamment, mais pas uniquement, d'informer les utilisateurs sur l'utilisation qui sera faite des données collectées via les traceurs »191.

273. Procédant ensuite à l'examen du dispositif ATT effectivement mis en œuvre depuis la version 14.5 d'iOS, la CNIL a constaté que « la sollicitation ATT ne permet pas d'insérer directement les informations nécessaires au recueil du consentement éclairé au sens [de l'article 82 de la loi Informatique et Libertés et du RGPD] ».

274. Sur ce point, la CNIL a constaté que l'ATT « souffre d'une double limitation : d'une part, la longueur du texte apparaît limitée et ne permet pas en pratique d'insérer toutes les informations requises, notamment par les articles 12 et suivants du RGPD ; d'autre part, la fenêtre ne semble pas non plus permettre l'insertion d'un lien hypertexte cliquable permettant à l'utilisateur d'accéder à des informations sur un second niveau […]. Dans ces conditions, la sollicitation ATT imposerait donc, en pratique, à l'éditeur de présenter une CMP à l'utilisateur y compris concernant la finalité couverte par la sollicitation ATT. Autrement dit, l'utilisateur voit s'afficher deux fenêtres successives, qui sollicitent son accord pour la même chose » (soulignements ajoutés).

275. Dans ce contexte, la CNIL constate que les règles fixées par Apple s'agissant de l'articulation entre l'ATT et la CMP de l'éditeur conduisent à deux situations différentes, selon que l'utilisateur exprime un refus ou une acceptation :

- d'une part, la CNIL relève que, quel que soit l'ordre d'apparition des deux fenêtres,

« l'utilisateur qui aurait répondu non à la première ne devrait pas se voir présenter

la seconde, pour la même finalité de traitement car cela affecterait nécessairement la validité du consentement de l'utilisateur, qui vient d'exprimer son refus »192. La CNIL précise néanmoins que « si l'utilisateur répond non à la sollicitation ATT, rien n'interdit à l'éditeur de demander son consentement, à travers une CMP, à des opérations de lecture/écriture du terminal pour d'autres finalités »193 (soulignement ajouté) ;

- d'autre part, la CNIL constate que si, en revanche, l'utilisateur répond « oui » à la première fenêtre, l'opération de traitement ne peut avoir lieu que s'il répond également « oui » à la seconde fenêtre.

276. La CNIL estime que « le fait de conduire les éditeurs à devoir recueillir systématiquement deux fois l'accord de l'utilisateur à la même finalité constitue une complexité inutile et artificielle, dans la mesure où il semble que la sollicitation ATT pourrait aisément, sous réserve de quelques modifications, servir également à recueillir les consentements requis par la loi française et le RGPD, notamment si un lien hypertexte pouvait être inséré. »

277. Elle souligne que, s'agissant des consentements exigés par ces dispositions, « elle a toujours prôné le recueil d'un même accord, par une unique interface au lieu de deux interfaces successives, afin de simplifier et clarifier les choses pour l'utilisateur ».

278. Il y aurait ainsi plusieurs avantages à recueillir un consentement valide au sens du RGPD pour le traçage publicitaire directement dans la fenêtre ATT : la simplification de l'exercice des choix de l'utilisateur, des formulations imposées claires, la mise à disposition d'un outil standardisé pour de petits éditeurs.

279. Par conséquent, la CNIL conclut « [qu']une amélioration marginale des modalités de paramétrage de la sollicitation ATT ne remettant pas en cause la lisibilité propre à cette fenêtre, de sorte qu'elle puisse être utilisée pour recueillir un consentement valide (notamment grâce à l'inclusion d'un lien hypertexte cliquable), permettrait de conserver la protection de l'utilisateur offerte par la sollicitation ATT […] (refus aussi simple que l'acceptation, mention du suivi), sans présenter l'inconvénient de créer un dispositif complexe et excessif pour l'utilisateur ».

5. Les conditions de collecte des données dans le cadre de la fourniture des services publicitaires d'Apple

280. Bien qu'Apple procède à un suivi publicitaire qui peut être qualifié de significatif (a), elle n'a pas introduit de recueil du consentement pour la collecte des données effectuée sur l'App Store avant la version 15 d'iOS, mise à disposition en septembre 2021 (b). La CNIL a confirmé cette obligation et sanctionné Apple dans une délibération du 19 décembre 2022 (c).

a) Le suivi publicitaire significatif des utilisateurs réalisé dans le cadre des services publicitaires d'Apple

281. La plateforme publicitaire d'Apple permet la diffusion de publicités sur l'App Store en France, ainsi que sur les applications Apple News et Apple Bourse (« Stocks ») dans quelques pays étrangers, dont le Royaume-Uni. En France, Apple commercialise des espaces publicitaires liés aux recherches dans l'App Store, et depuis le mois de mai 2021, des publicités affichées « Display ». De même, Apple a récemment introduit des publicités dans Apple Music194. Afin d'afficher ces publicités, Apple procède directement à un suivi publicitaire au sens du RGPD.

282. Il ressort du dossier qu'Apple est en mesure de collecter et d'exploiter à des fins publicitaires des données variées par leur nature et leurs sources.

283. Premièrement, Apple exploite à des fins publicitaires des données sociodémographiques et des données contextuelles sur les utilisateurs et les appareils. Apple fournit des informations aux utilisateurs français sur la page web « Publicité Apple et confidentialité »195, qui concerne l'ensemble de sa plateforme publicitaire et les publicités affichées dans l'App Store, Apple News et Bourse : « [l]es informations contextuelles peuvent être utilisés pour proposer des publicités, par exemple ; […] Nous créons des segments, c'est-à-dire des groupes de personnes qui rassemblent des caractéristiques similaires, et nous utilisons ces groupes pour proposer des publicités ciblées ». Il est précisé à ce titre : « Les plateformes publicitaires d'Apple reçoivent des informations quant aux publicités que vous touchez et visionnez. Ces informations sont associées à un identifiant aléatoire et ne sont pas associées à votre identifiant Apple. »

284. Deuxièmement, les données exploitées par Apple sont collectées dans un environnement logué, lié à l'identifiant Apple, dans lequel les données comportementales et sociodémographiques peuvent être associées à un identifiant. L'identifiant Apple est un compte personnel permettant d'accéder aux services Apple, comme iCloud, l'App Store et les autres magasins en ligne d'Apple, iMessage et FaceTime, et au contenu d'un utilisateur sur tous ses appareils et sur Internet. Il comprend des informations de connexion, ainsi que les coordonnées, informations de paiement et données de sécurité telles que les numéros de téléphone « de confiance » ou les questions de sécurité, nécessaires à l'utilisation des services Apple. Selon le site internet d'Apple196 : « [l]es informations de votre identifiant Apple sont utilisées pour activer les services Apple lorsque vous vous connectez, notamment la sauvegarde iCloud, […] Votre identifiant Apple ainsi que tous les services Apple sont conçus pour protéger votre confidentialité. Nous veillons à collecter uniquement les données qui nous sont nécessaires pour vous fournir des services de qualité. »

285. Les données collectées dans des environnements logués et les données sociodémographiques se caractérisent généralement par un niveau élevé de fiabilité. Elles sont obtenues par l'intermédiaire d'une plateforme sur laquelle les utilisateurs se rendent en se connectant avec un identifiant et un mot de passe.

286. Les données sociodémographiques sont des données factuelles et descriptives sur les individus et leur mode de vie (tranche d'âge, sexe, profession, adresse, etc.). Lorsqu'Apple fournit un service à un utilisateur dans un tel environnement, des données lui parviennent directement au moyen de l'identifiant Apple, puis sont associées à un identifiant aléatoire (voir en ce sens les paragraphes 130 et suivants). Les données comportementales permettent une identification quasi-certaine des utilisateurs, parce que ces derniers se connectent à des comptes supposés personnels.

287. De plus, ces environnements permettent d'identifier un utilisateur sur plusieurs appareils197, ce qui accroît les capacités de ciblage publicitaire et l'évaluation de l'efficacité des campagnes. Contrairement aux cookies et pixels, les données issues des environnements logués ne sont pas temporaires et tiennent compte de l'activité de l'utilisateur sur l'ensemble des terminaux que celui-ci utilise198.

288. Les données sociodémographiques constituent également des données très importantes, notamment en matière de ciblage des campagnes199. En effet, les segments de ciblage les plus couramment offerts aux annonceurs sont sociodémographiques200, comme en témoigne l'exemple de Facebook201. De surcroît, ces données sont durables et se déprécient peu au fil du temps202. Les caractéristiques sociodémographiques peuvent être combinées à d'autres données pour le ciblage, notamment des données comportementales comme l'historique de navigation ou les mots renseignés dans un moteur de recherche203.

289. Troisièmement, Apple exploite à des fins publicitaires des données provenant de sources qui ne sont pas limitées aux données générées sur ses inventaires publicitaires, à savoir l'App Store, Apple News et Bourse.

290. D'une part, Apple a indiqué qu'elle utilisait à des fins publicitaires, pour l'affichage de publicités dans l'App Store, des informations provenant d'autres services d'Apple tels que l'iTunes Store, l'Apple Book Store, l'application Apple TV et Apple Music204, qui n'étaient pas, au moment de la réponse fournie par l'entreprise, utilisés pour afficher et commercialiser des espaces publicitaires. Aucun usage publicitaire n'est fait, en revanche, des données issues du moteur de recherche Safari205.

291. D'autre part, Apple collecte des données sur les utilisateurs qui sont générées à partir de contenus et de services fournis par des entreprises tierces, notamment les données liées aux applications tierces présentes sur l'App Store206. D'après la page « Publicité Apple et confidentialité », Apple se réserve la possibilité d'utiliser des données relatives aux achats in-app à des fins publicitaires. En réponse à une demande d'information sur les catégories de téléchargements, achats et abonnements pris en compte pour constituer ses segments, Apple a répondu que « bien que les achats in-app dans une application spécifique soient répertoriés dans le document sur la publicité et la confidentialité comme une catégorie potentielle d'informations pouvant être utilisées par les annonceurs (qui ont développé cette application) pour la personnalisation de la publicité, Apple n'a pas à ce jour mis ces informations à la disposition des annonceurs en tant que critère de ciblage explicite »207.

292. Apple a exprimé des critiques à l'égard des conclusions formulées dans le rapport de la CMA du 14 décembre 2021. La CMA observe « [qu']Apple utilise des données telles que les informations de compte (par exemple, l'année de naissance, le sexe, l'emplacement), les téléchargements et les achats d'applications et de contenu (par exemple, depuis Apple Music, Apple TV, Apple Books et les catégories d'applications de l'App Store) et les types d'actualités qu'ils lisent sur Apple News. Nous comprenons que cela inclut les données sur les téléchargements, les achats et les achats intégrés pour toutes les applications tierces, segmentées par catégorie App Store »208.

293. En réponse, Apple a jugé que le « texte cité a été rédigé par la Competition and Markets Authority et représente donc son interprétation des informations fournies par Apple et disponibles sur le site internet d'Apple Advertising. L'interprétation de la Competition and Markets Authority ne tient pas compte de plusieurs faits essentiels. Comme indiqué précédemment, le ciblage basé sur les téléchargements et les achats in-app dans une application particulière est limité à l'utilisation par le développeur de cette application. Pour sélectionner la publicité à afficher parmi l'ensemble des publicités qu'un utilisateur peut recevoir en fonction des critères de ciblage de l'annonceur, dans le cas d'un utilisateur dont les Publicités Personnalisées sont activées, Apple peut utiliser des informations synthétiques et générales sur les catégories d'applications et de contenu qu'un utilisateur achète et télécharge »209.

294. Lorsqu'Apple informe ses utilisateurs sur sa page « Publicité Apple et Confidentialité » de l'absence de suivi publicitaire sur sa plateforme, elle évoque seulement l'absence d'association entre « les données d'utilisateur ou d'appareil recueillies sur nos apps », sans distinguer entre ses propres applications et les applications tierces, et les « données d'utilisateur ou d'appareil recueillies auprès de tiers »210. D'après ses réponses aux demandes d'informations, il apparaît qu'Apple considère l'ensemble des données qu'elle collecte à des fins publicitaires comme des données propriétaires, qu'elle définit comme

« toutes les données collectées par un développeur d'applications dans le cadre de l'utilisation de ses propres applications, telles que les informations qu'un utilisateur communique au développeur »211.

295. Cependant, Apple se considère comme intervenant en tant que tiers dans la relation entre les utilisateurs et les fournisseurs de contenus et d'applications. Le contrat de licence d'Apple pour les développeurs impose en effet aux développeurs d'inscrire dans leur contrat de

licence avec l'utilisateur final qu'Apple est une tierce partie dans la relation entre l'utilisateur et le développeur de l'application212. Or, il est manifeste qu'Apple, nonobstant sa qualité de tiers au sens contractuel, a un intérêt au contrat en ce qu'elle associe les données d'utilisateurs recueillies sur les applications dont elle n'est pas éditeur pour les besoins, notamment, d'une exploitation publicitaire.

296. Quatrièmement, Apple est en mesure de collecter d'importants volumes de données grâce à son intégration verticale et aux exclusivités de distribution des applications imposées à travers l'App Store.

297. La CNIL estime à cet égard, comme il est exposé au paragraphe 332 ci-après, qu'Apple met en place des traitements de données d'une « ampleur considérable compte tenu de la place prépondérante qu'occupe le système d'exploitation Apple sur le marché français des systèmes d'exploitation mobiles 213. Elle relève également qu'Apple utilise de manière significative les données de navigation et de profil provenant de l'App Store pour réaliser un ciblage fondé sur les centres d'intérêt et habitudes des utilisateurs.

298. L'App Store étant l'unique magasin d'applications mobiles sur les terminaux iOS, et les utilisateurs étant tenus de renseigner leur identifiant Apple pour accéder à d'autres services d'Apple, les données accessibles à Apple pour une exploitation publicitaire sont d'autant plus considérables. De manière comparable, Apple a la capacité d'exploiter des données liées aux applications tierces, qui doivent être référencées dans l'App Store et utiliser l'infrastructure de paiement d'Apple pour leur téléchargement ou pour la vente de produits ou services in-app.

b) L'évolution des règles applicables au recueil du consentement des utilisateurs à la collecte de leurs données sur l'App Store

299. Apple a fait évoluer ses propres conditions de recueil du consentement pour la collecte de données à des fins publicitaires au mois de septembre 2021 lors de l'introduction de la version 15 d'iOS. Les conditions de recueil du consentement avant (i) et après (ii) la mise à jour iOS 15 sont présentées ci-après.

i. L'absence de recueil préalable de consentement avant la mise à disposition de la version 15 d'iOS au mois de septembre 2021

300. Dans le complément de saisine de novembre 2021, les saisissantes dénoncent que « la publicité ciblée d'Apple a toujours été activée par défaut, sans consentement préalable de l'utilisateur. Cette absence de consentement et ce mécanisme d'opt-out ont d'ailleurs été dénoncés par l'association France Digitale auprès de la CNIL, plainte qui serait en cours d'instruction et qui expliquerait peut-être selon les Saisissantes l'introduction de cette nouvelle fenêtre de recueil du consentement par Apple dans iOS15 »214.

301. Apple a expliqué dans une note en délibéré pour quelles raisons elle s'appuyait « sur un système d'opt-out, plutôt qu'un système d'opt-in, pour recueillir le consentement des utilisateurs dans le cadre de son service Apple Search Ads »215 , précisant :

- qu'elle ne fait pas de traçage, c'est-à-dire « qu'Apple n'agrège pas les données collectées par un développeur sur un utilisateur ou son appareil, avec les données collectées sur les applications, sites internet ou hors ligne par d'autres développeurs », à des fins publicitaires pour le partage avec des courtiers en données ;

- que dans « Apple Search Ads, une quantité limitée de données propriétaires peut être utilisée, notamment certaines données issues de l'App Store, telles que les téléchargements et les informations démographiques » ;

- qu'enfin, « Apple n'utilise les données personnelles de ses utilisateurs que lorsqu'elle dispose d'un fondement juridique valable et conforme au RGPD », citant à ce titre le consentement des utilisateurs, la nécessité du traitement pour remplir ses obligations contractuelles à l'égard de ces derniers, des « motifs d'intérêt légitime » ou encore « la protection des intérêts fondamentaux des utilisateurs ».

302. Apple avait toutefois indiqué, dans sa réponse du 2 novembre 2021, que « lors du premier lancement de l'App Store et périodiquement après les principales mises à jour du logiciel, les utilisateurs reçoivent des informations expliquant comment les données first party peuvent être utilisées pour la publicité sur l'App Store et comment refuser la publicité personnalisée sur les appareils iOS. »216. Le passage pertinent est présenté ci-dessous.

303. Apple a ajouté qu'elle permettait aux utilisateurs de limiter l'utilisation de leurs données first party pour la personnalisation des publicités. Elle a fait valoir qu'elle applique une norme stricte, plus exigeante que celle de nombreuses autres plateformes publicitaires, en offrant aux utilisateurs la possibilité de refuser cette personnalisation217. Pour désactiver les publicités personnalisées, les utilisateurs peuvent se rendre dans les paramètres de

confidentialité à tout moment, ou « cliquer sur “Publicité” à tout moment pour accéder aux paramètres »218.

304. Les copies d'écran produites par Apple montrent qu'il n'y a pas de demande d'autorisation par Apple, mais simplement l'indication selon laquelle si l'utilisateur « ne souhait[e] pas recevoir d'annonces ciblées en fonction de [ses] centres d'intérêt de la part de la plateforme publicitaire d'Apple, [il peut] choisir de désactiver les publicités personnalisées » ainsi qu'un lien vers une page « pour en savoir plus sur la publicité Apple et la confidentialité »219.

305. En outre, l'accès à la page « Confidentialité » par la page « Bienvenue dans l'App Store » suppose de cliquer sur un lien figurant en petits caractères, « Découvrez comment sont gérées vos données », et non sur le bouton bleu « Continuer », qui permet d'accéder à l'App Store sans lire la page « Confidentialité » et dont la taille et la visibilité sont significativement plus importantes que le lien vers la page « Confidentialité ».

306. Alors même que les publicités étaient activées par défaut, les conditions d'accès des utilisateurs aux fonctionnalités permettant de désactiver la collecte de données à des fins de ciblage publicitaire ne présentaient pas les mêmes conditions d'accessibilité que d'autres fonctionnalités proposées par Apple sur les terminaux, telles que le suivi publicitaire des éditeurs.

307. D'une part, comme l'illustre le schéma ci-dessous, pour désactiver la publicité personnalisée et la collecte de données à des fins publicitaires, il était et il demeure220 nécessaire de sélectionner l'icône « Réglages » de l'appareil, de dérouler une partie de la rubrique, de cliquer sur la rubrique « Confidentialité », de dérouler la rubrique, puis de cliquer sur la sous-rubrique « Publicité Apple ». Cette sous-rubrique est invisible à l'ouverture de la rubrique « Confidentialité » alors que la sous-rubrique « Suivi », qui permet de gérer le suivi publicitaire par les éditeurs d'applications tierces, est visible car placée à la deuxième place des sous-rubriques.



308. Apple a été interrogée sur le positionnement de la rubrique « Publicité Apple » en dernière place dans la section « Confidentialité ». En réponse, elle a affirmé que l'emplacement des éléments dans cette section n'affecte pas leur accessibilité, tous les éléments étant

« également lisibles et accessibles ». Elle a également précisé que ce choix ne devait pas être comparé à la rubrique « Suivi », qui figure en haut du menu, car elle concerne des données

de tiers, tandis qu'Apple ne fait pas de suivi. Apple souligne aller au-delà de nombreuses autres entreprises en offrant aux utilisateurs la possibilité de refuser des publicités personnalisées fondées sur ses propres données, en leur présentant cette option dans le système iOS15221. Apple n'a pas répondu à la demande, par les services d'instruction, de communication de documents internes justifiant ce choix.

309. D'autre part, pour d'autres finalités que la publicité, telles que les recommandations personnalisées, Apple permet aux utilisateurs de gérer l'activation de l'exploitation de données directement dans l'App Store, contrairement à la publicité Apple. Ainsi, dans la rubrique « Compte » de l'App Store, Apple n'a pas intégré de sous-rubrique permettant de désactiver les publicités personnalisées, alors que, comme l'illustre l'image ci-dessous, elle a créé une sous-rubrique permettant de gérer et désactiver la collecte de données pour la fourniture de « Recommandations personnalisées ». La fourniture d'un lien vers les réglages du compte est directe.


310. En revanche, depuis l'App Store, l'utilisateur peut accéder à la sous-rubrique « Publicité Apple » en cliquant sur le mot « Annonce » sur les publicités Apple. Toutefois, le lien vers la sous-rubrique « Publicité Apple » est susceptible d'être invisible sur le premier écran affiché et dans ce cas, l'utilisateur doit également dérouler et lire la page entière pour voir le lien sur lequel cliquer.


311. Dans la sous-rubrique « Publicité Apple », les informations fournies sur l'exploitation de données sont présentées à deux emplacements différents et sont de nature à inciter les utilisateurs à ne pas désactiver la publicité personnalisée. Sur la première page de la sous-rubrique, Apple fournit les informations suivantes sous l'en-tête « publicité fournie par Apple » : « La plate-forme publicitaire d'Apple ne suit pas votre activité. Elle est conçue pour protéger votre confidentialité et ne vous suit pas dans les apps et sur les sites web appartenant à d'autres entreprises. Vous contrôlez la façon dont Apple utilise vos données.

[…] La désactivation des publicités personnalisées aura pour effet de limiter la capacité d'Apple à vous proposer des publicités pertinentes. Cela ne réduira cependant pas le nombre de publicités que vous recevrez ».

312. La première mention restreint la notion de suivi au traçage sur des sites web et applications tierces. L'affirmation selon laquelle « vous contrôlez la façon dont Apple utilise vos données » tend à inciter l'utilisateur à activer la publicité personnalisée et ne fournit pas d'informations sur la réalité et les moyens de ce contrôle. En effet, le bouton permettant de personnaliser est l'unique moyen d'exercer un choix sur la façon dont Apple utilise les données.

313. Enfin, la phrase : « [c]ela ne réduira cependant pas le nombre de publicités que vous recevrez » minimise l'impact du choix de l'utilisateur sur son expérience attendue et est donc de nature à inciter l'utilisateur à laisser activée l'exploitation de ses données.

314. Plus généralement, la première page de la sous-rubrique « Publicité Apple » ne comporte pas d'informations précises sur les catégories de données et la manière dont elles sont exploitées à des fins publicitaires. Pour obtenir des informations additionnelles, l'utilisateur doit cliquer sur deux liens distincts qui ouvrent les pages « A propos de la publicité Apple et de la confidentialité » et « Afficher les informations de ciblage publicitaire ». L'utilisateur peut exprimer son consentement sans avoir à lire ces pages.

315. La page « Publicité Apple et confidentialité », accessible en cliquant sur le lien « A propos de la publicité Apple et de la confidentialité », reproduit les informations présentes sur la

première page et fournit des informations sur les objectifs de conception de la plateforme publicitaire d'Apple, les emplacements publicitaires (App Store, Apple News, Bourse), l'absence de suivi, les données collectées, les segments publicitaires, l'absence de partage et de transmission de données à des parties tierces et les préférences publicitaires.

316. Apple indique à nouveau sur la page « Publicité Apple et confidentialité » qu'elle ne suit pas les utilisateurs dans les applications et sur les sites web appartenant à d'autres entreprises et qu'elle « n'associe pas les données d'utilisateur ou d'appareil recueillies sur [ses] apps à des données d'utilisateur ou d'appareil recueillies auprès de tiers à des fins de ciblage ou de mesure publicitaires ».

317. De même, Apple indique, au début de la page « Publicité Apple et confidentialité », qu'elle ne « partage pas les données d'utilisateur ou d'appareil avec des courtiers en données » et, à la fin de la page, qu'elle « ne partage ni ne transmet les données pouvant vous identifier personnellement à des parties tierces », bien qu'elle soit tenue de « communiquer des données non personnelles à des partenaires stratégiques […] vendant des publicités pour le compte d'Apple ». Alors qu'Apple communique de façon uniforme à l'échelle mondiale sur sa politique de protection de la vie privée, elle n'indique pas que les éditeurs qui monétisent leurs contenus sur Apple News peuvent utiliser des technologies tierces de suivi à des fins de mesure publicitaire directement sur cette application.

318. Quant aux données de localisation et au ciblage géographique, les informations se situent sur la page des mentions légales « Publicité Apple et confidentialité » accessible par le lien figurant dans la sous-rubrique « Publicité Apple ». Or l'utilisateur doit se rendre dans

« Service de localisation » et ouvrir la page consacrée à l'App Store pour désactiver partiellement ou totalement la collecte des données de localisation223. Apple n'a cependant pas intégré de lien dans la page « Publicité Apple et confidentialité » facilitant l'accès à la sous-rubrique « Service de localisation ».

319. Interrogée sur les raisons pour lesquelles la désactivation des publicités géolocalisées est une opération distincte de la désactivation des publicités personnalisées, Apple a répondu qu'elle

« a jugé plus pertinent de fournir aux utilisateurs un menu unique pour définir toutes leurs autorisations en matière de géolocalisation, qu'elles s'appliquent à la publicité Apple ou à l'utilisation de la localisation d'un utilisateur à toute autre fin (par exemple, pour que Google Maps puisse fournir ses services de localisation, pour qu'Uber puisse savoir où un utilisateur attend des services de réservation de voiture, etc.). Les utilisateurs définissent les autorisations de géolocalisation application par application, il est donc plus logique que les autorisations de géolocalisation de l'App Store régissent l'utilisation de la localisation pour la publicité sur l'App Store, plutôt que d'introduire un autre contrôle qui pourrait être source de confusion pour les utilisateurs »224.

320. Sur la connaissance qu'ont ses utilisateurs de l'exploitation publicitaire de leurs données de géolocalisation, Apple ajoute que « lors du premier lancement de l'App Store, les nouveaux utilisateurs se voient présenter une sollicitation d'autorisation de localisation qui leur permet de choisir s'ils autorisent l'App Store à utiliser leur localisation approximative »225. Cette sollicitation contient la même mention que celle fournie dans les paramètres : « Ces informations nous permettront d'afficher des apps et des publicités plus pertinentes »226. Il apparaît donc que la question de l'exploitation des données de géolocalisation n'est posée qu'une seule fois lors du lancement de l'App Store ; il est dès lors improbable que l'utilisateur revienne sur son autorisation.

321. Ainsi, au moment où Apple a procédé au déploiement de l'ATT, la conception de l'iOS était telle que la publicité personnalisée d'Apple était activée par défaut et sa désactivation impliquait de suivre plusieurs étapes dans l'application « Réglages » des terminaux. Ces conditions n'ont pas évolué dans les réglages avec l'introduction du recueil préalable du consentement par Apple lors de la mise à disposition de la version 15 du système d'exploitation iOS au mois de septembre 2021.

ii. L'introduction du recueil préalable de consentement par Apple lors de la mise à disposition d'iOS 15

322. Apple a modifié les modalités de recueil du consentement avec iOS 15, déployé à la fin de l'année 2021. Désormais, lors de la mise à jour vers iOS 15, selon les termes d'Apple, « les utilisateurs voient un choix plus visible et inévitable entre l'activation ou la désactivation des publicités personnalisées », notamment lorsqu'ils ouvrent l'App Store227. Apple souligne que, contrairement à de nombreux développeurs et plateformes publicitaires, elle offre à ses utilisateurs ce choix de limiter l'utilisation de leurs données à des fins publicitaires : « Il est important de noter qu'il s'agit d'une option que de nombreux autres développeurs et fournisseurs de plateformes publicitaires n'affichent pas - car ils n'offrent même pas le choix à leurs utilisateurs de limiter l'utilisation par ce développeur de ses données propriétaires à des fins publicitaires »228. Des captures d'écran ont été fournies pour illustrer cette présentation229.



323. Le texte figurant dans la fenêtre « Publicités personnalisées » est le suivant :

« Les publicités personnalisées présentées dans les apps d'Apple telles que l'App Store et Apple News vous aident à découvrir des apps, des produits et des services pertinents pour votre profil. Nous protégeons votre confidentialité en utilisant des identifiants générés sur l'appareil et en n'associant aucune information relative à la publicité à votre identifiant Apple.

L'activation des publicités personnalisées accroît la pertinence des publicités affichées en nous permettant d'utiliser certaines données, telles que des informations liées à votre compte, vos achats d'apps et de contenus et, dans les lieux où Apple News est disponible, les articles que vous lisez.

Apple ne suit pas vos activités et ne partage aucune de vos données personnelles avec des tiers.

En savoir plus ».

324. Apple indique qu'avec iOS 15, « la sollicitation relative aux publicités personnalisées diffusées par Apple apparaît lors du lancement initial de l'App Store pour les nouveaux utilisateurs et pour les utilisateurs existants dont les publicités personnalisées sont activées. En outre, y compris avant iOS 15, lors du premier lancement de l'App Store et périodiquement après les principales mises à jour du logiciel, les utilisateurs reçoivent des informations expliquant comment les données propriétaires peuvent être utilisées pour la publicité sur l'App Store et comment refuser la publicité personnalisée sur les appareils iOS »230.

325. Apple synthétise sa position en ces termes : « Apple n'effectue pas de traçage, mais si elle le faisait, elle respecterait la sollicitation ATT et afficherait la sollicitation ATT avant de procéder au traçage [et] se soumet à des règles plus strictes [dans la mesure où] avec iOS 15, elle va un peu plus loin que la sollicitation ATT et offre de manière proactive un choix aux nouveaux utilisateurs et aux utilisateurs existants d'activer des publicités personnalisées qui, contrairement à la sollicitation ATT, s'applique aux données propriétaires »231.

326. L'introduction d'un recueil préalable de consentement pour l'exploitation des données publicitaires par Apple est intervenue moins de six mois après le rejet des mesures conservatoires demandées par les saisissantes. Apple n'a pas informé l'Autorité de son intention de modifier ces modalités de recueil. L'entreprise avait justifié l'absence d'un système d'opt-out en invoquant le développement de technologies plus protectrices de la vie privée. Dans l'instruction au fond, Apple n'a fourni aucun document interne justifiant l'introduction d'un recueil du consentement préalable lors du lancement d'iOS 15.

327. Selon les saisissantes, Apple a « décidé de demander désormais le consentement pour l'activation des publicités personnalisées au sein de l'App Store pour se conformer aux exigences légales résultant notamment du RGPD, sur le modèle des CMP des éditeurs d'application. C'est là un aveu de non-conformité. […] Au-delà de la circonstance que la persistance dans la violation d'obligations légales peut constituer une forme d'abus anticoncurrentiel consistant en un contournement des règles par leur non application, Apple admet par la même occasion qu'il existe encore à l'heure actuelle une asymétrie totale de situation entre les éditeurs d'application et Apple, cette situation engendrant des effets anticoncurrentiels majeurs pour l'ensemble des entreprises actives dans la fourniture de services de publicité en ligne »232.

328. La nouvelle sollicitation iOS 15 présente sur la première page un texte qui fait la promotion de la publicité personnalisée mais ne détaille pas les catégories de données qui sont exploitées, ni les sources de collecte de données. Pour disposer d'informations complémentaires, il est nécessaire de se rendre sur la page « Publicité Apple et confidentialité » par le lien « En savoir plus ». Cette sollicitation est présentée lorsqu'un utilisateur dont l'appareil est configuré pour activer les publicités personnalisées lance l'App Store après avoir mis à jour son logiciel iOS vers iOS 15. Elle est présentée également aux nouveaux utilisateurs de terminaux.

329. Comme pour la sous-rubrique « Publicité Apple » dans l'icône « Réglages » d'Apple, l'utilisateur a la possibilité d'activer ou de désactiver les publicités personnalisées d'Apple sans lire les informations relatives aux catégories et aux sources des données exploitées par Apple.

330. Par ailleurs, Apple affiche cette sollicitation lors de l'ouverture de l'App Store et non à l'ouverture de chacune de ses applications et services sur lesquels elle collecte des données exploitées à des fins publicitaires (iTunes Store, Apple Book Store, Apple TV et Apple Music). Cette constatation est confirmée par Apple233.

c) La délibération de la CNIL du 29 décembre 2022 concernant le traitement des données effectué sur l'App Store

331. À la suite d'une plainte du 10 mars 2021 portant sur les traitements de personnalisation des annonces publicitaires diffusées dans l'App Store, la formation restreinte de la CNIL a prononcé, par une délibération du 29 décembre 2022, une amende administrative de 8 millions d'euros à l'égard de la société ADI234.

332. La CNIL a observé à cette occasion que « la société met en place des traitements de données d'une ampleur considérable compte tenu de la place prépondérante qu'occupe le système d'exploitation Apple sur le marché français des systèmes d'exploitation mobiles et de la proportion de recours aux ordiphones par les utilisateurs de téléphone en France »235. Elle a relevé également que « ce ciblage s'appuie sur les centres d'intérêt et les habitudes de vie des personnes et qu'ainsi, l'utilisation par la société des données de navigation et de profil provenant de l'App Store pour réaliser le ciblage de la publicité est significative ». Par conséquent, elle a souligné « la nécessité impérieuse pour les utilisateurs de garder la maîtrise de leurs données, que ceux-ci doivent être mis en situation d'y consentir valablement »236.

333. Dans cette délibération, la CNIL a retenu : « qu'un manquement aux obligations qui découlent de l'article 82 de la loi Informatique et Libertés est constitué pour le passé sur la version 14.6 du système d'exploitation dès lors qu'il incombait à la société de recueillir le consentement des utilisateurs préalablement aux opérations d'écriture et/ou de lecture d'informations sur leur équipement terminal à des fins de personnalisation des annonces destinées à promouvoir les applications mobiles sur l'App Store »237. Elle a relevé cependant, au regard de la version 15 introduite dans l'intervalle, qu'Apple avait « justifié avoir pris des mesures pour se mettre en conformité avec les obligations découlant de l'article 82 de la loi Informatique et Libertés, ce qui ne remet toutefois pas en cause l'existence du manquement pour les faits passés »238.

334. S'agissant des terminaux équipés de la version 14.6 d'iOS, la CNIL a considéré que pour authentifier le DSID d'un compte utilisateur enregistré comme actif sur ses serveurs, Apple procède à des opérations de lecture et/ou d'écriture d'informations sur les terminaux des utilisateurs. En outre, pour l'envoi de requêtes aux serveurs Ad Platforms, elle procède également à une opération de lecture du DPID et de l'iAdID. Or pour de telles opérations, l'article 82 de la loi Informatique et Libertés exige que l'utilisateur ait donné son consentement par un acte positif, sous réserve de cas spécifiques où le consentement n'est pas nécessaire (« la finalité exclusive » et le caractère « strictement nécessaire » tels que décrits au paragraphe 144 ci-dessus).

335. Considérant que le DSID, le DPID et l'iAdID étaient des « identifiants multi-finalités » et que l'utilisation d'un même traceur pour plusieurs finalités, dont certaines n'entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, la CNIL a examiné si une exemption de recueil du consentement était justifiée.

336. La CNIL a ainsi observé :

- que l'accès aux informations rattachées au DSID poursuit plusieurs finalités, à savoir l'authentification puis le maintien de l'utilisateur au sein de l'univers authentifié de l'App Store (strictement nécessaire à la fourniture d'un service) et la collecte des traces d'activité de l'utilisateur dans le cadre de l'App Store permettant de l'affecter ou de le réaffecter à un ou plusieurs segments qui serviront ultérieurement à lui adresser des annonces personnalisées (soumise à un recueil du consentement)239 ;

- que la lecture du DPID et de l'iAdID, stockés dans l'équipement terminal et leur envoi aux serveurs d'Apple ont pour objectif de diffuser des annonces pour des applications ciblées en fonction du profil de l'utilisateur, cette finalité publicitaire n'entrant pas dans le champ de l'exception au recueil du consentement ;

- que si les « étapes relatives au remplacement d'informations rattachées au DSID par le DPID et l'iAdID sont mises en œuvre afin de respecter les principes de protection de la vie privée et qu'en leur absence, Apple pourrait relier les informations relatives aux annonces diffusées à l'identité de l'utilisateur »240, ces mesures conçues pour protéger la vie privée ne permettent pas de s'affranchir de la règle fixée par l'article 82 de la loi Informatique et Libertés.

337. La CNIL a également analysé la rubrique Publicité Apple dans l'application « Réglages » des terminaux et a relevé qu'en étant autorisés par défaut, les traitements de ciblage de la publicité ne sauraient être considérés comme ayant été acceptés par un acte positif des utilisateurs. De plus, elle a rappelé que cette étape du recueil du consentement intervient tardivement dans la phase de prise en main du téléphone, suppose plusieurs étapes préalables et, n'étant pas intégrée au parcours d'initialisation du téléphone, est facultative. Dès lors, « il est difficile pour l'utilisateur d'accepter ou de refuser valablement ces opérations, dans la mesure où l'utilisateur qui a terminé le parcours d'initialisation de son téléphone (…) peut légitimement penser ne plus avoir besoin de procéder à d'autres configurations avant de consulter l'App Store » 241.

338. S'agissant des terminaux équipés de la version 15 d'iOS, déployée à compter du 20 septembre 2021, la CNIL a reconnu que la fenêtre Publicités personnalisées constitue une amélioration en matière de recueil du consentement, dans la mesure où elle invite l'utilisateur à choisir entre « Activer les publicités personnalisées » et « Désactiver les publicités personnalisées »242.

339. Elle a constaté en outre « qu'aucun identifiant n'est plus utilisé pour des finalités de personnalisation des annonces sur l'App Store avant que cette fenêtre ne soit présentée à l'utilisateur » et que, d'après les indications d'Apple, la mention « Apple ne suit pas vos activités » serait complétée avant le mois de mars 2023 par l'indication : « sur les apps et les sites d'entreprises tierces »243.

E. LE GRIEF

340. Le 25 juillet 2023, le grief suivant a été notifié :

« Il est fait grief aux sociétés Apple Distribution International Limited (ADI) et Apple Inc., en qualité d'auteures, et aux sociétés Apple Operations Europe Limited, Apple Operations International Limited et Apple Inc. en tant que sociétés mères, d'avoir abusé de leur position dominante sur les marchés européens de la distribution d'applications mobiles sur les terminaux iOS, par la mise en œuvre de conditions discriminatoires, non objectives et non transparentes en matière d'exploitation des données des utilisateurs à des fins publicitaires depuis le mois d'avril 2021 et jusqu'à ce jour :

- en imposant de manière inéquitable aux éditeurs d'applications mobiles autorisés dans l'App Store la mise en œuvre de la technologie App Tracking Transparency ;

- en s'octroyant des conditions plus favorables d'exploitation de données pour l'affichage de publicités dans l'App Store.

Ces pratiques contreviennent aux dispositions de l'article L.420-2 du code de commerce et de l'article 102 du TFUE, et sont susceptibles d'avoir des effets sur plusieurs marchés connexes sur lesquels sont commercialisés :

- les services de publicité en ligne non liées aux recherches sur les médias sociaux et hors médias sociaux par les éditeurs d'applications mobiles et par Apple sur l'App Store ;

- les services de publicité en ligne liés aux recherches sur l'App Store par Apple ;

- les services d'attribution publicitaire en ligne ;

- les services de serveurs publicitaires et les services d'intermédiation publicitaire non liés aux recherches ;

- les terminaux mobiles intelligents ;

- les applications mobiles ».

II. Discussion

A. LA PROCÉDURE

1. Sur la partialité de l'instruction

a) Arguments des parties

341. Apple considère que le grief doit être annulé en raison du caractère partial de l'instruction244. Au soutien de cette allégation, Apple fait valoir que les services d'instruction ont interrogé essentiellement les membres des associations professionnelles plaignantes pour fonder leur grief. Elle reproche aux services d'instruction de ne pas avoir interrogé les associations de consommateurs, qui seraient largement favorables au dispositif ATT245, et d'avoir écarté les éléments à décharge fournis par Apple au cours de l'instruction246.

342. Apple critique également les services d'instruction pour lui avoir accordé des délais de réponse particulièrement contraints. Elle leur reproche ainsi aux services d'instruction d'avoir fixé son audition deux jours après le dépôt de ses observations en réponse à la notification de grief dans des conditions jugées non satisfaisantes par le conseiller auditeur en termes de respect des droits de la défense. Elle leur reproche également d'avoir refusé de lui accorder un délai supplémentaire d'un mois pour répondre au rapport, contrairement à ce qu'aurait préconisé le conseiller auditeur.

b) Réponse de l'Autorité

343. Le droit à un procès équitable, consacré à l'article 6, paragraphe 1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (ci-après

« CESDH »), comprend celui d'être jugé par un tribunal impartial. Cette exigence d'impartialité s'applique au rapporteur désigné pour instruire une plainte ou une saisine portant sur des faits susceptibles de constituer des pratiques anticoncurrentielles, dès lors que ces faits peuvent donner lieu au prononcé d'une sanction ayant le caractère d'une punition.

344. À titre liminaire, il y a lieu de rappeler que l'impartialité subjective est présumée jusqu'à preuve du contraire247 et que la partialité objective se démontre, mais ne s'allègue pas.

345. En outre, il ressort d'une jurisprudence constante que les rapporteurs de l'Autorité disposent d'un pouvoir d'appréciation quant à la conduite de leurs investigations248 et qu'ils fondent la notification de griefs sur les faits qui leur paraissent de nature à en établir le bien-fondé et n'ont pas à répondre à tous les arguments développés par les parties249.

346. En l'espèce, le grief d'Apple pris d'une instruction menée à charge renvoie à l'exigence d'impartialité subjective des rapporteurs et à l'obligation pour ces derniers de mener leur instruction de manière loyale.

347. Comme l'a déjà jugé la cour d'appel de Paris250, la circonstance que les rapporteurs aient retenu les éléments à charge des entreprises et écarté les éléments que la mise en cause invoquait à sa décharge ne saurait établir une déloyauté des services d'instruction, dès lors que ces derniers ont pour fonction d'instruire et de décrire dans la notification de griefs, puis dans le rapport, ce qui à leurs yeux doit conduire à la qualification et à la sanction de pratiques anticoncurrentielles. Il est dès lors légitime que les rapporteurs visent les seules pièces, ou passages de pièces, qui leur paraissent utiles soit pour appuyer leur démonstration sur ces pièces, soit pour exposer en quoi celles-ci ne contredisent pas l'analyse retenue. Une telle façon de faire ne saurait donc caractériser un défaut d'impartialité, étant rappelé que les parties, quant à elles, ont tout loisir d'exploiter l'ensemble des pièces du dossier, y compris celles non visées, ou non visées de façon exhaustive, par les rapporteurs dans le rapport.

348. À ce titre, seule la déloyauté dans l'interprétation ou la présentation des pièces, ou encore dans la façon d'interroger les personnes en cause ou les tiers, peut conduire à constater une atteinte aux droits de la défense des parties, ce qui n'est nullement démontré en l'espèce.

349. Premièrement, il est inexact de prétendre que les services d'instruction n'ont pas tenu compte des éléments fournis par Apple, dans la mesure où les constatations factuelles figurant dans la notification de grief sont constituées d'environ treize pages reprenant des informations fournies par Apple.

350. Deuxièmement, la circonstance que deux tiers des entreprises interrogées soient membres des associations plaignantes s'explique par le fait que ces associations regroupent une part très significative des acteurs de la publicité en ligne et non comme une volonté des rapporteurs de diriger leurs demandes d'informations principalement vers des acteurs défavorables à la sollicitation ATT.

351. Troisièmement, la circonstance que les rapporteurs n'aient pas adressé de demandes d'informations à des associations de consommateurs ne saurait caractériser un manquement à l'exigence d'impartialité des services d'instruction. Conformément à une jurisprudence établie, l'instruction est menée selon l'orientation voulue par les rapporteurs, de sorte que les entreprises mises en cause ne peuvent exiger de leur part la réalisation d'actes d'enquête supplémentaires. En outre, il convient de noter que la CNIL, autorité administrative indépendante chargée de la protection de la vie privée, a communiqué deux avis portant sur la sollicitation ATT dans le cadre de la présente procédure, de sorte que l'allégation d'Apple selon laquelle les objectifs de protection de la vie privée auraient été ignorés par les services d'instruction est dénuée de fondement.

352. Quatrièmement, s'agissant des rapports du conseiller auditeur, il convient de relever que les rapporteurs ont tenu compte du premier rapport du 20 octobre 2023, en reportant la date d'audition d'Apple environ un mois après le dépôt de ses observations écrites en réponse à la notification de grief. Le rapporteur général a en revanche refusé d'accorder un délai

supplémentaire d'un mois à Apple pour répondre au rapport. Dans son rapport du 26 juin 2024, le conseiller auditeur a indiqué qu'un tel délai pouvait être accordé à Apple à titre bienveillant, tout en reconnaissant que les conditions légales justifiant l'octroi de ce délai n'étaient pas réunies en l'espèce. Dès lors que le conseiller auditeur soulignait lui-même que les éléments mis en avant par Apple ne relevaient pas de circonstances exceptionnelles, de nature à conduire à l'application des dispositions de l'article L. 463-2 du code de commerce, il ne peut être reproché au rapporteur général de n'avoir pas suivi cet avis, au demeurant non contraignant.

2. Sur la compétence des services d'instruction et la portée de la décision n° 21-D-07

a) Observations des parties

353. Apple prétend que les services d'instruction ont excédé leur champ de compétence, en notifiant un grief contraire à la décision n° 21-D-07 relative au rejet de la demande de mesures conservatoires déposée par les plaignants251. Selon Apple, cette décision s'analyse comme un rejet de saisine au sens de l'article L. 462-8 du code de commerce, aux termes de laquelle le collège a considéré que la mise en œuvre de l'ATT était insusceptible de constituer des conditions de transaction inéquitables. Apple en conclut qu'en l'absence de nouveaux éléments de droit ou de fait survenus à la suite de la décision n° 21-D-07, les services d'instruction étaient tenus de respecter les conclusions du collège quant à l'absence de contrariété de la sollicitation ATT au regard de l'article 102, sous a), du TFUE et de limiter leur instruction au périmètre déterminé par le collège de l'Autorité, lequel serait, selon Apple, limité aux seules pratiques d'auto-préférence (« self-preferencing »)252.

b) Réponse de l'Autorité

354. Il est constant qu'une décision relative à une demande de mesures conservatoires, rendue en cours d'instruction, « constitue une décision provisoire qui ne constate pas d'infraction. Dès lors, au terme de l'instruction au fond, l'Autorité de la concurrence peut retenir une analyse différente des pratiques »253.

355. Par ailleurs, il y a lieu de rappeler la jurisprudence de la cour d'appel de Paris, selon laquelle,

« le Conseil [devenu « Autorité »] est toujours saisi in rem de l'ensemble des faits et pratiques affectant le fonctionnement d'un marché et peut, sans avoir à se saisir d'office, retenir les pratiques révélées par les investigations auxquelles il a procédé qui, quoique non expressément visées dans sa saisine, ont le même objet ou le même effet »254 . En application de ce principe, la cour d'appel de Paris a jugé que l'Autorité a la possibilité de réserver une

suite favorable à une saisine, si elle n'est pas appuyée d'éléments suffisamment probants, en se fondant sur les éléments réunis par les services d'instruction255.

356. Au cas d'espèce, l'analyse de l'Autorité dans la décision n° 21-D-07 ne consiste pas en la caractérisation d'une pratique anticoncurrentielle en tant que telle mais en l'appréciation de faits qui sont, à la date de la décision, « susceptibles » de constituer une telle pratique dans le cadre d'une décision provisoire rendue dans l'attente d'une décision au fond.

357. S'agissant du périmètre de l'instruction au fond, celui-ci ne saurait être limité, comme le prétend la mise en cause, à l'instruction des pratiques dites d'auto-préférence (« self- preferencing »). Une telle limitation ne se retrouve ni dans le dispositif, ni dans les motifs de la décision de mesures conservatoires.

358. En effet, il ressort sans ambiguïté de l'article 1er du dispositif de la décision n° 21-D-07 que l'Autorité a entendu « poursuivre l'instruction au fond de la saisine enregistrée sous le numéro 20/0098 F » (soulignement ajouté).

359. Par ailleurs, le paragraphe 163 de la décision de rejet de la demande de mesures conservatoires a précisé que « l'instruction de la saisine au fond permettra toutefois de déterminer si ce traitement constitue ou non une pratique anticoncurrentielle, notamment en ce qu'il produirait de la part d'Apple une forme de discrimination à son profit (ou « self- preferencing ») », l'emploi du terme « notamment » indiquant que le champ de l'instruction au fond devait inclure, entre autres, l'examen de l'existence de pratiques d'auto-préférence sans être restreint à cette seule typologie de comportements abusifs.

360. De même, au paragraphe 164 de cette même décision, l'Autorité a précisé, s'agissant du caractère potentiellement inéquitable des conditions de transaction d'Apple, que « les éléments produits par les saisissantes ne permettent pas d'établir que le déploiement de la sollicitation ATT constitue une pratique déraisonnable d'Apple » et « n'apparaît donc pas, à ce stade de l'instruction, susceptible d'être regardée comme ayant imposé des conditions de transaction inéquitables » (soulignement ajouté).

361. Ce paragraphe, qui indique expressément que l'analyse de l'Autorité est effectuée « à ce stade de l'instruction » sur la base « des éléments produits par les saisissantes », ne préfigure aucunement la qualification qui ressortirait de l'analyse poursuivie au fond.

362. Comme indiqué ci-avant au paragraphe 355 , la circonstance que l'Autorité relève que le plaignant n'a pas étayé sa saisine d'éléments suffisamment probants au stade de la décision de mesures conservatoires n'interdit aucunement aux services d'instruction de pallier cette carence dans le cadre d'une instruction au fond.

363. Par conséquent, contrairement à ce que soutient Apple, l'analyse préliminaire d'une décision de mesures conservatoires ne saurait avoir un quelconque effet contraignant à l'égard des services d'instruction dans le cadre de leur instruction au fond.

364. C'est d'autant plus le cas qu'en l'espèce, le grief notifié par les services d'instruction porte sur des pratiques mises en œuvre par Apple postérieurement à l'adoption de la décision n° 21-D-07.

365. À cet égard, il convient de relever que le déploiement effectif de l'ATT est intervenu au cours du mois d'avril 2021, alors que cette technologie n'était pas encore déployée au jour de la décision de mesures conservatoires, qui a été rendue le 17 mars 2021. L'instruction de l'affaire au fond est donc fondée sur des éléments de faits et de droit nouveaux, que la

décision rejetant la demande de mesures conservatoires en mars 2021 ne pouvait pas prendre en considération, parmi lesquels :

- l'avis de la CNIL du 19 mai 2022, qui a estimé sur la base des éléments produits aux débats, que l'ATT ne permettait pas de recueillir un consentement éclairé au sens du RGPD et de la Loi Informatique et Libertés256 ; et

- la décision de la CNIL du 29 décembre 2022 condamnant Apple à une amende de 8 millions d'euros en raison de l'absence de conformité du traitement des données effectué sur l'App Store au cadre législatif et réglementaire applicable au recueil du consentement des utilisateurs257.

3. Sur la précision du grief notifié

a) Observations des parties

366. Apple reproche aux services d'instruction d'avoir formulé un grief vague et imprécis qui recouvre à la fois l'imposition de conditions de transaction inéquitables – qui relève du a) de l'article 102, sous a), du TFUE – et des pratiques d'auto-préférence – qui relèvent du même article. Selon Apple, la notification de grief n'explicite pas clairement l'articulation entre ces deux pratiques, de sorte qu'il lui serait impossible de déterminer si le grief notifié repose sur une application cumulative ou alternative de ces deux pratiques. Apple fait également valoir que le grief notifié procède à une référence générique aux articles L. 420-2 du code de commerce et 102 du TFUE, sans préciser si le standard juridique applicable est celui relatif à la prohibition des conditions de transaction inéquitable ou à celui de la prohibition des discriminations.

367. Selon Apple, les services d'instruction auraient délibérément tenté de regrouper sous le standard unique de l'article 102, sous a), du TFUE des pratiques distinctes et différentes en substance, afin de contourner les exigences du test juridique relatif aux pratiques discriminatoires abusives, qui ne seraient pas remplies en l'espèce. Elle relève à cet égard que la notification de grief ne contient que neuf paragraphes concernant des pratiques d'auto- préférence, ces seuls éléments, sur lesquels portait le renvoi à l'instruction du collège, ayant selon elle été analysés sous le prisme des transactions inéquitables.

368. Apple conclut que l'absence volontaire de clarté et de précision du grief notifié constitue un manquement grave au principe de contradiction et des droits de la défense d'Apple, ainsi qu'une application abusive de l'article 102, sous a), du TFUE.

b) Réponse de l'Autorité

369. Comme l'Autorité l'a indiqué dans sa décision n° 21-D-09, « la notification des griefs est un document synthétique qui contient une description précise des faits reprochés, leur date, leur imputabilité et leur qualification, puis reprend, in fine, en les résumant, la rédaction des griefs eux-mêmes dans une formule concise. Elle constitue l'acte d'accusation et doit donc être précise (cour d'appel de Paris, 29 mars 2005, Filmdis Cinésogar), cette exigence n'excluant pas que les juges d'appel et de cassation recherchent, dans le corps même de la notification des griefs, la portée de ces derniers (Cour de cassation, 6 avril 1999, ODA) »258.

370. La cour d'appel de Paris a rappelé que « le respect des principes fondamentaux de la procédure, que sont le respect du contradictoire, des droits de la défense et du droit à un procès équitable, impose que les faits soient formulés de manière suffisamment précise et les pratiques incriminées étayées d'éléments de preuve suffisants pour que les parties puissent préparer utilement leur défense »259.

371. En l'espèce, la notification de grief précise les faits reprochés, la durée des pratiques, leur qualification juridique et les entreprises destinataires : elle répond de ce fait aux exigences rappelées par la cour d'appel de Paris.

372. S'agissant, des faits reprochés à Apple, la notification de grief précise que les deux pratiques constitutives de l'abus identifié par les services d'instruction concernent les conditions d'accès des fournisseurs de services publicitaires aux données dans le cadre de la mise en œuvre de l'ATT et les conditions spécifiques d'accès aux données dans le cadre de la fourniture des services publicitaires d'Apple260. Ces conditions sont détaillées sur plus de cent pages.

373. S'agissant de la qualification juridique des pratiques, la notification de grief établit que la mise en œuvre de l'ATT, d'une part, n'est pas nécessaire et proportionnée pour atteindre l'objectif de protection de la vie privée des utilisateurs, et d'autre part, est injustifiée et discriminatoire au regard de son inapplication aux services publicitaires d'Apple

374. La formulation finale du grief, qui se réfère aux articles 102 du TFUE et L. 420-2 du code de commerce dans leur globalité – à l'instar, par exemple, du dispositif de la décision n° 19-D-26261 – précise que la mise en œuvre de la sollicitation ATT se traduit non seulement par un manque d'objectivité et de transparence, mais également par un caractère discriminatoire et contient deux branches distinctes se rapportant à l'imposition de de conditions inéquitables pour la première et à des pratiques d'auto-préférence pour la seconde.

375. N'ayant pas été examinées sur le seul fondement de l'auto-préférence, les pratiques sont donc susceptibles d'être qualifiées d'abus de position dominante sur le fondement de l'article 102, sous a), du TFUE.

376. Au surplus, il résulte de ses observations écrites adressées en réponse à la notification de grief qu'Apple a été en mesure de préparer utilement sa défense et de répondre, dans ses observations, spécifiquement à chacune des branches du grief dans le cadre de développements distincts sur près de 50 pages262 tenant compte des principes jurisprudentiels applicables.

377. Le grief notifié à Apple lui a ainsi permis de connaître les pratiques constitutives de l'abus qui lui est reproché, à savoir l'imposition de l'ATT aux éditeurs d'applications et les conditions de recueil par Apple du consentement des utilisateurs pour l'exploitation de leurs données à des fins publicitaires.

B. L'APPLICATION DU DROIT DE L'UNION EUROPÉENNE

378. Se fondant sur une jurisprudence constante, et à la lumière de la communication de la Commission européenne (ci-après « Commission ») relative à la notion d'affectation du commerce figurant aux articles 81 et 82 du traité CE (devenus les articles 101 et 102 du TFUE)263, l'Autorité considère que trois éléments doivent être réunis pour que des pratiques soient susceptibles d'affecter sensiblement le commerce entre États membres : l'existence d'échanges, à tout le moins potentiels, entre États membres portant sur les services en cause (i), l'existence de pratiques susceptibles d'affecter ces échanges (ii) et le caractère sensible de cette possible affectation (iii).

379. Au cas d'espèce, compte tenu de la dimension mondiale des pratiques dénoncées, ces pratiques couvrent en tout état de cause l'ensemble du territoire français. En outre, les pratiques dénoncées par les saisissantes sont susceptibles de rendre plus difficile l'entrée sur le marché européen de la distribution d'applications sur iOS. Partant, elles sont susceptibles d'affecter le commerce entre États membres.

380. Enfin, impliquant un acteur de dimension mondiale, dont le chiffre d'affaires excède de loin le seuil de minimis de la communication susvisée, elles sont susceptibles d'affecter le commerce entre États membres de manière sensible, et par voie de conséquence, d'être qualifiées au regard de l'article 102 du TFUE.

C. LES MARCHÉS PERTINENTS ET LA POSITION D'APPLE

1. LES MARCHÉS PERTINENTS

381. Apple est un acteur verticalement intégré, qui fabrique des terminaux mobiles intelligents (iPhones et iPads), et conçoit les systèmes d'exploitation (iOS et iPadOS) qui leur permet de fonctionner. Apple distribue également des applications, y compris les siennes propres, pour ses terminaux mobiles via son propre magasin d'applications App Store, qui est préinstallé sur ses smartphones. L'écosystème d'Apple repose sur un système fermé : d'une part, les fabricants d'appareils tiers ne peuvent pas obtenir d'Apple la licence iOS pour utiliser ce système d'exploitation sur leurs propres smartphones, et d'autre part, jusqu'à l'entrée en vigueur des obligations du règlement DMA, les éditeurs d'applications ne pouvaient pas distribuer celles-ci par un magasin d'applications autre que l'App Store sur les terminaux mobiles intelligents équipés d'iOS.

a) Rappel des principes

i. Définition des marchés de produits et géographiques

382. L'application des articles L. 420-2 du code de commerce et 102 du TFUE, qui prohibent les pratiques d'abus, requiert, à titre liminaire, que les marchés pertinents sur lesquels l'entreprise en cause bénéficie d'une dominance soient définis. En effet, en matière d'abus de position dominante, « la définition adéquate du marché pertinent est une condition nécessaire et préalable au jugement porté sur un comportement prétendument anticoncurrentiel, puisque, avant d'établir l'existence d'un abus de position dominante, il faut établir l'existence d'une position dominante sur un marché donné, ce qui suppose que ce marché ait été préalablement délimité ».264

383. Dans sa Communication révisée sur la définition du marché en cause aux fins du droit de la concurrence de l'Union du 22 février 2024265, la Commission souligne « [qu']un marché de produits en cause comprend tous les produits et/ou services que les clients considèrent comme interchangeables ou substituables en raison de leurs caractéristiques, de leur prix et de l'usage auquel ils sont destinés ». L'appréciation de la substituabilité se fait généralement du côté de la demande, « facteur de discipline le plus effectif et le plus immédiat vis-à-vis des fournisseurs d'un produit donné », mais elle peut également tenir compte de la substituabilité du côté de l'offre.

384. Le marché géographique comprend une zone dans laquelle les entreprises concernées interviennent dans l'offre et la demande des produits ou services en cause, dans laquelle les conditions de concurrence sont similaires ou suffisamment homogènes et qui se distingue des zones voisines où les conditions de concurrence en vigueur sont sensiblement différentes. La définition du marché géographique n'exige pas que les conditions de concurrence entre commerçants ou prestataires de services soient parfaitement homogènes. Il suffit qu'elles soient similaires ou suffisamment homogènes et, par conséquent, seuls les domaines dans lesquels les conditions de concurrence sont « hétérogènes » ne peuvent être considérés comme constituant un marché uniforme.

385. En France, l'Autorité, à la suite du Conseil de la concurrence, a rappelé que « le marché, au sens où l'entend le droit de la concurrence, est défini comme le lieu sur lequel se rencontrent l'offre et la demande pour un produit ou un service spécifique. […] Une substituabilité parfaite entre produits ou services s'observant rarement, le Conseil regarde comme substituables et comme se trouvant sur un même marché les produits ou services dont on peut raisonnablement penser que les demandeurs les considèrent comme des moyens alternatifs entre lesquels ils peuvent arbitrer pour satisfaire une même demande »266.

ii. Définition des marchés connexes

386. La Cour de justice de l'Union européenne (ci-après « CJUE ») a considéré qu'il ne fait

« aucun doute qu'un abus de position dominante sur un marché peut être condamné en raison d'effets qu'il produit sur un autre marché. Ce n'est que dans l'hypothèse différente où c'est l'abus qui est localisé sur un marché autre que le marché dominé que l'article 86 du traité est, en dehors de circonstances particulières, inapplicable » 267.

387. Plus récemment la Cour d'appel de Paris dans son arrêt du 7 avril 2022 relatif à des conditions de transactions inéquitables a précisé que s'agissant « des effets sur les marchés connexes, il doit être observé, à titre liminaire, que la jurisprudence admet qu'une entreprise en position dominante sur un marché donné puisse se voir reprocher un abus dont les effets affectent d'autres marchés, dès lors que le marché sur lequel elle exerce une domination et les marchés sur lesquels l'abus déploie ses effets revêtent un lien de connexité suffisant »268. En l'espèce, la connexité était démontrée sur les marchés avals en raison de l'offre particulière de publicité associée aux recherches des internautes et les pratiques de Google étaient donc susceptibles de produire des effets sur l'ensemble des marchés où interviennent les éditeurs.

388. Ainsi, au point 297 de l'arrêt précité, la cour d'appel de Paris en déduit « [qu']il n'y a pas lieu, pour démontrer les effets des pratiques, de définir de manière exhaustive l'ensemble des marchés avals connexes au marché de la publicité en ligne liée aux recherches ».

b) Application au cas d'espèce

389. La présente décision concerne la mise en œuvre de la sollicitation ATT imposée par Apple aux éditeurs d'applications distribuées sur les terminaux mobiles équipés d'iOS. Les développements ci-après porteront d'abord sur la question de la délimitation du marché des terminaux mobiles intelligents (i) et sur celle de la distribution d'applications mobiles opérant sur iOS sur lequel Apple impose la mise en œuvre de la sollicitation ATT (ii), ainsi que sur celle de la délimitation des marchés de la publicité en ligne sur lesquels les pratiques d'Apple sont susceptibles de produire des effets (iii).

i. Le marché primaire des terminaux mobiles intelligents

390. Les terminaux mobiles intelligents sont des appareils mobiles dotés de capacités avancées de navigation sur Internet, de multimédia et d'applications. Ils sont disponibles dans une variété de conceptions, avec un éventail de fonctionnalités et de composants matériels différents. De manière générale, on distingue deux types de terminaux mobiles intelligents : les mobiles multifonctions ou smartphones et les tablettes.

391. Les smartphones sont des téléphones sans fil, qui intègrent des fonctionnalités matérielles et logicielles leur permettant d'assurer de nombreuses fonctions traditionnellement associées à l'informatique de pointe. Il n'existe pas de définition standardisée d'un smartphone dans l'industrie, mais plutôt un éventail de fonctionnalités. Les smartphones varient en fonction de leur taille, de leur poids, de leur durabilité, de la taille de leur écran, de la qualité audio, de la vitesse de navigation sur Internet, de la taille et du zoom de l'appareil photo, de la puissance de traitement informatique, de la mémoire, de la facilité d'utilisation, de la qualité optique, de la qualité et du design du boîtier, ainsi que des offres multimédias supplémentaires269.

392. Les tablettes sont des appareils mobiles de taille intermédiaire entre le smartphone et l'ordinateur personnel ci-après (« PC » pour « personal computer »). Les tablettes reposent sur un matériel similaire à celui des smartphones avancés à écran tactile et offrent une expérience multimédia riche, tout en intégrant de nombreuses fonctionnalités d'un PC270. La distinction entre smartphones et tablettes n'est pas toujours clairement définie.

393. Il ressort de la pratique décisionnelle de la Commission que les téléphones de base et les téléphones à fonctions limitées (« feature phones »)271 n'appartiennent pas au même marché de produits que les terminaux mobiles intelligents272. Les différences de prix, de fonctionnalités et d'usages entre les deux catégories de produits justifient cette segmentation. Les téléphones classiques n'offrent notamment pas de magasins d'applications mobiles préinstallés aux consommateurs.

394. En ce qui concerne une éventuelle différenciation entre les smartphones et les tablettes, la Commission a laissé ouverte la question de savoir s'il existe un marché unique pour les terminaux mobiles intelligents ou si des marchés distincts existent pour les smartphones et les tablettes. D'un point de vue de la demande, ces appareils ne sont pas entièrement interchangeables, car les smartphones offrent certaines fonctionnalités, telles que la possibilité de passer des appels téléphoniques, qui ne sont pas disponibles dans les mêmes conditions sur les tablettes273, tandis que ces dernières peuvent être davantage utilisées à d'autres fins, comme regarder des vidéos. D'un autre côté, les smartphones et les tablettes fonctionnent généralement avec le même système d'exploitation mobile, offrant de nombreuses fonctionnalités similaires, malgré quelques différences selon leur utilisation.

Dans l'affaire Microsoft/Nokia, la Commission a considéré que les applications pour tablettes sont comparables, en termes de fonctionnalités, de caractéristiques et de prix, à celles des smartphones, et que la plupart des applications sont développées pour les deux types d'appareils, bien que certaines soient personnalisées ou configurées différemment en raison de la taille de l'appareil (smartphone ou tablette). À cet égard, il convient de souligner que la technologie ATT et les conditions de recueil du consentement par Apple sont mises en œuvre de manière comparable sur les smartphones (iPhones) et les tablettes (iPads).

395. Concernant la dimension géographique des marchés, il ressort de la pratique décisionnelle antérieure de la Commission274, que le marché géographique en cause pour les appareils mobiles intelligents est au moins de dimension européenne (espace économique européen ci-après, « EEE »), sinon mondiale.

396. En conclusion, aux fins de la décision qui concerne le pouvoir de marché potentiel d'Apple sur l'App Store vis-à-vis des éditeurs d'applications et des consommateurs, il convient de définir un marché de la vente de terminaux mobiles intelligents sans qu'il soit nécessaire d'examiner des marchés de produits distincts pour différents appareils mobiles intelligents. Le marché géographique en cause est au moins de dimension européenne (à l'échelle de l'EEE).

ii. Le marché secondaire de la distribution d'applications mobiles sur les terminaux iOS

Rappel de la pratique décisionnelle de la Commission

397. Dans l'affaire Google/Android, la Commission a considéré que la fourniture de magasins d'applications pour le système d'exploitation mobile Android constituait un marché pertinent distinct de celui de la fourniture de magasins d'applications pour des systèmes d'exploitation mobiles non licenciés, comme iOS. Si cette décision a examiné le marché principalement du point de vue des fabricants d'équipements d'origine, elle fournit des indices utiles permettant de délimiter les marchés pertinents du point de vue des éditeurs d'applications. La Commission souligne notamment le caractère complémentaire des magasins d'applications compatibles avec les systèmes d'exploitation iOS et Android du point de vue des éditeurs, en relevant qu'il y a « une grande part des développeurs qui développent déjà des applications pour Android et iOS à la fois »275. La Commission conclut également à l'absence de substituabilité entre les magasins d'applications du point de vue des éditeurs, en ce que les « développeurs d'applications ont peu de probabilité d'arrêter de développer pour Android et de développer uniquement pour iOS »276.

398. Dans sa décision Apple/Spotify277, la Commission a examiné le marché de la distribution d'applications sur les terminaux mobiles intelligents iOS du point de vue des éditeurs d'applications de streaming musical. La Commission a considéré que le marché pertinent était celui sur lequel Apple fournissait aux éditeurs d'applications de streaming musical une plateforme de distribution sur les terminaux iOS, c'est-à-dire la face de l'App Store destinée aux éditeurs278. La Commission a précisé que la face de l'App Store destinée aux consommateurs constituait un marché distinct, mais lié à la face éditeurs du marché de la distribution d'applications mobiles sur les terminaux iOS279. Dans cette décision, la Commission a souligné que, bien que les pratiques en cause concernent spécifiquement les applications de streaming musical, le raisonnement sous-jacent à l'analyse de la définition des marchés ne varie pas nécessairement selon le type d'applications280. Cela s'explique par le fait que l'App Store constitue l'unique canal de distribution des applications natives vers les utilisateurs d'iOS, obligeant ainsi tous les éditeurs souhaitant vendre de telles applications à passer par cette plateforme. En conséquence, la décision Apple/Spotify constitue une grille d'analyse pertinente pour la définition des marchés dans la présente affaire.

Sur la pertinence d'une segmentation du marché des terminaux mobiles intelligents iOS et de celui de la distribution d'applications sur les terminaux mobiles iOS

399. Apple conteste le bien-fondé d'une distinction entre un marché des terminaux mobiles intelligents, d'une part, et un marché de la distribution d'applications pour iOS, d'autre part, dans la mesure où il n'existe pas de demande pour les magasins d'applications – et donc pour l'App Store – séparément de la demande pour les terminaux mobiles d'Apple281. Elle fait valoir que les terminaux mobiles intelligents iOS sont des appareils intégrés, incluant le terminal et l'App Store, qui sont en concurrence avec d'autres terminaux mobiles intelligents intégrant le plus souvent le magasin d'applications Android, de sorte qu'il serait artificiel de séparer l'App Store des terminaux mobiles d'Apple dans lesquels ils s'inscrivent.

400. Les écosystèmes numériques peuvent dans certaines circonstances être considérés comme constitués d'un produit de base primaire et de plusieurs produits numériques secondaires dont la consommation est connectée au produit de base, par exemple par des liens technologiques ou en raison de l'interdépendance entre ces différents produits.

401. La Communication sur la définition du marché en cause aux fins du droit de la concurrence de l'Union du 22 février 2024 donne à cet égard un ensemble d'indices permettant de déterminer si le marché doit être défini de manière globale comme un « marché des systèmes », comprenant à la fois le produit primaire et les produits secondaires, ou s'il existe des marchés doubles, comprenant un marché pour le produit primaire et un marché distinct pour le produit secondaire associé.

402. Pour savoir si un marché peut être défini comme un « marché des systèmes », la Commission identifie quatre critères permettant d'orienter l'analyse. Elle considère ainsi que « la définition d'un marché des systèmes peut-être plus appropriée : (a) plus il est probable que les clients tiennent compte des coûts du cycle de vie lorsqu'ils achètent le produit primaire ;

(b) plus les dépenses pour le ou les produit(s) secondaire(s) (ou plus la valeur de ces produits

est élevée) sont élevées par rapport aux dépenses pour le produit primaire (ou par rapport à la valeur de celui-ci) ; (c) plus le degré de substituabilité entre les produits primaires est élevé et plus le coût du changement entre produits primaires est faible ; (d) lorsqu'il n'y a pas ou peu de fournisseurs spécialisés uniquement dans le(s) produit(s) secondaire(s) »282.

403. S'agissant des deux premiers critères, l'Autorité avait déjà relevé, dans sa décision n° 21-D-07, que « le choix d'un terminal mobile par un consommateur est avant tout influencé par son prix, les dépenses relatives à l'achat d'applications ne constituant pas un élément déterminant »283.

404. L'étude de la CMA du 10 juin 2022 sur les écosystèmes mobiles relève que les trois principales raisons du choix d'un iPhone plutôt que d'un autre type de smartphone sont la marque, le prix et les caractéristiques de confidentialité et de sécurité, ce qui confirme le constat de l'Autorité selon lequel les dépenses relatives à l'achat d'applications ne constituent pas l'un des principaux éléments pris en compte par un utilisateur lors de l'achat de son terminal iOS284.

405. Les autres éléments du dossier attestent que les dépenses liées à l'achat d'applications au cours de la durée de vie du terminal sont à hauteur de 5 à 20 % du prix du terminal, ce qui, au vu de la pratique décisionnelle, n'est pas suffisant pour considérer que ces dépenses sont élevées par rapport au coût du produit primaire.

406. S'agissant du troisième critère, la décision n° 21-D-07 indiquait que le marché de la distribution d'applications est marqué par une faible substituabilité du point de vue des consommateurs, ces derniers étant peu susceptibles de changer d'écosystème en cas d'augmentation du prix des applications payantes sur iOS ou de baisse de qualité des applications. Il en est notamment ainsi en raison du fort attachement des utilisateurs Apple aux produits de la marque, qui se manifeste, entre autres, par le très fort taux de renouvellement de l'univers iOS, alors même que les produits Apple sont en moyenne nettement plus chers que ceux du reste du marché285. Ces constats sont très largement confirmés par l'étude de la CMA et la décision Apple/Spotify de la Commission et sont développés dans la section concernant l'analyse de la position dominante d'Apple (voir paragraphes 431 et suivants ci-dessous).

407. S'agissant du quatrième critère relatif à la présence de fournisseurs spécialisés uniquement dans le produit secondaire, il convient de constater que l'ensemble des principaux fournisseurs de magasins d'applications ont également une autre activité (Google, Apple, Amazon, Huawei, Samsung), reposant notamment sur la fabrication de terminaux ou la programmation de systèmes d'exploitation.

408. Parmi les quatre indices identifiés par la Commission dans sa communication (voir paragraphe 402 ci-avant), seul celui relatif à la spécialisation des fournisseurs est donc susceptible de conduire à la définition d'un marché global, les trois autres conduisant à écarter cette définition.

409. L'analyse effectuée dans la présente décision conduit donc à la définition d'un marché primaire de la vente de terminaux mobiles intelligents et d'un marché secondaire de la

distribution d'applications mobiles sur les terminaux iOS. Cette définition de marché est cohérente avec l'approche de la Commission dans la décision Apple/Spotify286.

Sur la pertinence d'une segmentation du marché de la distribution d'applications sur les terminaux mobiles iOS entre les faces éditeurs et consommateurs

410. Dans son avis n° 18-A-03 sur l'exploitation de données dans le secteur de la publicité en ligne, l'Autorité a indiqué que « les marchés et les positions des acteurs doivent être analysés en tenant compte d'éventuelles connexités entre marchés ou du caractère multiface de ces marchés »287. Les lignes directrices de l'Autorité relatives au contrôle des concentrations soulignent également « [qu']en présence de marchés bifaces, l'équilibre économique sur un marché ne peut être appréhendé indépendamment des conditions prévalant sur un autre marché. Les deux marchés, bien qu'éventuellement distincts, fonctionnent en effet de façon interdépendante, spécificité qui peut être prise en compte aussi bien au stade de la délimitation du marché que de l'analyse des effets de l'opération sur la concurrence et des gains d'efficience »288. Dans sa décision n° 18-DCC-18, l'Autorité a rappelé que l'examen d'un marché biface peut donc être mené en définissant un marché unique avec ses deux faces indissociables ou en analysant les deux faces distinctes comme deux marchés liés289.

411. Les magasins d'applications, tels que l'App Store, sont des plateformes numériques bifaces, dont l'infrastructure facilite les transactions entre deux groupes d'utilisateurs distincts : les éditeurs, qui utilisent la plateforme pour distribuer leurs applications aux consommateurs, d'une part, et les consommateurs, qui recherchent des applications à télécharger, souvent moyennant un prix, sur leurs appareils mobiles, d'autre part. Du point de vue des éditeurs, les magasins d'applications sont des plateformes de distribution numérique qui leur permettent de commercialiser aux consommateurs les applications qu'ils développent. Du point de vue des consommateurs, les magasins d'applications permettent de télécharger, d'installer et de gérer une large gamme d'applications diverses depuis un point unique dans l'interface de leurs terminaux mobiles intelligents. Les magasins d'applications génèrent des effets de réseau indirects : les éditeurs profitent de l'augmentation du nombre de consommateurs, tandis que ces derniers bénéficient de la diversité des applications proposées, car plus les éditeurs distribuent leurs applications dans le magasin d'applications, plus le choix du consommateur s'élargit.

412. À l'instar de l'approche retenue par la Commission dans la décision Apple/Spotify, l'Autorité considère que la face « éditeurs » et la face « consommateurs » de l'App Store constituent deux marchés liés mais distincts, dans la mesure où les prix et conditions appliqués par Apple, les contraintes concurrentielles et les schémas de substitution varient entre les deux faces de ce magasin d'applications.

413. Premièrement, les conditions contractuelles et financières d'accès à l'App Store sont différentes pour les éditeurs et les consommateurs.

414. Les éditeurs souhaitant distribuer leurs applications via l'App Store, doivent obligatoirement s'inscrire au programme pour les développeurs d'Apple (« Apple Developer Program ») en payant une cotisation annuelle et en acceptant le « Contrat de Licence Standard », qui est un contrat d'adhésion non négociable290.

415. Les consommateurs utilisant l'App Store sont quant à eux soumis à des contrats distincts, notamment les Conditions générales des services multimédias Apple ainsi que le contrat de licence utilisateur final d'Apple.

416. Deuxièmement, les schémas de substitution de la demande vis-à-vis de l'App Store diffèrent également entre les éditeurs et les consommateurs.

417. Les consommateurs qui souhaitent télécharger des applications mobiles auront généralement recours à un smartphone ou une tablette fonctionnant sous le même système d'exploitation (soit Android, soit iOS/iPadOS), ce qui le place dans une situation de mono-hébergement. En cas de dégradation des conditions de distribution des applications mobiles affectant un système d'exploitation, le consommateur peut, en théorie, décider de changer de terminal mobile pour avoir accès à un autre système d'exploitation fonctionnant avec un magasin d'applications différent, bien que ce changement soit associé à des barrières et des coûts significatifs (voir paragraphes 469 et suivants ci-dessous).

418. En revanche, les éditeurs souhaitent généralement distribuer leurs applications auprès d'un maximum de consommateurs. Ils doivent pour ce faire adopter une stratégie multi- hébergement en proposant leurs applications à la fois sur les terminaux iOS et Android, qui représentent la quasi-totalité des terminaux mobiles actifs sur le marché européen. Selon l'étude de la CMA, les plus grands développeurs d'applications considèrent que la distribution via les magasins d'applications App Store et Google Play Store en parallèle est essentielle291.

419. En effet, pour un éditeur d'applications qui distribue déjà ses applications sur les terminaux iOS, retirer son application de l'App Store en vue de la faire distribuer exclusivement sur Google Play Store ne serait pas une option économique rationnelle, dès lors qu'une telle décision entraînerait la perte d'accès à une part significative des utilisateurs de smartphones et de tablettes en Europe. En outre, la distribution de services et de contenus via le web n'est pas non plus susceptible de constituer une alternative de nature à permettre de compenser un refus d'accès à l'App Store. À cet égard, il ressort de l'étude de la CMA que le développement et l'utilisation d'autres moyens d'accéder au contenu sur les appareils mobiles, tels que l'utilisation d'applications web, sont nettement inférieurs aux applications natives, et ils ne sont actuellement pas considérés comme une alternative viable par de nombreux développeurs d'applications292. S'agissant des revenus publicitaires, la majorité des revenus de la publicité non liée aux recherches est générée via les terminaux mobiles et les applications mobiles293.

420. Ainsi, les faces éditeurs et consommateurs du marché de la distribution d'applications sur les terminaux mobiles iOS – affectées par les pratiques liées à la mise en place de l'ATT – constituent deux marchés de produits distincts, même si ceux-ci présentent des liens de connexité importants.

421. Concernant la dimension géographique de ces marchés, l'Autorité estime qu'ils s'étendent au moins à l'EEE. Au jour de l'envoi de la notification de grief, les accords de licence conclus par Apple avec les éditeurs, les conditions générales d'utilisation de l'App Store pour les consommateurs, les conditions de mise en œuvre de l'ATT, ainsi que les lignes directrices interdisant explicitement la création de magasins d'applications alternatifs pour les appareils iOS, étaient uniformes sur l'ensemble de ce territoire.

iii. Les marchés publicitaires connexes au marché de la distribution d'applications

422. Plusieurs marchés de services publicitaires, présentant un lien de connexité avec le marché de la distribution d'applications mobiles sur les terminaux iOS, sont susceptibles d'être affectés par la mise en œuvre de la technologie ATT.

423. Premièrement, les pratiques constatées sont susceptibles d'affecter les marchés de la publicité en ligne.

424. S'agissant de la segmentation des marchés de la publicité en ligne, la Commission294 et l'Autorité295 estiment que la publicité en ligne liée aux recherches appartient à un marché distinct de la publicité en ligne non liée aux recherches pour les raisons suivantes :

- la publicité en ligne liée aux recherches se distingue des autres formes de publicité en ligne en ce qu'elle est fondée sur une recherche active de l'internaute ;

- la publicité en ligne liée aux recherches présente des particularités en matière de formats ;

- le degré de substituabilité entre la publicité liée aux recherches et les autres formes de publicité en ligne est également limité du point de vue des offreurs d'espaces publicitaires.

425. En l'espèce, les pratiques constatées sont susceptibles d'affecter le marché de la publicité en ligne non liée aux recherches, et dans une moindre mesure celui de la publicité en ligne liée aux recherches. Ce point n'est pas contesté par Apple.

426. En revanche, contrairement à ce que soutiennent les saisissantes, l'Autorité considère qu'il n'est pas pertinent de définir, au sein du marché de la publicité en ligne non liée aux recherches, un marché restreint à la publicité d'installation d'applications mobiles sur iOS. L'installation d'applications mobiles constitue en effet un objectif de campagnes parmi d'autres proposés par les fournisseurs de services publicitaires. Par ailleurs, il ressort de la pratique décisionnelle des autorités de concurrence que les marchés de la publicité en ligne ne sont pas non plus définis en fonction du système d'exploitation utilisé par les consommateurs. La majorité des fournisseurs de services publicitaires aux annonceurs propose à la fois de diffuser des publicités sur les terminaux iOS et sur les terminaux Android.

427. Deuxièmement, les pratiques d'Apple sont également susceptibles d'affecter d'autres marchés de services d'intermédiation et de technologies publicitaires, sur lesquels des services sont fournis aux éditeurs et aux annonceurs.

428. En effet, la mise en œuvre de l'ATT a un impact sur les activités des réseaux publicitaires, des SSP et des DSP, des fournisseurs de serveurs publicitaires et des fournisseurs de services de mesure des performances des campagnes (attribution, vérification, etc.), qui sont fournis notamment par les MMP (Mobile Measurement Partners). Dans le cadre des réponses aux demandes d'informations, certains fournisseurs de services d'intermédiation considèrent qu'ils sont en concurrence avec ASA. OpenX a déclaré qu'elle et Apple « se disputent les budgets publicitaires consacrés à la revente de l'inventaire publicitaire pour les campagnes d'installation d'applications, ce qui est au cœur de la publicité d'Apple et représente un des segments auquel OpenX s'adresse »296. Par ailleurs, Apple fournit des services d'attribution publicitaire, en particulier via SKAN, qui sont considérés comme des services concurrents de ceux de certains MMP297.

429. Dans la décision Google/Fitbit, la Commission a défini plusieurs marchés de services de technologies publicitaires (Ad Tech), même si les résultats de son test de marché n'ont pas été conclusifs sur les contours exacts des marchés : services de réseaux publicitaires liés aux recherches ; services de réseaux publicitaires Display ; services de SSP publicitaires Display ; services de DSP publicitaires Display298; services de serveurs publicitaires Display pour les éditeurs ; services de serveurs publicitaires Display pour les annonceurs ; services d'analyse de données (analytics services). Elle estime que, sur le plan géographique, aucun élément ne permet de remettre en cause la pratique décisionnelle sur la dimension au moins européenne de ces marchés299.

430. Enfin, dans la décision Outbrain/Teads300, l'Autorité, a confirmé qu'au sein des marchés de la fourniture de services d'intermédiation pour la publicité en ligne non liée à la recherche, il existait des différences entre les plateformes d'achat et les plateformes de mise en vente. Elle a donc mené son analyse tant côté offre (plateformes SSP) que côté demande (plateformes DSP). L'Autorité a considéré que ces marchés s'étendaient au moins à l'espace économique européen.

D. POSITION DOMINANTE

1. Rappel des principes

431. La position dominante est définie comme une « position de puissance économique détenue par une entreprise qui lui donne le pouvoir de faire obstacle au maintien d'une concurrence effective sur le marché en cause en lui fournissant la possibilité de comportements indépendants dans une mesure appréciable vis-à-vis de ses concurrents, de ses clients et, finalement, des consommateurs »301.

432. L'existence d'une position dominante peut résulter de plusieurs facteurs qui, pris isolément, ne seraient pas nécessairement déterminants302. Parmi ces facteurs, l'existence de parts de marché d'une grande ampleur est hautement significative303. Ainsi, il est de jurisprudence constante que des parts de marché extrêmement importantes constituent par elles-mêmes, et sauf circonstances exceptionnelles, la preuve de l'existence d'une position dominante. Selon la jurisprudence de la CJUE, une part de marché de 50 % constitue par elle-même, et sauf circonstances exceptionnelles, la preuve de l'existence d'une position dominante304.

433. Outre le niveau des parts de marché de l'entreprise en cause, il y a également lieu de tenir compte du rapport entre les parts de marché détenues par l'entreprise concernée et par ses concurrents. La possession d'une part de marché extrêmement importante met l'entreprise qui la détient pendant une période d'une certaine durée, par le volume de production et d'offre qu'elle représente – sans que les détenteurs de parts sensiblement plus réduites soient en mesure de satisfaire rapidement la demande qui désirerait se détourner de l'entreprise détenant la part la plus considérable –, dans une situation de force qui fait d'elle un partenaire obligatoire et qui, de ce seul fait, lui assure, tout au moins pendant des périodes relativement longues, l'indépendance de comportement caractéristique de la position dominante305.

434. Le Tribunal de l'Union européenne (ci-après, « Tribunal ») a considéré, s'agissant des secteurs récents en pleine expansion et qui se caractérisent par des cycles d'innovation courts et un contexte dynamique, que les parts de marché élevées ne sont pas nécessairement indicatives d'un pouvoir de marché306. En revanche, le critère des parts de marché élevées demeure pertinent s'agissant d'un marché en forte croissance qui ne montre pas de signe d'instabilité pendant la période litigieuse et où une hiérarchie stable est établie307.

435. D'autres facteurs importants lors de l'évaluation de la position dominante sont l'existence d'une puissance d'achat compensatrice et de barrières à l'entrée ou à l'expansion, empêchant soit les concurrents potentiels d'avoir accès au marché, soit les concurrents réels d'étendre leurs activités sur le marché308. Ces obstacles peuvent résulter d'un certain nombre de facteurs, y compris des investissements en capital exceptionnellement importants que les concurrents devraient égaler, des externalités de réseau qui entraîneraient des coûts supplémentaires pour attirer de nouveaux clients, des économies d'échelle dont les nouveaux venus sur le marché ne peuvent tirer aucun avantage immédiat et les coûts d'entrée réels encourus pour pénétrer le marché309. Les coûts de changement ne sont donc qu'un type possible de barrière à l'entrée et à l'expansion.

436. Le fait qu'un service soit offert gratuitement est également un facteur pertinent à prendre en compte dans l'appréciation de la position dominante. Un autre élément pertinent est de savoir s'il existe des contraintes techniques ou économiques qui pourraient empêcher les utilisateurs de changer de fournisseur310.

437. Dans le cadre d'une plateforme multi-faces réunissant deux groupes d'utilisateurs distincts mais interconnectés, les contraintes pesant sur le pouvoir de marché de l'opérateur vis-à-vis d'un groupe peuvent également émaner de l'autre groupe d'utilisateurs présent sur la plateforme.

438. Sur les marchés sur lesquels les utilisateurs doivent acquérir séparément un produit principal pour bénéficier de services complémentaires (par exemple, un smartphone et une application), il est pertinent d'examiner la manière dont les consommateurs prennent leurs décisions pour obtenir ce produit principal. Les critères définis pour l'analyse des marchés secondaires constituent une grille d'analyse utile pour explorer les interactions entre le produit principal et les produits secondaires.

439. En ce qui concerne les marchés secondaires, la concurrence sur le marché primaire peut, malgré des parts de marché élevées sur le marché secondaire, limiter le pouvoir de marché du producteur du produit primaire sur le marché secondaire. Si un client, lors de l'achat d'un produit principal, prend en compte tous les facteurs importants relatifs à un produit secondaire, y compris, par exemple, le prix et les coûts sur la durée de vie du produit principal et la tarification du cycle de vie des produits secondaires, et si en même temps les conditions du marché sur le marché primaire sont suffisamment concurrentielles pour que les clients changent s'il y a une augmentation de prix pour le produit secondaire, alors la domination sur le marché secondaire peut ne pas être établie. Un certain nombre de critères d'appréciation de la position dominante ont été confirmés par le Tribunal dans l'affaire EFIM311. Afin de conclure que les marchés primaire et secondaire sont interdépendants et que la concurrence sur le marché primaire limite le pouvoir de marché sur le marché secondaire, quatre conditions doivent être satisfaites de manière cumulative :

- les clients peuvent faire un choix éclairé incluant les prix qu'ils subiront dans le futur ;

- il est vraisemblable que les clients fassent un tel choix éclairé au moment de l'achat ;

- un nombre suffisant de consommateurs adapteront leur comportement d'achat sur le marché primaire en cas de hausse de prix ou de dégradation de la qualité sur le marché secondaire ; et

- cette adaptation de leur comportement d'achat se fera dans un délai raisonnable.

2. Application au cas d'espèce

a) Sur les parts de marché d'Apple

440. Au jour de l'envoi de la notification de grief, contrairement à Google qui autorisait le référencement d'autres magasins d'applications sur les terminaux Android, Apple était le seul fournisseur d'une plateforme de distribution d'applications pour les utilisateurs iOS, à la fois pour les éditeurs et pour les consommateurs. Par conséquent, Apple bénéficiait d'une part de marché stable de 100 % sur les deux faces du marché des plateformes de distribution d'applications sur les terminaux iOS au niveau de l'EEE. Ces niveaux de parts de marché constituent des indices forts de l'existence d'une position dominante d'Apple sur les deux marchés.

b) Les barrières à l'entrée et à l'expansion

441. Au jour de l'envoi de la notification de grief, sur les terminaux iOS, il était impossible pour des tiers d'entrer sur les marchés de la distribution d'applications mobiles et d'y contester la position d'Apple.

442. Toutes les applications distribuées aux utilisateurs d'iOS sont soumises aux directives et à l'approbation individuelle d'Apple.

443. Pendant la période couverte par le grief, Apple exerçait un contrôle strict sur son écosystème et interdisait à toute autre entreprise de proposer une boutique d'applications alternative compatible avec iOS. L'article 3.2.2 (i) des lignes directrices de l'App Store en vigueur au jour de l'envoi de la notification de grief interdisait ainsi de « [c]réer une interface pour afficher des applications, des extensions ou des plug-ins tiers similaires à l'App Store ou en tant que collection d'intérêt général »312.

444. Étant donné qu'Apple n'autorisait pas l'utilisation de magasins d'applications alternatifs sur les appareils iOS permettant l'achat et le téléchargement d'applications natives, il était impossible pour des tiers d'entrer sur ce marché et de concurrencer la position d'Apple. Apple a ainsi créé et maintenu des barrières insurmontables à l'entrée pour les magasins d'applications tiers pour les appareils iOS ou pour la distribution d'applications aux utilisateurs iOS par les éditeurs pendant toute la période incriminée. Une telle concurrence est aujourd'hui envisageable, avec l'entrée en vigueur des obligations du règlement DMA.

c) Les effets de réseau

445. L'App Store proposait en 2021, au niveau mondial, plus de [confidentiel] d'applications, dont [confidentiel] d'applications non payantes313. En 2021, les consommateurs ont procédé à plus de [confidentiel] de téléchargements d'applications, dont [confidentiel] d'applications gratuites314.

446. La plateforme bénéficie d'effets de réseau indirects positifs, dans la mesure où la valeur du service pour les utilisateurs d'un côté de la plateforme (éditeurs) augmente avec le nombre d'utilisateurs de l'autre côté de celle-ci (c'est-à-dire les consommateurs). Si un tiers devait proposer une boutique d'applications alternative pour les utilisateurs d'iOS, ce qui est possible depuis l'entrée en vigueur des obligations du règlement DMA, il serait confronté à la difficulté d'attirer simultanément suffisamment d'utilisateurs des deux côtés de la chaîne pour déclencher les effets de réseau indirects positifs dont bénéficie déjà l'App Store. Ces effets de réseau indirects protègent et confortent donc la position d'Apple sur le marché.

447. Alors que l'existence d'effets de réseau pourrait être de nature à offrir un certain pouvoir de marché aux acteurs dont la présence génère une externalité positive, ce n'est pas le cas en l'espèce. D'une part, l'absence d'alternative pour les utilisateurs iOS fait qu'il n'existe pas de concurrence entre plateformes pour ces utilisateurs. D'autre part, sur les autres systèmes où une alternative existe, les effets de réseau engendrent un phénomène de basculement (tipping) davantage qu'une concurrence accrue pour attirer les éditeurs. Ainsi, sur les terminaux Android, les magasins d'applications concurrents du Play Store ont une part de marché faible. Au Royaume-Uni, moins de 5 % des revenus nets obtenus par les applications lors de la facturation aux consommateurs via un magasin d'application mobiles ont été obtenus sur des magasins d'applications autres que le Play Store et l'App Store315.

448. Sur la face éditeurs, on constate l'existence d'un marché très atomisé où les intérêts des éditeurs d'applications diffèrent beaucoup selon le modèle économique emprunté. Cette situation induit qu'en dépit des effets de réseaux indirects susmentionnés et susceptibles de bénéficier aussi à Apple, cette dernière conserve un pouvoir de marché important.

d) Le contrepouvoir des éditeurs

449. En raison du manque d'alternatives pour la distribution d'applications aux utilisateurs d'iOS, Apple jouit d'un pouvoir de marché important vis-à-vis des éditeurs qui souhaitent proposer leurs applications aux utilisateurs d'iOS.

450. Apple décide essentiellement unilatéralement des règles qui régissent l'accès à l'App Store et la distribution d'applications aux utilisateurs d'iOS, sans aucune possibilité pour les éditeurs de négocier des conditions différentes. Les modifications apportées à ces règles sont à la seule discrétion d'Apple.

451. Le contrat de licence d'Apple avec les éditeurs d'applications lui donne la possibilité de désactiver ou de limiter l'accès à ses services à tout moment sans préavis et à sa seule discrétion.

452. L'article 2.8 stipule en effet « [qu']Apple se réserve le droit de modifier, suspendre, abandonner, refuser, limiter ou désactiver l'accès aux Services Apple, en tout ou partie, à tout moment et sans préavis (y compris, mais sans s'y limiter, de mettre un terme aux habilitations ou de modifier les API du Logiciel Apple qui permettent l'accès aux Services, ou encore de ne pas Vous fournir une habilitation). Apple ne saurait en aucun cas être tenue responsable de la suppression ou de la désactivation de l'accès aux éléments susmentionnés. Apple peut également imposer des limites et des restrictions concernant l'accès aux Services Apple et leur utilisation, retirer les Services Apple pour des périodes indéfinies, mettre fin à Votre accès aux Services Apple ou annuler les Services Apple (en tout ou partie), à tout moment et sans préavis ni responsabilité à Votre égard et à son entière discrétion »316.

453. L'article 3.2. indique qu'Apple a toute latitude pour accorder ou refuser une application pour ses appareils : « [l]es Applications destinées aux Produits iOS, à l'Apple Watch ou à l'Apple TV développées à l'aide du Logiciel Apple ne peuvent être distribuées que si elles sont sélectionnées par Apple (à sa seule discrétion) en vue d'une distribution via l'App Store ou la Distribution d'applications personnalisées, pour une distribution »317.

454. Par ailleurs, l'article 6.9 confère à Apple un pouvoir discrétionnaire pour refuser toute application, même si elle est conforme à la documentation requise : « [v]ous comprenez et acceptez que, si Vous soumettez Votre Application à Apple à des fins de distribution via l'App Store, la Distribution d'applications personnalisées ou TestFlight, Apple peut, à son entière discrétion :

(a) déterminer que Votre Application ne répond pas à une partie ou à l'intégralité des conditions de la Documentation ou des Conditions du programme en vigueur ;

(b) rejeter la demande de distribution de Votre Application pour une raison quelconque, même si Votre Application satisfait aux conditions de la Documentation et du Programme ; ou

(c) sélectionner et apposer sa signature numérique sur Votre Application en vue de sa distribution via l'App Store, la Distribution d'applications personnalisées ou TestFlight.

Apple ne saurait être tenue responsable des coûts, dépenses, dommages, pertes (y compris, mais sans s'y limiter, la perte d'opportunités commerciales ou de bénéfices) ou de toute autre responsabilité que Vous pourriez encourir en conséquence du développement de Votre Application, de l'utilisation du Logiciel Apple, des Services Apple ou des Certificats Apple, ou de la participation au Programme, y compris, mais sans s'y limiter, le fait que Votre Application puisse ne pas être admissible à une distribution via l'App Store ou la Distribution d'applications personnalisées »318.

455. En conclusion, il résulte de ces éléments que les éditeurs d'applications disposent dans leur ensemble d'un faible contrepouvoir vis-à-vis d'Apple.

e) Les contraintes sur la face consommateurs de l'App Store

456. La contrainte exercée par la face consommateurs du marché de la distribution d'applications sur les terminaux mobiles iOS sur le pouvoir de marché d'Apple vis-à-vis des éditeurs d'applications peut, d'un point de vue théorique, résulter de la réaction des consommateurs à une perception de dégradation des conditions de distribution des applications disponibles sur les terminaux iOS. Les éditeurs d'applications pourraient par exemple facturer aux consommateurs des frais liés à la distribution d'applications ou de contenus intégrés à ces dernières du fait de la mise en œuvre de la technologie ATT, pour compenser une diminution de leurs ressources publicitaires. De tels changements affectant l'attractivité des applications sur les appareils iOS pourraient – au moins en théorie – rendre l'App Store moins attrayant aux yeux des consommateurs et provoquer des réactions négatives de leur part.

457. Étant donné que les utilisateurs de terminaux mobiles iOS pouvaient, à la date de la notification de grief, télécharger des applications uniquement via l'App Store, la seule contrainte qu'ils pourraient exercer en cas de dégradation des conditions de distribution d'applications sur les terminaux iOS consisterait à se tourner vers d'autres terminaux mobiles intelligents échappant aux conditions d'accès imposées par Apple, tels que les smartphones Android.

458. Apple fait valoir qu'à supposer qu'un marché secondaire de la distribution d'applications sur iOS soit défini, ce qu'elle conteste (voir paragraphe 399 ci-avant), la pression concurrentielle existant sur le marché primaire de la vente de terminaux mobiles suffirait à la priver d'une position dominante sur ce marché secondaire malgré sa situation de monopole. Apple conteste à cet égard l'existence d'un marché « premium » de la vente de terminaux mobiles 319 et fait valoir que les quatre conditions cumulatives fixées par la jurisprudence EFIM seraient remplies.

459. Dans le cadre de la décision n° 21-D-07, l'Autorité avait écarté ces arguments en relevant que : « les conditions énumérées [dans la jurisprudence EFIM] pour exclure une position dominante sur le marché secondaire ne sont pas remplies : le choix d'un terminal mobile par un consommateur est avant tout influencé par son prix, les dépenses relatives à l'achat d'applications ne constituant pas un élément déterminant. Par ailleurs, au-delà du marché primaire de l'iPhone, les utilisateurs Apple appartiennent également à un écosystème complet, fondé sur des équipements matériels (iPad, Apple Watch, iMac) ainsi que sur des outils logiciels (iTunes, Apple TV+, AirPlay par exemple), dont la compatibilité complète ainsi que l'expérience utilisateur ne sont assurées qu'au sein de la gamme Apple. Dès lors, il est improbable que les utilisateurs iOS se reportent sur une offre alternative sur le marché primaire, en cas d'augmentation des prix ou de dégradation de la qualité des applications de l'App Store, puisqu'un tel changement impliquerait, pour une partie des utilisateurs iOS, la perte de leur investissement dans l'écosystème d'Apple »320.

460. L'analyse préliminaire de l'Autorité a été très largement confirmée par la Commission dans la récente décision Apple/Spotify321.

i. Sur le degré de concurrence limitée sur le marché primaire des terminaux mobiles intelligents

461. Apple détient une part de marché significative en Europe sur le marché de la vente de terminaux mobiles intelligents avec une part de marché estimée à 33 % pour les smartphones322 et 48 % pour les tablettes en 2023323. En outre, la part de marché d'Apple, en valeur, pour les smartphones et les tablettes dépasse celle fondée sur les volumes de vente. En 2021, dans l'EEE, la part de marché d'Apple pour les appareils mobiles intelligents (smartphones et tablettes confondus) représentait entre 30 et 40 % des unités vendues, alors qu'en termes de valeur des ventes, Apple détenait une part estimée entre 50 et 60 %. Cette différence s'explique par le positionnement d'Apple, qui commercialise des produits haut de gamme à des prix généralement supérieurs à la moyenne. Sur le segment haut de gamme, Apple détient une position très importante au niveau mondial, avec une part de marché estimée entre 60 %324 et 75 %325.

462. La stratégie commerciale d'Apple repose sur un positionnement de ses modèles dans le segment haut de gamme, limitant ainsi la concurrence de la majorité des fabricants utilisant le système d'exploitation Android. Ces derniers proposent une gamme de produits plus étendue, incluant de nombreux appareils d'entrée de gamme, afin de séduire une clientèle plus soucieuse de son budget.

463. Dans sa décision Apple/Spotify, la Commission a souligné que la profitabilité nettement supérieure d'Apple par rapport à ses concurrents directs témoigne de sa capacité à échapper, dans une certaine mesure, à la pression concurrentielle tarifaire exercée par les autres fabricants de smartphones Android326. Apple est en effet en mesure de maintenir des prix et des marges plus élevés pour la commercialisation de ses appareils que ses concurrents. Cette concurrence tarifaire limitée entre les appareils iOS et Android a également été confirmée par la CMA, qui, dans son rapport, met en évidence que les appareils iOS dominent le marché des ventes d'appareils haut de gamme, tandis que les appareils Android prédominent dans le segment des appareils à bas prix327.

464. Les développements ci-dessus attestent qu'Apple détient une position importante sur le marché des terminaux mobiles intelligents en Europe, qui est particulièrement marquée sur le segment des terminaux mobiles haut de gamme.

465. Cette position d'Apple est d'autant plus forte que les taux de migration des clients d'Apple vers d'autres marques restent très faibles.

466. Apple a produit une étude économique dans le cadre de ses observations au rapport, en vue de contester sa dominance. Selon cette étude, le degré de substituabilité entre les produits primaires serait élevé et le coût lié à la migration d'un produit primaire à un autre serait faible. Au soutien de cet argument, l'étude s'appuie sur un sondage d'utilisateurs ayant déjà changé de téléphone. Cependant l'analyse faite des utilisateurs ayant changé de système d'exploitation introduit un biais, puisque cela exclut toutes les personnes qui n'ont pas opéré ce changement, donc une large proportion des utilisateurs, pour se focaliser sur celles pour lesquelles la substituabilité est plus élevée et/ou le coût de migration est plus faible. Ce faisant, l'analyse néglige notamment les barrières psychologiques au changement que pourraient ressentir certains autres utilisateurs et qui participent à leurs coûts de changement.

467. Une étude récente de CIRP328 sur le marché américain a révélé au contraire une fidélité à la marque très forte parmi les utilisateurs d'iPhone, puisque plus de 90 % des clients changeant de terminal pour acheter un nouvel iPhone possédaient déjà un iPhone auparavant329. De plus, l'enquête menée par la CMA en juin 2022 au Royaume-Uni a révélé que 8 % des utilisateurs ayant acquis un iPhone étaient auparavant détenteurs d'un smartphone Android, tandis que seulement 5 % des utilisateurs ayant choisi un smartphone Android étaient auparavant détenteurs d'un appareil iOS.

468. Comme l'a indiqué l'Autorité dans la décision n° 21-D-07, cela peut s'expliquer par le fait que les produits de marque Apple s'inscrivent dans un écosystème complet, fondé sur des équipements matériels (iPad, Apple Watch, iMac) ainsi que sur des outils logiciels (iTunes, Apple TV+, AirPlay par exemple), dont la compatibilité complète ainsi que l'expérience utilisateur ne sont assurées qu'au sein de la gamme Apple. Dès lors, il paraît improbable que les utilisateurs iOS se reportent sur une offre alternative sur le marché primaire, en cas d'augmentation des prix ou de dégradation de la qualité des applications de l'App Store, puisqu'un tel changement impliquerait, pour une partie des utilisateurs iOS, la perte de leur investissement dans l'écosystème d'Apple.

469. Les preuves recueillies par la Commission dans la décision Apple/Spotify corroborent très largement les constats préliminaires de l'Autorité et attestent que les coûts associés à la migration des appareils mobiles entre les écosystèmes iOS et Android, qu'ils soient monétaires ou non, présentent des obstacles significatifs pour les utilisateurs330.

470. Premièrement, changer de système d'exploitation peut dans certaines situations impliquer des coûts monétaires considérables. Outre l'achat d'un nouvel appareil, les utilisateurs doivent parfois remplacer des accessoires spécifiques d'Apple, comme une Apple Watch ou un HomePod, devenus incompatibles avec un autre écosystème. Ces investissements peuvent parfois être supérieurs au coût du smartphone lui-même. En outre, certains utilisateurs peuvent faire face à des frais de résiliation anticipée liés aux abonnements téléphoniques331. Enfin, certaines applications ou contenus déjà acquis, tels que des livres électroniques, doivent souvent être rachetés.

471. Deuxièmement, la migration d'un système d'exploitation à un autre demande également un investissement en temps et en effort. Les utilisateurs doivent se familiariser avec un nouvel environnement, ce qui inclut l'apprentissage d'une interface différente, le transfert de données ou d'applications, et l'adaptation à de nouvelles routines.

472. Troisièmement, concernant le transfert de données, bien que des progrès aient été réalisés grâce à des outils dédiés, le processus de migration d'un système d'exploitation à un autre reste imparfait. Certains contenus, notamment les abonnements ou les achats effectués via Apple In-App Purchase (IAP), ne sont pas transférables et nécessitent un nouvel achat ou une réinscription. Par exemple, pour les abonnements musicaux, il faut souvent annuler l'ancien contrat avant d'en souscrire un nouveau sur un appareil Android. Cette complexité suscite des craintes quant à la perte potentielle de données et augmente la difficulté du processus pour de nombreux utilisateurs.

473. Quatrièmement, même après la migration d'un système d'exploitation à un autre, la synchronisation entre appareils peut être compromise. Les utilisateurs habitués aux services intégrés d'Apple, comme iCloud ou les fonctionnalités de continuité (Handoff, AirDrop), perdent ces avantages lorsqu'ils quittent l'écosystème iOS. De plus, de nombreuses applications propriétaires, telles qu'iMessage ou FaceTime, ne sont pas disponibles sur Android.

474. En conclusion, si les appareils mobiles intelligents sous iOS et sous Android font partie d'un même marché de la vente de terminaux, la substituabilité entre eux est limitée par ces facteurs, qui semblent constituer des barrières élevées, au-delà du coût financier, pour les consommateurs. Selon la CMA, ces barrières semblent plus marquées chez les utilisateurs d'iOS que chez ceux d'Android332.

ii. Sur l'absence de caractère disciplinant du marché primaire des terminaux mobiles intelligents sur le marché secondaire de la distribution d'applications

475. Dans la mesure où il n'est pas établi qu'Apple bénéficie d'une position dominante sur le marché primaire de la vente d'appareils mobiles intelligents, il est nécessaire d'examiner les quatre conditions cumulatives dégagées par la décision Pelikan/Kyocera de la Commission333 et confirmées par la décision et l'arrêt successifs dans l'affaire EFIM334.

476. L'Autorité considère que les quatre critères cumulatifs établis dans la décision Pelikan/Kyocera, repris par la jurisprudence EFIM, n'étaient pas remplis en l'espèce sur la période des pratiques, qui précède l'entrée en vigueur des obligations du DMA.

477. Premièrement, les consommateurs de terminaux mobiles intelligents ne sont pas en mesure d'effectuer un choix éclairé relatif aux conditions d'achats et d'utilisation des applications téléchargées dans l'App Store.

478. Le coût des applications tout au long de leur cycle de vie est généralement beaucoup moins transparent au moment de la décision d'achat d'un appareil mobile, comparé, par exemple, aux tarifs des forfaits mobiles. Les prix des applications et des contenus in-app ne sont pas systématiquement disponibles au moment et à l'endroit où se prend la décision d'achat, que les consommateurs achètent leurs appareils en magasin physique ou en ligne. Par ailleurs, il n'existe pas d'outils ou de sites de comparaison efficaces permettant aux consommateurs de comparer facilement et de manière systématique les prix des applications ou les conditions d'abonnement in-app entre différents magasins d'applications et systèmes d'exploitation mobiles. Enfin, le marché des applications mobiles est un marché multi-produits en constante évolution, notamment du fait de la création ou de la disparition d'applications, ou de modifications liées à leurs conditions d'utilisation ou à leurs tarifs. Les préférences et besoins des utilisateurs en termes d'applications étant susceptibles d'évoluer au cours de la durée de vie de leur téléphone, ces derniers pourront difficilement anticiper leur consommation d'applications sur la durée de vie de leur téléphone et estimer le coût total de cette consommation.

479. Deuxièmement, à supposer même que le consommateur soit en mesure de comparer facilement les coûts de distribution des applications mobiles, l'accès et l'utilisation d'un magasin d'applications ne semblent pas constituer un facteur déterminant dans le processus d'achat et dans le fonctionnement concurrentiel du marché des terminaux mobiles intelligents (voir paragraphes 403 et suivants ci-avant).

480. Troisièmement, les utilisateurs changent rarement de système d'exploitation mobile et restent, dans une large mesure, captifs de leurs écosystèmes (voir paragraphes 465 et suivants ci-avant).

481. Quatrièmement, la grande majorité des consommateurs n'est pas consciente des différences entre les différents appareils mobiles en ce qui concerne les prix des applications et les conditions de distribution des applications. Même s'ils étaient conscients de ces différences et qu'ils surmontaient les coûts de commutation très importants entraînés par le changement de système d'exploitation de leur appareil mobile, tout changement se produirait avec un retard très important, c'est-à-dire dans un délai non raisonnable.

482. En conclusion, le pouvoir de marché d'Apple sur la distribution d'applications mobiles n'est pas limité par la concurrence sur le marché primaire des appareils mobiles intelligents, sur lequel Apple dispose également d'un fort pouvoir de marché. Au regard des critères dégagés par la pratique décisionnelle et la jurisprudence et des éléments présentés ci-dessus, il convient de conclure qu'Apple est en position dominante sur les deux faces de la distribution d'applications mobiles sur les terminaux iOS (faces éditeurs et consommateurs).

E. SUR LE BIEN-FONDÉ DU GRIEF NOTIFIÉ

1. Rappel des principes

483. Toute entreprise, y compris lorsqu'elle est en situation de position dominante, jouit, en vertu de la liberté du commerce et de l'industrie, de la faculté de définir librement les règles et principes de fonctionnement des produits et services qu'elle met à la disposition du public.

484. Cette liberté porte notamment sur les règles techniques permettant d'optimiser le fonctionnement du produit ou service, et peut par ailleurs correspondre à la politique commerciale de différenciation de l'entreprise concernée. L'opérateur en position dominante demeure, à cet égard, libre d'édicter des règles prévoyant des protections supplémentaires pour les internautes par rapport à ce qu'impose par ailleurs la réglementation.

485. Cette liberté trouve toutefois sa limite dans le respect des lois et règlements par ailleurs applicables, et, s'agissant plus particulièrement du droit de la concurrence, ne saurait être mise en œuvre si elle est contraire aux règles de concurrence, notamment si elle a un objet ou un effet anticoncurrentiel.

486. En effet, un opérateur dominant qui exploite une plateforme numérique peut orienter le modèle économique des opérateurs économiques référencés sur sa plateforme, limiter leur liberté d'entreprendre, et influer sur la qualité et la diversité de l'offre ouverte aux internautes. L'opérateur dominant est donc soumis, en raison du pouvoir qu'il exerce sur le marché, à une responsabilité particulière de ne pas porter atteinte par son comportement à une concurrence effective et non faussée. Ainsi, le fait pour un opérateur dominant de mettre

en œuvre des règles d'accès à une plateforme numérique disproportionnées ou privées de justification objective, peut affecter le fonctionnement des marchés où les opérateurs économiques référencés sur la plateforme numérique sont actifs et nuire, in fine, aux intérêts des consommateurs.

487. L'article 102 du TFUE, sous a), prévoit parmi les pratiques qui peuvent être qualifiées d'abusives, le fait « d'imposer de façon directe ou indirecte des prix d'achat ou de vente ou d'autres conditions de transaction non équitables ».

488. Il ressort ainsi de la lettre même de cette disposition qu'elle est susceptible de s'appliquer à tout type de condition imposée par un opérateur dominant, qu'elle soit ou non tarifaire335.

489. La Cour de justice a, par exemple, considéré que l'imposition, par une société de gestion collective des droits d'auteur, « [d']engagements non indispensables à la réalisation de son objet social et qui entraveraient ainsi de façon inéquitable la liberté d'un adhérent dans l'exercice de son droit d'auteur » peut constituer une exploitation abusive contraire à l'article 102, sous a), du TFUE 336.

490. De même, dans un arrêt du 5 octobre 1988, la Cour de justice a considéré, s'agissant de stipulations incluses dans un contrat de location-entretien imposant de s'adresser exclusivement à l'installateur pour toute modification du bien loué, que « le caractère indéterminé du prix des avenants entraînés par ces modifications, sa fixation unilatérale par l'installateur, ainsi que la reconduction automatique du contrat pour quinze ans si lesdites modifications comportent une augmentation du loyer de plus de 25 %, peuvent constituer (…) des conditions de transaction non équitables interdites en tant que pratiques abusives par l'article 86 du traité [devenu l'article 102 du TFUE] »337.

491. Aux termes de la jurisprudence, la mise en œuvre de l'article 102, sous a), du TFUE requiert la réunion de trois conditions.

492. Premièrement, il faut que les conditions de transactions mises en œuvre par l'entreprise dominante soient directement ou indirectement imposées.

493. Deuxièmement, il faut que ces conditions revêtent un caractère « inéquitable », lequel s'apprécie en examinant si les comportements de l'entreprise dominante ont été accomplis dans une « mesure raisonnable »338.

494. S'agissant de cette deuxième condition, tant la jurisprudence de l'Union339 que celle de la Cour de cassation340 invitent plus particulièrement à examiner si les conditions imposées par l'opérateur dominant sont à la fois nécessaires et proportionnées pour remplir l'objectif poursuivi par l'entreprise dominante ou la réalisation de son objet social341, preuve qu'il appartient en principe à l'entreprise en position dominante d'apporter en raison de sa

« responsabilité particulière » au titre de l'article 102 TFUE342.

495. Troisièmement, s'agissant des effets de la pratique, il convient d'établir que les conditions de transactions sont défavorables pour les partenaires commerciaux, les consommateurs ou des entreprises tierces.

496. Ainsi, l'abus est caractérisé dès lors que les conditions de transaction imposées par l'opérateur dominant affectent de manière déraisonnable des paramètres de concurrence tels que le prix, le choix, la qualité ou l'innovation au détriment des intérêts des partenaires commerciaux de l'entreprise dominante des consommateurs, ou des entreprises tierces qui n'ont pas nécessairement de relations commerciales directes avec l'entreprise dominante.

497. Par ailleurs, la jurisprudence de l'Union n'exige pas la démonstration d'un lien de causalité entre la dominance et les conditions imposées par l'opérateur dominant343.

2. Application au cas d'espèce

498. À titre liminaire, l'Autorité relève que, comme le rappelle la décision de mesures conservatoires n° 21-D-07, la mise en place, par une plateforme contrôleuse d'accès (« gatekeeper ») en position dominante, de mesures visant à renforcer la protection des données personnelles et l'effectivité du consentement de ses utilisateurs est a priori légitime et ne soulève dans son principe aucune objection au titre des règles de concurrence.

499. Comme l'a souligné la CNIL dans son avis du 17 décembre 2020, repris dans la décision n° 21-D-07 de l'Autorité, la sollicitation ATT présente plusieurs effets positifs pour les utilisateurs, en ce qu'elle offrirait « aux utilisateurs un meilleur contrôle sur leurs données à caractère personnel en leur permettant, d'une part, d'exprimer leurs choix de manière simple et éclairée et, d'autre part, en empêchant techniquement et/ou contractuellement aux éditeurs d'application de tracer l'utilisateur sans son autorisation ».

500. Si la sollicitation ATT n'apparaît pas critiquable dans son principe au regard des bénéfices qu'elle est susceptible d'apporter aux utilisateurs en termes de protection de leur vie privée, ses modalités de mise en œuvre concrètes ne doivent toutefois pas porter atteinte au principe de la libre concurrence.

501. En effet, comme l'a rappelé l'Autorité dans sa décision de mesures conservatoires, la liberté dont dispose un opérateur dominant comme Apple pour définir des règles protectrices des consommateurs ne l'exonère pas de sa responsabilité particulière de mettre en œuvre cette politique dans des conditions compatibles avec l'article 102 du TFUE.

502. Or les éléments du dossier établissent que la sollicitation ATT imposée par Apple (a) engendre, en raison de ses modalités de mise en œuvre, des contraintes pour les éditeurs d'applications mobiles qui ne sont ni nécessaires ni proportionnées pour atteindre les objectifs légitimes de protection de la vie privée sous-tendant le dispositif (b) et engendrent des conséquences défavorables pour les opérateurs du secteur (c) sans justification objective (d).

a) Sur le caractère imposé du dispositif ATT

503. Apple exige des éditeurs d'applications le respect d'un ensemble de conditions contractuelles et de lignes directrices qui rendent l'affichage de l'ATT obligatoire, dès lors que les éditeurs souhaitent partager les données de leurs utilisateurs avec des tiers.

504. Ces conditions imposent aux éditeurs d'afficher l'ATT lorsqu'ils procèdent à un suivi publicitaire sur les sites et applications tiers à partir de leur application mobile sur les terminaux iOS des utilisateurs.

505. Comme rappelé dans les constatations, l'article 5.1.2 des App Review Guidelines précise que l'éditeur qui souhaite partager les données qu'il collecte avec des tiers doit obtenir le consentement des utilisateurs via la sollicitation ATT. Si une application ne respecte pas cette exigence, elle pourra se voir suspendue ou bannie.

506. Les utilisateurs sont donc tenus de fournir une réponse via l'ATT lorsque le paramètre

« Autoriser les demandes de suivi des apps » est activé dans l'application « Réglages » 344.

507. En pratique, le caractère impératif de la mise en œuvre de l'ATT est renforcé par les contrôles qu'exercent les équipes d'Apple sur les applications mobiles dans l'App Store, et qui peuvent aboutir à des suspensions d'applications ou à des modifications des conditions d'exploitation de données par l'éditeur. Ce contrôle concerne les conditions d'affichage de la fenêtre ATT elle-même mais aussi les conditions d'affichage de la CMP des éditeurs ou de fenêtres additionnelles.

508. Apple ne conteste d'ailleurs pas que la mise en œuvre de l'ATT est imposée aux éditeurs d'applications mobiles pour des opérations de suivi publicitaire sur des sites et applications tierces.

509. Elle souligne en revanche que le dispositif a pu être anticipé par les opérateurs du secteur. Elle rappelle à ce titre que dans la décision de mesures conservatoires n° 21-D-07, le reproche des plaignants relatif à une mise en œuvre brutale et non transparente de l'ATT a été considéré comme infondé, Apple ayant retardé la mise en œuvre de la sollicitation ATT pour permettre aux développeurs de mettre leurs applications et pratiques à jour345. Elle conteste tout lien de causalité entre sa position dominante et sa capacité à imposer la fenêtre ATT346, ce dispositif découlant selon elle « de l'engagement de longue date d'Apple en faveur de la protection de la vie privée »347.

510. L'Autorité considère que ces arguments sont infondés.

511. D'une part, la possibilité donnée aux éditeurs d'anticiper l'introduction de l'ATT et de formuler des observations sur son fonctionnement n'est pas de nature à remettre en cause le caractère imposé du dispositif.

512. D'autre part, c'est bien parce qu'Apple était en position de monopole sur le marché de la distribution d'applications mobiles sur terminaux iOS qu'elle a pu imposer des règles d'accès à son App Store, en ce compris la mise en œuvre obligatoire de la politique ATT348. Ce monopole lui a également permis d'imposer l'ATT aux utilisateurs ainsi que les conditions de désactivation du suivi dans l'application « Réglages » des terminaux d'Apple.

513. Il en résulte que la position dominante d'Apple sur le marché de la distribution d'applications mobiles sur terminaux iOS lui a permis d'imposer la sollicitation ATT aux éditeurs.

b) Le dispositif ATT n'est ni nécessaire ni proportionné aux objectifs légitimes avancés par Apple

i. Arguments d'Apple

514. Apple soutient, d'une part, que la sollicitation ATT est nécessaire pour répondre à une

« défaillance de marché » provenant de ce que les règles en vigueur ne permettent pas aux utilisateurs d'exercer un contrôle suffisant sur la collecte et l'utilisation de leurs données personnelles dans le cadre du suivi publicitaire tiers.

515. Les utilisateurs n'ayant, selon elle, pas suffisamment conscience du caractère massif et

« subreptice »349 de ce type de suivi, la sollicitation ATT leur permettrait « d'effectuer un choix éclairé quant à la protection de leur vie privée »350. Elle fait valoir à cet égard que le dispositif repose sur un critère objectif s'appliquant indistinctement à tous les éditeurs se trouvant dans la même situation351.

516. Elle avance, d'autre part, que la sollicitation ATT est proportionnée aux objectifs tenant au recueil d'un « choix libre et éclairé » et de la protection de la vie privée dans la mesure où elle apporte une solution technique simple352 dont le résultat ne pourrait être obtenu par une mesure de nature technique ou contractuelle moins restrictive. Apple soutient que le dispositif ATT concilie les intérêts des éditeurs et des utilisateurs en conférant une plus grande marge de manœuvre353 aux premiers et en permettant un « choix libre et éclairé »354 aux seconds. Elle ajoute que le dispositif permet une personnalisation suffisante355,

« minimise la fatigue du consentement »356, et souligne que la proportionnalité du dispositif ressort de nombreuses déclarations issues du dossier d'instruction357.

517. Elle fait également valoir que dans ses avis et son projet de recommandation relative aux applications mobiles, la CNIL n'a ni remis en cause la coexistence de la sollicitation ATT et d'une demande de consentement via une CMP, ni imposé de condition pour approuver le dispositif ATT358.

518. Elle considère enfin que compte tenu de ces éléments, les services d'instruction n'auraient pas suffisamment mis en balance l'intérêt des consommateurs à disposer d'une sollicitation claire et standardisée avec l'intérêt des éditeurs d'applications à tracer les consommateurs359.

ii. Réponse de l'Autorité

519. L'Autorité considère qu'aucun des arguments mis en avant par Apple n'est de nature à établir la nécessité et le caractère proportionné du dispositif ATT.

520. En premier lieu, les éditeurs ne sont pas en mesure, s'ils le souhaitaient, de s'appuyer sur la sollicitation ATT pour se conformer à leurs obligations légales et doivent nécessairement continuer à recourir à leurs propres solutions de recueil du consentement.

521. L'argument avancé par Apple, selon lequel la sollicitation ATT serait nécessaire pour remédier à une défaillance du secteur en matière de protection de la vie privée, apparaît donc particulièrement sujet à caution, dès lors que la mesure mise en œuvre par Apple ne respecte même pas les normes minimales requises par la réglementation pour atteindre cet objectif.

522. En effet, les limitations inhérentes au dispositif ATT unilatéralement définies par Apple imposent aux éditeurs de concevoir a minima une deuxième fenêtre pour recueillir le consentement au traçage publicitaire inter-applications/sites pour se conformer à la réglementation.

523. Comme rappelé ci-avant (voir paragraphe 269 ), dans son avis du 17 décembre 2020, la CNIL a considéré qu'au vu des informations dont elle disposait, le dispositif proposé par Apple permettrait aux éditeurs d'application de recueillir un consentement éclairé, conformément à la réglementation applicable, à condition d'intégrer les informations légalement exigées. La CNIL a notamment souligné que la sollicitation ATT ainsi complétée aiderait les plus petits éditeurs « à se conformer à l'obligation posée par les dispositions de l'article 82 de la loi [Informatique et Libertés] en leur fournissant un outil simple leur permettant de recueillir un consentement valide pour leurs opérations de traçage publicitaire »360.

524. Or, force est de constater que les contraintes imposées par Apple dans la conception et la mise en œuvre de la fenêtre ATT ne permettent toujours pas à l'éditeur d'insérer les informations nécessaires pour recueillir un consentement, ce qui n'est pas contesté par Apple.

525. Dans son avis du 19 mai 2022, la CNIL qualifie le dispositif ATT de « complexité inutile et artificielle », dans la mesure où il conduit les éditeurs à devoir recueillir systématiquement deux fois l'accord de l'utilisateur pour la même finalité, alors même qu'« une amélioration marginale des modalités de paramétrage de la sollicitation ATT ne remettant pas en cause la lisibilité propre à cette fenêtre, de sorte qu'elle puisse être utilisée pour recueillir un consentement valide, permettrait de conserver la protection de l'utilisateur offerte par la sollicitation ATT […] sans présenter l'inconvénient de créer un dispositif complexe et excessif pour l'utilisateur »361 .

526. La conception et les modalités de mise en œuvre de la sollicitation ATT engendrent donc des contraintes excessives qui contredisent les objectifs censés la justifier. Ces contraintes résultent d'un choix délibéré d'Apple qui a renoncé en toute connaissance de cause, à introduire les modifications pourtant marginales préconisées par la CNIL pour y remédier.

527. En deuxième lieu, compte tenu de la responsabilité particulière qui s'impose à Apple du fait de la position dominante qu'elle détient, il lui incombe d'assurer la neutralité de son dispositif, afin de ne pas pénaliser de manière injustifiée un mode de recueil de consentement par rapport à un autre.

528. Or, la conjonction entre les limitations de la fenêtre ATT et les règles de mise en œuvre du dispositif décidées par Apple porte automatiquement atteinte à la neutralité du dispositif, dans la mesure où, si le refus ne doit être effectué qu'une fois, l'acceptation d'une opération de traçage publicitaire doit quant à elle toujours être confirmée une seconde fois par l'internaute.

529. En effet, lorsque l'utilisateur refuse le suivi dans le cadre d'une première fenêtre, l'exigence tenant au recueil d'un consentement univoque interdit qu'il soit immédiatement invité à réitérer son choix362. Il en va en outre ainsi selon la CNIL, même lorsque le refus est exprimé dans le cadre de la sollicitation ATT et ne constitue pas, comme tel, l'expression d'un consentement suffisant au regard du RGPD.

530. La conception et la mise en œuvre de l'ATT compliquent ainsi artificiellement l'acceptation du suivi tiers par rapport au refus, à rebours du souci affiché par Apple de permettre un choix

« effectif et éclairé ». Cette asymétrie est susceptible d'avoir des conséquences négatives, tant pour les utilisateurs que pour les éditeurs d'applications, en particulier ceux qui dépendent de la publicité pour assurer la rentabilité de leur activité (voir paragraphes 547 et suivants).

531. La CNIL souligne sur ce point le risque de « fatigue du consentement » lié à des opérations de suivi publicitaire sur des sites et applications tiers, dans la mesure où ces opérations nécessitent de « solliciter artificiellement l'accord de l'utilisateur deux fois pour une finalité identique ». Si ce risque est traditionnellement associé au fait d'obtenir contre son gré l'accord d'un internaute pour de telles opérations, il peut également jouer pour favoriser leur refus. Rien ne justifie qu'un internaute, qui accepte de donner une autorisation pour le suivi de ses données publicitaires dans le cadre d'une fenêtre ATT, se voie, en raison de la conception de l'ATT décidée par Apple, contraint de confirmer son choix dans le cadre d'une deuxième fenêtre CMP.

532. L'Autorité relève ainsi qu'entre le refus de la collecte de consentement et son acceptation, une option est privilégiée par rapport à une autre, cette circonstance portant atteinte à la neutralité du dispositif et résultant entièrement de choix volontairement et unilatéralement opérés par Apple.

533. Dans ce contexte, et en troisième lieu, le caractère nécessaire et proportionné des contraintes ainsi engendrées par la mise en œuvre de la sollicitation ATT pour les éditeurs, en particulier pour les plus petits d'entre eux, doit s'apprécier au regard du traitement effectué par Apple dans le cadre de sa propre collecte de données.

534. Or sur ce point, l'exigence d'un double consentement des utilisateurs pour les opérations de suivi sur les sites et applications tiers contraste avec l'absence d'information des utilisateurs s'agissant de la collecte effectuée par Apple sur ses propres applications constatées par la CNIL dans sa décision de sanction du 29 décembre 2022363.

535. Jusqu'à la mise en œuvre de l'iOS 15, Apple ne demandait pas le consentement des utilisateurs, cette circonstance ayant conduit la CNIL à lui infliger une sanction pour avoir porté atteinte à l'article 82 de la loi Informatique et Libertés transposant la directive ePrivacy. Dans sa délibération, la CNIL a considéré que lorsqu'Apple a introduit le recueil du consentement à compter de l'iOS 15, la mention « Apple ne suit pas vos activités » affichée dans le cadre de la fenêtre Publicités personnalisées était trompeuse, contrairement à la mention « Apple ne suit pas vos activités sur les apps et les sites d'entreprises tierces », dont l'ajout conduit à ce que cette sollicitation « constitue un mécanisme permettant de recueillir préalablement un consentement valable »364.

536. Cette asymétrie de traitement entre Apple et les éditeurs demeure en outre encore aujourd'hui, dans la mesure où Apple a mis en place une fenêtre « Publicité Personnalisée » unique pour recueillir le consentement des utilisateurs pour sa propre collecte de données, tandis qu'elle continue d'exiger un double consentement pour la collecte de données tierces réalisée par les éditeurs.

537. À cet égard, l'Autorité relève que ce double standard peut sembler contradictoire au regard de l'engagement pour la protection du consentement et de la vie privée qu'Apple affiche auprès des utilisateurs.

538. En effet, les risques induits par le traitement et la collecte de données tierces n'apparaissent pas, en toutes circonstances, supérieurs au risque de combinaison de données par une même entreprise à partir de ses données propriétaires.

539. Si Apple le conteste s'agissant de son propre suivi dans la mesure où elle ne « combine pas de données à travers son écosystème »365, l'instruction a mis en évidence que l'environnement logué proposé par Apple entraîne la collecte et le traitement de données particulièrement fiables et précises, qui permettent une identification quasi-certaine de l'utilisateur, dans la mesure où celui-ci se connecte à un compte qui est supposément personnel. Cette identification peut en outre être effectuée sur plusieurs terminaux366, et ce de façon permanente, contrairement aux cookies et pixels 367. Comme l'a constaté le tribunal judiciaire de Paris368, il n'est en outre pas exclu qu'un nombre significatif de données exploitées par Apple à des fins publicitaires puissent être qualifiées de données à caractère personnel. Dans sa première délibération du 17 décembre 2020, la CNIL avait d'ailleurs rappelé que « selon les termes de la loi, les données peuvent être qualifiées de données à caractère personnel dès lors qu'elles se rapportent à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant (un identifiant publicitaire, par exemple) ou à plusieurs éléments qui lui sont spécifiques »369.

540. À cet égard, la CNIL a d'ailleurs considéré qu'Apple met en place des traitements de données d'une « ampleur considérable » compte tenu de la place prépondérante qu'occupe le système d'exploitation Apple et que les ciblages qu'elle peut proposer aux annonceurs s'appuient sur les centres d'intérêt et les habitudes de vie des personnes370.

541. Dès lors, le fait d'exiger un double recueil de consentement pour les opérations de collecte et de traitement de données tierces apparaît d'autant moins justifié au vu des différences de traitement que cela engendre avec celui que se réserve Apple.

542. Au surplus, l'ATT paraît d'autant moins apte, dans ce contexte, à garantir l'intégrité du consentement des utilisateurs que différents éléments viennent remettre en cause l'existence d'une distinction tranchée entre données propriétaires et données tierces s'agissant des risques pour la vie privée des consommateurs.

543. D'une part, selon la CNIL, les dispositions légales et réglementaires encadrant le recueil du consentement des utilisateurs s'appliquent indistinctement à tout type de suivi. La CNIL n'a en effet jamais opéré de distinction entre données propriétaires et données tierces s'agissant de l'obligation de recueil du consentement des utilisateurs.

544. Les éléments communiqués par Apple371 ne permettent pas de montrer que les consommateurs sont moins soucieux du respect de leur vie privée par un éditeur mobilisant des données propriétaires pour réaliser un ciblage publicitaire que dans le cadre du suivi sur des sites et applications tiers.

545. À titre d'exemple, un sondage réalisé au Royaume-Uni par la société Invisibly indique que 70 % des sondés n'approuvent pas d'être traqués en ligne à des fins publicitaires, sans distinguer entre la collecte de données propriétaires et tierces372. Le sondage proposé par la société Cheetah Digital indique quant à lui que les utilisateurs préfèrent recevoir des publicités ciblées sur les réseaux sociaux à partir de données tierces plutôt que via un agent conversationnel (« chatbot ») ayant accès aux achats passés sur le même site373, la différence d'acceptation étant de 10 points de pourcentage environ374. De même, l'étude de Lin (2021)375 fait référence au partage de données propriétaires avec le fabricant d'une montre connectée, ce qui est différent du suivi tiers.

546. D'autre part, en tout état de cause, la particulière sensibilité des utilisateurs au suivi publicitaire tiers est également contredite par la circonstance que le taux d'acceptation de la fenêtre Publicités personnalisées, qui concerne le suivi propriétaire effectué par Apple, serait, selon les estimations fournies par Apple, proche de 20 % et, comme tel, plus faible que celui de l'ATT376.

c) Les effets défavorables de l'ATT sur les opérateurs du secteur

547. Les éléments du dossier attestent enfin de ce que la mise en œuvre de l'ATT a pénalisé les éditeurs et les intermédiaires du secteur de la publicité sur les terminaux iOS ( i .), Apple n'apportant aucun élément permettant d'informer ce constat ( ii .).

i. L'effet défavorable de l'ATT pour les éditeurs d'applications et les prestataires de services publicitaires

La situation des éditeurs

548. Premièrement, il ressort de l'instruction que le taux de consentement des utilisateurs pour l'exploitation de données à des fins publicitaires tend à être significativement plus faible depuis la mise en œuvre de l'ATT.

549. L'instruction a en effet mis en évidence que les taux de consentement à la CMP des entreprises ayant répondu aux demandes d'informations des services d'instruction se situent entre 65 % et 83 %377. Ces chiffres sont cohérents avec les statistiques fournies par la presse spécialisée378 qui estime ces taux de consentement dans une fourchette de 70 % à 80 % et avec ceux de certains acteurs de la publicité379.

550. Le rapport 2022 du CREDOC relatif à la diffusion des technologies de l'information et de la communication dans la société française réalisé pour le compte de pouvoirs publics380, concluait que sur les sites web et les applications, 65 % des personnes acceptent régulièrement ou systématiquement les cookies. Selon la CNIL, le taux d'acceptation des cookies sur les sites web est de 59 %381. Elle considère qu'il reste élevé et comparable avec celui du baromètre du numérique 2022 réalisé par le CREDOC.

551. À titre de comparaison, selon les informations communiquées aux services d'instruction par les éditeurs, le taux de consentement des utilisateurs à l'ATT était situé entre 35 et 47 % au cours de l'année 2022382. Cette fourchette est inférieure aux taux de consentement constatés pour les CMP, et correspond aux chiffres observés par des sources externes concernant le taux d'acceptation de l'ATT, qui serait inférieur à 50 %383.

552. Par ailleurs, sur la période 2019-2022, le taux de partage de l'IDFA a nettement chuté à compter de la mise en œuvre de l'ATT en mai 2021384. DMG Media a indiqué que pour le DailyMail la disponibilité de l'IDFA était passée aux mois de mai et juin 2021 de 68 % à 33 %, suivie d'une baisse de quelques points de pourcentage supplémentaires au cours des six mois suivants385. Ainsi, à la date des réponses, en octobre 2022, la disponibilité moyenne de l'IDFA était de 27 % pour toutes les demandes d'annonces386. Le taux de partage de l'IDFA a d'autant plus chuté que l'IDFA n'est disponible qu'à la condition que l'utilisateur ait donné son consentement de manière cumulative à l'ATT et à la CMP. Ceci explique que le taux de disponibilité de l'IDFA est plus faible que le taux de consentement à l'ATT.

553. À cet égard, l'Autorité relève que les effets des refus exprimés via l'ATT sont d'autant plus significatifs qu'ils tendent à être permanents. En effet, si les éditeurs de sites web et d'applications mobiles demandent régulièrement aux internautes l'autorisation de collecter leurs données à des fins publicitaires via leur CMP, l'ATT n'est généralement affichée qu'une seule fois, et les utilisateurs doivent aller dans les réglages de leurs terminaux pour modifier leur choix.

554. En outre, l'instruction relève également que l'introduction de l'ATT est susceptible d'affecter diversement les éditeurs, selon notamment qu'ils disposent ou non de données propriétaires conséquentes et en fonction de leur degré de leur dépendance à la publicité pour faire connaître leur produit et se financer. Or ces facteurs sont de nature à pénaliser plus sévèrement les plus petits éditeurs387.

555. Deuxièmement, de nombreux éditeurs ont fait état d'un impact négatif de l'ATT sur leur activité.

556. Certains éditeurs de grande taille, en particulier, ont déclaré dans leurs rapports communiqués au régulateur boursier américain (Security Exchange Commission, ci-après

« SEC ») au titre de l'année 2022, que la mise en œuvre de l'ATT a eu des effets négatifs sur l'accès aux données et leurs capacités de traçage, utilisées notamment pour le ciblage, les prix des publicités, les coûts des éditeurs et la demande de publicités non liées aux recherches. Ces déclarations confirment celles faites par les éditeurs, dans le cadre de l'instruction, sur l'importance de l'IDFA et des identifiants comparables pour la vente et la commercialisation des espaces publicitaires des éditeurs d'applications mobiles.

557. D'une part, plusieurs des principaux médias sociaux ont souligné les effets de l'ATT sur leur activité publicitaire. À cet égard, l'Observatoire de l'e-pub indique qu'en 2022, le « social affiche une croissance plus modérée (+ 10 % vs+22 %), notamment à cause de l'impact d'Apple ATT »388.

558. Pinterest affirme à ce titre dans son rapport à la SEC pour l'année 2022 que l'ATT affecte sa capacité à suivre les actions des utilisateurs en dehors de sa plateforme et à relier leurs interactions à la publicité sur la plateforme. Elle estime qu'il est plus difficile de fournir les publicités les plus pertinentes à ses utilisateurs, de mesurer l'efficacité de la publicité sur sa plateforme, de la cibler et de l'optimiser. Selon elle, cela peut avoir pour conséquence que les annonceurs dépensent moins ou pas du tout sur sa plateforme et préfèrent des plateformes plus importantes comme Facebook et Google qui ont plus de possibilités pour aider les annonceurs à mesurer leurs conversions389.

559. Snap considère que la mise en œuvre de l'ATT a eu un impact négatif sur ses capacités de ciblage, de mesure et d'optimisation et, par conséquent, sur sa capacité à cibler les publicités et à mesurer leur efficacité. Selon elle, l'ATT a entraîné, et continuera probablement d'entraîner, une baisse de la demande et des prix de ses produits publicitaires, ce qui pourrait nuire gravement à ses activités390.

560. Meta391 soutient enfin que la baisse du prix moyen par publicité a été influencée par une réduction de la demande de publicité, qui serait principalement due à une réduction des dépenses en raison d'un environnement macroéconomique plus difficile et des limitations de ses outils de ciblage et de mesure découlant des changements apportés à l'iOS et à l'environnement réglementaire. Elle considère392, comme Twitter393, que l'ATT réduit leur capacité et celle d'autres développeurs iOS à cibler et à mesurer la publicité, ce qui a eu un impact négatif et continuera à avoir un impact négatif sur l'ampleur des budgets que les annonceurs et agences sont prêts à engager sur sa plateforme et d'autres plateformes publicitaires.

561. D'autre part, les éditeurs actifs dans d'autres secteurs que les médias sociaux ont également souligné les effets négatifs de l'ATT dans leur rapport à la SEC pour l'année 2022.

562. Match Group, qui édite une dizaine de services, en particulier de rencontres394, a par exemple déclaré à la SEC que l'ATT a affecté, et pourrait continuer d'affecter son offre de services publicitaires. Selon elle, la capacité des annonceurs à cibler et à mesurer avec précision l'efficacité de leurs campagnes publicitaires au niveau de l'utilisateur a été limitée et elle a dû faire face à une augmentation du coût par enregistrement395.

563. Bumble, qui édite également une application de rencontres, considère que sa capacité à cibler, suivre et mesurer avec précision ses campagnes publicitaires au niveau de l'utilisateur est devenue limitée et pourrait le devenir davantage, et qu'elle pourrait connaître des augmentations du coût par enregistrement et/ou des diminutions du retour sur investissement des dépenses publicitaires396.

564. Dans plusieurs autres secteurs, des entreprises ont également déclaré à la SEC que la mise en œuvre de l'ATT a entraîné des effets sur leurs activités publicitaires.

565. C'est le cas des fournisseurs de services audiovisuels Entravision Communications397 et iHeartMedia398. Ils soulignent les effets potentiels de l'ATT sur les revenus du fait en particulier d'une baisse de la qualité de la publicité ciblée. L'éditeur de jeux de casino SciPlay déclare quant à lui que la mise en œuvre de l'ATT aboutit à une diminution de la quantité et de la qualité des données, et souligne les effets négatifs sur leur capacité à vendre de la publicité ciblée, l'augmentation des coûts pour acquérir de nouveaux utilisateurs et la diminution du retour sur investissement de la publicité399. Yelp déclare également que l'ATT affecte négativement sa capacité de ciblage et de mesure des campagnes publicitaires400.

566. L'ensemble de ces éléments atteste que le dispositif ATT a pénalisé la commercialisation des applications mobiles au détriment des éditeurs et des consommateurs.

La situation des fournisseurs de services publicitaires aux éditeurs et aux annonceurs

567. La mise en œuvre de l'ATT a engendré des conséquences préjudiciables pour l'activité de plusieurs catégories de fournisseurs de services publicitaires aux éditeurs et aux annonceurs.

568. En premier lieu, plusieurs fournisseurs de services d'intermédiation pour les éditeurs ont déclaré que la mise en œuvre de l'ATT avait eu pour effet ou était de nature à diminuer leur capacité à faire de la publicité ciblée.

569. Index Exchange, l'une des principales SSP actives sur le marché de l'intermédiation publicitaire pour les éditeurs401, a indiqué que l'ATT a entraîné un déclin des autorisations données par les utilisateurs pour la collecte et le traitement de l'IDFA en particulier. Selon elle, dès lors qu'elle « reçoit les IDFA dans le Flux de données, celui-ci est automatiquement inclus dans les Bid Requests adressés aux partenaires. Le fait d'inclure un IDFA augmente la probabilité qu'IX reçoive une Bid Response de la part de DSP souhaitant servir une Publicité à un Utilisateur. IX observe une corrélation directe entre l'inclusion de l'IDFA et sa capacité à faciliter la fourniture de Publicités ciblées. IX peut confirmer que les changements opérés ci-avant par Apple, ont directement impacté son service. D'avril 2021 à la mi-août 2021 (soit sur une période de 4 mois environs), IX a constaté une chute de 40 % des Requêtes Éditeurs provenant d'équipements Apple et incluant l'IDFA. Si cette tendance se poursuit, IX anticipe une perte de 2,1 millions de Dollars américains dans les investissements publicitaires annuels réalisés via la Plateforme depuis des équipements Apple, entraînant par conséquent une baisse proportionnelle des Commissions pour IX »402. Les données communiquées par Index Exchange au mois de septembre 2022 confirment le niveau significatif de la diminution des impressions avec un IDFA403.

570. Selon Magnite, qui est un concurrent direct d'Index Exchange, « la réduction de la fréquence de l'IDFA pour les transactions basées sur les applications iOS ou la disponibilité de cookies tiers dans les transactions web basées sur Safari peut entraîner une réduction de la valeur pour l'annonceur et donc une réduction des revenus pour le développeur d'applications/le propriétaire du site web »404. OpenX, qui exploite également une SSP et un Ad Exchange, a déclaré que les effets de la mise en œuvre de l'ATT ont été visibles à partir du troisième trimestre de 2021 et que les dépenses publicitaires sur les terminaux iOS ont diminué de 50 % au troisième trimestre de 2021 par rapport au deuxième trimestre de 2021. Selon elle, la diminution est d'autant plus « dramatique » qu'historiquement, les dépenses publicitaires augmentent d'un trimestre à l'autre405. L'Ad Exchange Yieldmo explique que le lancement d'ATT a rendu le trafic des applications des appareils Apple moins attractif pour les annonceurs et constate que les annonceurs adoptent les nouvelles stratégies de mesure et de ciblage des publicités (telles que SKAN)406. Elle estime que l'ATT a rendu son offre moins attractive au profit de plateformes qui ont des capacités de traçage inhérentes telles que Google, Meta et Apple407.

571. Teads, dont l'offre permet de commercialiser les inventaires sans identifiant, note également un taux de remplissage nettement plus faible des inventaires en cas d'absence d'identifiant.


572. Admax, qui fournit des services d'intermédiation publicitaire aux éditeurs a indiqué que

« [l]a mise en œuvre de l'ATT a eu des conséquences négatives sur le niveau de revenus tirés sur iOS par nos applications mobiles clientes. […]

Nous observons ainsi :

• une part importante des requêtes publicitaires sur iOS qui partent sans IDFA

• Une baisse des prix de vente des espaces publicitaires sur iOS

• Une baisse des achats en volume des espaces publicitaires sur iOS

• Et donc au global une baisse des revenus publicitaires sur iOS Dans le même temps sur Android :

• Une hausse des prix de vente des espaces publicitaires sur Android

• Une hausse des revenus publicitaires sur Android

Il y a donc eu un report partiel des investissements depuis iOS sur Android mais malheureusement la hausse des revenus sur Android n'a pas compensé la perte sur iOS »409.

573. En second lieu, du côté de la demande des annonceurs, la DSP Mediamath soutient que la mise en œuvre du dispositif ATT par Apple a réduit l'inventaire publicitaire disponible et limité la sélection d'inventaires disponible pour ses clients. Ce changement a réduit la capacité de MediaMath à servir ses clients avec une sélection variée d'inventaires publicitaires et donc affecté négativement son offre de services410.

574. La DSP Mobsuccess a également indiqué que « l'implémentation d'ATT a eu un impact négatif sur notre activité qui le sera davantage dans le futur. Le fait de ne pas posséder de données propriétaires comme les GAFA nous oblige à travailler en collaboration avec différents fournisseurs qui sont directement impactés par l'implémentation d'ATT au sein des appareils iOS »411.

575. Dans sa réponse, Criteo indique que son activité sur iOS a diminué à la suite de la mise en place de l'ATT en avril 2021. Plusieurs mesures sont proposées et concluent toutes à une baisse. La figure ci-dessous se concentre sur le nombre d'impressions intermédiées par Criteo. Sur la base de ces données, on observe une baisse de 61 % du nombre d'impressions sur iOS entre février et août 2021, alors que ce nombre est en hausse de 5 % sur Android et stable pour le web.



576. Des acteurs de taille plus réduite ont également souligné les effets de l'ATT sur leur activité. Addict Mobile a indiqué qu'elle a « parfois perdu des budgets clients qui se sont réduits car nos clients ne peuvent plus traquer leurs performances comme avant »413. Adikteev, qui fournit notamment des services de reciblage aux éditeurs d'applications mobiles, a indiqué que la « décision d'imposer "App Tracking Transparency” (ATT) aux éditeurs d'applications a mis en péril une partie du business d'Adikteev. […] Depuis la mise en place effective de l'ATT et le déploiement des versions iOS14.5+, le chiffre d'affaires iOS d'Adikteev a diminué de 67 %, alors que le chiffre d'affaires Android a continuer [sic] à croître de +47 % »414.

577. Ad4Screen a indiqué que « certains annonceurs ont décidé de limiter les investissements publicitaires sur application car ils estiment qu'il y avait trop d'incertitudes sur le tracking des campagnes publicitaires : baisse de notre chiffre d'affaires sur ces derniers »415. La perte d'activité des acteurs de taille réduite est à opposer aux « acteurs ayant leur propre "écosystème" de données [qui] pourront donc tirer leur épingle du jeu et renforcer leur offre sans utiliser l'IDFA ou les cookies » comme le souligne Ad4Screen416 en citant l'exemple de Meta et de Google qui peuvent suivre le parcours d'un utilisateur après que ce dernier voit une publicité.

578. Enfin, plusieurs fournisseurs de services de mesure de l'efficacité des campagnes ont également souligné les effets de l'ATT sur leur activité.

579. Appsflyer a indiqué qu'en « raison de l'ATT, les MMP ont dû investir des ressources importantes pour tenter de continuer à fournir une valeur ajoutée aux clients malgré les limitations introduites par Apple »417. Elle a souligné que SKAN « n'est devenu vraiment pertinent qu'après l'ATT, car il s'agissait du seul moyen de mesurer avec une précision déterministe sans le consentement de l'utilisateur final. Afin de recevoir des informations traditionnellement fournies par les MMP indépendants, les développeurs d'applications ne peuvent désormais obtenir ces informations que par le biais d'Apple. Étant donné que les politiques d'Apple s'étendent au-delà des applications obtenant le consentement exclusivement pour l'IDFA, les MMP ne sont pas non plus en mesure d'utiliser d'autres données qui peuvent être légalement collectées par une application afin de procéder à des mesures mobiles. Au lieu de cela, les développeurs d'applications/services de mesure mobiles sont tenus de s'inscrire auprès du SKAdnetwork et de recevoir les informations collectées et analysées uniquement par Apple après qu'Apple les a « nettoyé » des propriétés identifiables de manière unique afin de fournir aux clients des rapports de mesure »418. Elle a ajouté que « SKAdnetwork compromet les efforts des MMP pour empêcher la fraude publicitaire. Un rôle clé des services de mesure mobiles est d'identifier les activités publicitaires frauduleuses, notamment à partir d'actions non-humaines. Afin d'identifier ces actions, les services de mesure mobiles ont besoin d'informations précises provenant des appareils et de la capacité de supprimer les potentiels mauvais acteurs. En forçant toutes les applications à partager des données avec Apple et à « anonymiser » tous les attributs via le SKAdnetwork, la capacité des services de mesure mobiles à détecter la fraude publicitaire a été entravée »419.

580. Chartboost explique que « ATT et SKadnetwork ont changé la capacité de Chartboost à gérer correctement l'attribution. L'utilisation de SKadnetwork a considérablement réduit l'efficacité de la collaboration avec les MMP, avec lesquels Chartboost a passé la dernière décennie à construire/intégrer des solutions d'attribution. L'implémentation de SKadnetwork dans la plateforme de Chartboost a nécessité un an d'efforts de la part des équipes d'ingénierie et de produits de Chartboost - pour un résultat moins efficace »420.

581. S4M a déclaré que s'agissant « de l'impact chiffré actuel, nous constatons qu'actuellement, iOS14 représente 53 % des inventaires publicitaires provenant d'appareils Apple et 19 % de l'ensemble des inventaires publicitaires que nous recevons. Nous nous attendons évidemment à ce que ces chiffres continuent d'augmenter. Nous avons également constaté une diminution du nombre d'inventaires iOS comportant l'IDFA et la géolocalisation. Nous n'obtenons plus que 31 % de ce type d'inventaires contre encore 48 % en avril. »421

582. Ogury, qui fournit des services de collecte et d'exploitation de données pour les annonceurs, et qui utilise l'IDFA non pour le ciblage mais pour la mesure de performances des campagnes, estime que depuis « le déploiement de l'iOS 14 et le lancement d'ATT, nous n'avons plus accès qu'à 30 % des IDFA des utilisateurs Apple nous obligeant à développer en interne d'autres techniques d'identification compatibles avec les nouvelles mesures d'Apple dans un délai très court et sans garantie de résultat et de performance »422. Elle a en outre indiqué que dans le cadre de la fourniture de ses services, les requêtes publicitaires avec l'IDFA sont passées de 35 % au mois de septembre 2021 à 10 % au mois de juin 2022423.

583. L'impact des pratiques sur l'offre d'intermédiation de certains acteurs est de nature à produire plusieurs effets.

584. Premièrement, les acteurs de l'intermédiation voient leur capacité à offrir certains services de ciblage et d'attribution diminuer, entraînant une perte de diversité de l'offre de services publicitaires pour les éditeurs et les annonceurs, ainsi qu'une difficulté accrue pour mettre en relation l'offre et la demande d'espace publicitaire. La concurrence est susceptible d'être faussée dès lors que les acteurs de taille importante disposant d'un écosystème sont moins affectés que les acteurs de taille réduite.

585. Deuxièmement, les possibilités, pour un éditeur d'application sans données propriétaires, de faire appel à un intermédiaire pour monétiser son inventaire avec de la publicité ciblée deviennent plus limitées par rapport à un éditeur d'application disposant de données propriétaires ou un éditeur dont l'inventaire publicitaire permet la mise en place d'un ciblage contextuel. À titre d'exemple, CMI met en avant que l'ATT a eu un impact différencié selon la thématique du magazine et, ce faisant, affecte la capacité à vendre un inventaire sans avoir recours à des ventes programmatiques424.

586. Troisièmement, certaines données qui doivent de facto être collectées auprès de tiers, deviennent indisponibles pour tous les acteurs du marché. Il peut s'agir des données d'utilisation et d'achat des applications. Au-delà des difficultés de mesure de la performance que la perte de ces données est susceptible d'engendrer, les pratiques rendent alors plus difficile de proposer un ciblage en fonction du temps d'utilisation, ou de la propension des utilisateurs à réaliser des achats in-app.

587. Si certains acteurs comme Meta peuvent donc toujours concurrencer Apple en s'appuyant sur leurs données propriétaires, ils n'en subissent pas moins, potentiellement, un désavantage par rapport à Apple quant aux données de consommation sur iOS.

ii. Apple ne produit aucun élément de nature à remettre en cause les conséquences défavorables de l'ATT

588. Apple soulève plusieurs arguments démontrant, selon elle, l'absence de conséquences préjudiciables de l'ATT pour les éditeurs et les prestataires de services publicitaires425. Elle souligne à ce titre notamment que le taux d'acceptation moyen de l'ATT serait proche de [50-60] %426 et avance que l'industrie de l'Ad Tech s'est adaptée au dispositif et affiche une forte croissance427. Elle affirme également qu'il n'y aurait « aucun signe d'une élévation du niveau des barrières à l'entrée ou d'appauvrissement de la qualité et de la diversité de l'offre des applications »428. Enfin Apple soutient que tout effet entraîné par l'ATT proviendrait en tout état de cause du choix des consommateurs et non du dispositif lui-même.

589. Aucun de ces arguments n'emporte la conviction.

590. En premier lieu, même en acceptant l'argument d'Apple selon lequel le taux d'acceptation de l'ATT serait proche de [50-60] %429 – et comme tel plus élevé que ne le suggèrent les déclarations des plaignants430 – il demeure en tout état de cause assez largement inférieur au taux d'acceptation de la CMP tel que rappelé au paragraphe 551 ci-avant.

591. Dans ces circonstances, l'effet défavorable de la sollicitation ATT pour les éditeurs évoqué ci-avant, en particulier les plus petits d'entre eux, ne fait guère de doute.

592. En deuxième lieu, cet effet résulte, comme rappelé aux paragraphes 528 et suivants, non pas du choix des consommateurs431, mais bien des règles unilatéralement édictées par Apple concernant la conception de l'ATT et sa mise en œuvre.

593. En troisième lieu, les arguments d'Apple soulignant que le secteur se serait « adapté au changement de paradigme concernant la protection de la vie privée »432, n'emportent pas la conviction.

594. Premièrement, Apple justifie essentiellement cette affirmation en regard de la situation de grands acteurs tels que Google, Amazon, Meta, TikTok, YouTube, M6, TF1, CANAL+ et France Télévisions433, qui n'auraient pas été négativement impactés et ont continué à croître après l'introduction du dispositif ATT434. En revanche, les plus petits éditeurs sont regroupés dans une même catégorie « autres » sans davantage de précision.

595. Or, cette approche revêt une portée limitée dès lors que la mise en œuvre de l'ATT a nécessairement produit des effets hétérogènes en fonction de la capacité des entreprises à disposer d'une méthode de ciblage alternative : pour les raisons exposées aux paragraphes 47 à 65 ci-avant, l'impact de la mise en œuvre de l'ATT a pu être très variable selon l'éditeur d'applications.

596. Ainsi, d'une part et comme expliqué ci-avant, l'ATT a affecté différemment les éditeurs selon qu'ils disposent ou non de données propriétaires.

597. Deezer, par exemple, a indiqué que « nous disposons de data first party loguée qui nous permet de maintenir nos prix et nous vendons principalement en direct ou via des deals programmatiques. Notre cas est spécifique dans la mesure où nous sommes une plateforme de streaming musical avec une audience loguée à 100%. […] Encore une fois, le fait que nous disposions d'une data first party loguée nous permet d'identifier précisément nos utilisateurs qui ont consenti à la CMP et de n'être pas dépendant de l'IDFA »435.

598. À l'inverse, et comme déjà exposé, en tant qu'éditeur disposant d'un nombre plus limité de données propriétaires, CMI436 a expliqué que l'ATT a eu un impact différencié selon la thématique du magazine et ce faisant sur la capacité à vendre un inventaire sans avoir recours à des ventes programmatiques.

599. Enfin, l'impact le plus important est observé pour les applications dépendantes d'un intermédiaire pour commercialiser leurs inventaires. Ainsi, Teads met en avant un remplissage plus faible des inventaires quand il doit commercialiser ses derniers sans identifiant437.

600. D'autre part, les éléments du dossier indiquent que l'ATT impacte différemment les éditeurs d'applications en fonction de leur besoin de recourir à la publicité pour faire connaître leur produit438 sur la face annonceurs du marché de la publicité.

601. Dans un article récent, Aridor et al (2024)439 soulignent que les entreprises les plus dépendantes de Meta pour faire connaître leur produit ont vu leurs recettes chuter de 39,4 %, particulièrement à cause de la baisse des nouvelles acquisitions de clients, l'effet final dépendant de la capacité de l'annonceur à se reporter vers une autre plateforme publicitaire telle que celle de Google.

602. Deuxièmement, et en tout état de cause, la circonstance que des opérateurs aient pu s'adapter à l'introduction de l'ATT est sans emport sur le caractère défavorable du dispositif. En effet, cette adaptation, à la supposer avérée (quod non) atteste simplement de la résilience des acteurs du secteur face à une contrainte ayant affecté leur situation et ne renseigne en rien sur la situation qui aurait prévalu en l'absence de l'ATT.

603. En dernier lieu, la même remarque vaut s'agissant de l'argument d'Apple tenant à ce que le dispositif ATT n'aurait ni appauvri la qualité et la diversité de l'offre d'applications, ni élevé de barrières à l'entrée440.

604. Il résulte de l'ensemble des éléments exposés ci-avant que l'ATT a engendré des conséquences défavorables pour les éditeurs et les intermédiaires de l'Ad Tech.

605. Ces différents opérateurs étant, comme rappelé au paragraphe 422 ci-avant, actifs sur des marchés publicitaires présentant un lien de connexité avec le marché de la distribution d'applications mobiles sur les terminaux iOS sur lequel Apple est en position dominante, sa responsabilité est dès lors engagée au titre de l'article 102 du TFUE441.

d) Sur l'absence de justifications objectives

606. Un comportement susceptible d'être abusif peut échapper à l'interdiction énoncée à l'article 102 du TFUE lorsque l'entreprise dominante peut démontrer à suffisance qu'un tel comportement est objectivement justifié.

607. Cette condition implique, soit que le comportement est objectivement nécessaire pour atteindre un objectif légitime (lequel peut être de nature commerciale442 ou tenir à la qualité des produits443), soit qu'il produit des gains d'efficacité qui contrebalancent l'effet négatif dudit comportement sur la concurrence, voire l'emportent sur ledit effet444.

608. Par ailleurs, dans les deux cas, l'entreprise dominante doit démontrer que les effets résultant de son comportement sont proportionnés à l'objectif445 ou aux gains d'efficience avancés446, cette condition n'étant pas remplie lorsque le même objectif pourrait être atteint par des moyens moins restrictifs de la concurrence447.

609. Apple considère que ces conditions sont remplies en l'espèce et formule à ce titre plusieurs critiques à l'endroit de l'analyse des services d'instruction.

610. Elle reproche aux services d'instruction de l'avoir « contrainte » à établir à suffisance les gains d'efficience de la sollicitation ATT, de même que sa nécessité et proportionnalité au stade de la qualification de l'infraction alléguée et, d'avoir, ce faisant, « renversé la charge de la preuve »448.

611. Elle fait en outre valoir que le dispositif ATT permet des gains d'efficience en répondant de manière efficace à une demande du marché à l'origine d'un « nouveau paramètre de concurrence »449 et souligne que le dispositif ATT a été salué par les associations de consommateurs comme par les autorités française et italienne de protection des données personnelles450. Elle avance également que la sollicitation ATT est nécessaire et proportionnée451.

612. L'Autorité relève en premier lieu que le reproche tenant à une inversion de la charge de la preuve par les services d'instruction procède d'une mauvaise interprétation des principes jurisprudentiels applicables rappelés supra.

613. Il ressort en effet de ces principes que l'examen des critères de nécessité et de proportionnalité permet non pas de justifier mais bien d'établir le caractère inéquitable ou non de pratiques dans le cadre de l'article 102 du TFUE.

614. À cet égard, en second lieu, l'Autorité a constaté que la conception et la mise en œuvre de la sollicitation ATT n'étaient ni nécessaires ni proportionnées eu égard aux objectifs mis en avant par Apple, dans la mesure, notamment, où elles compliquent excessivement le parcours des utilisateurs d'applications tierces et faussent la neutralité du dispositif.

615. Cette appréciation conduit nécessairement à exclure toute justification objective du dispositif, conformément au principe rappelé au paragraphe ci-avant.

616. Cette exclusion s'impose de plus fort dans la mesure où les modifications marginales suggérées par la CNIL auraient permis à Apple d'atteindre les objectifs poursuivis par la sollicitation ATT, sans nécessairement remettre en cause le principe même du recours à une fenêtre de recueil de consentement utilisant des formulations simples et standardisées. À cet égard, la CNIL relève que ces modifications marginales « permettrait de conserver la protection offerte à l'utilisateur par la sollicitation ATT […] sans présenter l'inconvénient de créer un dispositif complexe et excessif pour l'utilisateur »452.

617. Sur ce point, l'Autorité relève s'agissant de l'argument d'Apple tenant à l'accroissement du niveau de protection de la vie privée des utilisateurs permis par la sollicitation ATT, que l'ATT n'a pas pour objet de permettre aux éditeurs de se conformer à leurs obligations réglementaires, mais s'ajoute aux dispositifs de protection de la vie privée permettant aux éditeurs de s'y conformer. Apple elle-même ne prétend d'ailleurs pas que l'ATT est conçue pour recueillir un consentement valable au sens de la règlementation, ce que la CNIL a confirmé dans son second avis daté du 19 mai 2022453.

618. Cette circonstance est pertinente pour apprécier le caractère proportionné de l'ATT dans la mesure où, si Apple est libre d'édicter des règles de protection des consommateurs supplémentaires à celles imposées par la réglementation, c'est à condition, compte tenu de la responsabilité particulière qui lui incombe en tant qu'opérateur dominant, de concilier cet objectif légitime avec le respect du droit de la concurrence.

619. En définitive, la mise en conformité de la fenêtre ATT avec le droit de la concurrence n'aurait pas conduit Apple à dégrader l'efficacité de son dispositif de protection de la vie privée. Si elle décide de maintenir son dispositif ATT, il lui appartiendra d'opérer les modifications permettant d'éviter les inconvénients résultant des limitations du dispositif dans sa forme actuelle, le cas échéant en concertation avec les autorités compétentes.

F. SUR L'IMPUTABILITÉ

1. Rappel de principes

a) Sur l'imputabilité d'une pratique à une unité économique

620. Il résulte d'une jurisprudence constante que les articles 101 et 102 du TFUE ainsi que les articles L. 420-1 et L. 420-2 du code de commerce se rapportent aux infractions commises par des entreprises. La notion d'entreprise et les règles qui découlent de cette notion, en vertu desquelles le comportement d'une société peut être imputé à une autre société, notamment à sa société mère, relèvent des règles matérielles du droit de la concurrence de l'Union. L'interprétation qu'en donnent les juridictions de l'Union s'impose donc à l'autorité nationale de concurrence et aux juridictions nationales lorsqu'elles appliquent les articles 101 et 102 du TFUE parallèlement aux règles de concurrence internes454.

621. La notion d'entreprise au sens de la jurisprudence de l'Union désigne toute entité qui exerce une activité économique, indépendamment de son statut juridique et de son mode de financement455. Elle doit être comprise comme désignant une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales456. C'est cette entité économique qui doit, lorsqu'elle enfreint les règles de concurrence, répondre de cette infraction conformément au principe de responsabilité personnelle457. La jurisprudence de l'Union précise que pour la mise en œuvre de cette responsabilité, il convient d'imputer l'infraction sans équivoque à une personne juridique qui sera susceptible de se voir infliger des amendes et à laquelle les griefs doivent être communiqués.

b) L'imputabilité en cas de transformation des entreprises

622. Selon une jurisprudence constante, tant que la personne morale responsable de l'exploitation de l'entreprise qui a mis en œuvre des pratiques anticoncurrentielles subsiste juridiquement, elle doit être tenue pour responsable de ces pratiques. Si cette personne morale a changé de dénomination sociale ou de forme juridique, elle n'en continue pas moins de répondre de l'infraction commise458.

623. En revanche, lorsque la personne morale responsable de l'exploitation de cette entreprise a cessé d'exister juridiquement, les pratiques doivent être imputées à la personne morale à laquelle l'entreprise a juridiquement été transmise, c'est-à-dire celle qui a reçu les droits et obligations de la personne auteur de l'infraction et, à défaut d'une telle transmission, à celle qui assure en fait sa continuité économique et fonctionnelle459.

624. En droit national, il est par ailleurs considéré que « tant que la personne morale responsable de l'exploitation de l'entreprise qui a mis en œuvre des pratiques anticoncurrentielles subsiste juridiquement, c'est elle qui assume la responsabilité de ces pratiques, même si les éléments matériels et humains ayant concouru à ces pratiques ont été cédés à une tierce personne »460.

c) Sur l'imputabilité au sein d'un groupe de sociétés

625. En droit interne comme en droit de l'Union, au sein d'un groupe de sociétés, le comportement d'une filiale peut être imputé à la société mère lorsque, bien qu'ayant une personnalité juridique distincte, cette filiale ne détermine pas de façon autonome son comportement sur le marché, mais applique pour l'essentiel les instructions qui lui sont données par la société mère, eu égard aux liens économiques, organisationnels et juridiques qui unissent ces deux entités461.

626. Selon une jurisprudence bien établie, lorsqu'une société mère détient, directement ou indirectement par le biais d'une société interposée, la totalité ou la quasi-totalité du capital de sa filiale auteure d'un comportement infractionnel, il existe une présomption selon laquelle cette société mère exerce une influence déterminante sur le comportement de sa filiale. Dans cette hypothèse, il suffit pour l'autorité de concurrence de rapporter la preuve de cette détention capitalistique pour imputer à la société mère le comportement de la filiale auteure des pratiques. Il est possible à la société mère de renverser cette présomption en apportant des éléments de preuve qui démontrent qu'au contraire, sa filiale détermine de façon autonome sa ligne d'action sur le marché. Si la présomption n'est pas renversée, l'autorité de concurrence sera en mesure de tenir la société mère solidairement responsable du paiement de la sanction infligée à sa filiale462.

2. Application au cas d'espèce

627. Il a été démontré que les pratiques ont été mises en œuvre entre le 26 avril 2021 et le 25 juillet 2023 par les sociétés Apple Distribution International Limited (ADI) et Apple Inc., auteures.

628. Du 26 avril 2021 au 1er avril 2023, la totalité du capital d'ADI était détenu par Apple Opérations Europe Limited (ci-après « AOE ») société de droit irlandais, dont le capital était détenu à 100 % par Apple Opérations international Limited (ci-après « AOI »), société de droit irlandais, filiale à 100 % d'Apple Inc.

629. Selon les informations communiquées par Apple, un changement dans l'organisation du groupe est intervenu [confidentiel]463.

630. Par conséquent, en application des principes rappelés ci-dessus, les pratiques seront imputées pour l'ensemble de la période à AOI et à Apple Inc., en qualité de sociétés mères présumées avoir exercé une influence déterminante sur ADI. Les pratiques ne seront pas imputées à AOE, qui a cessé juridiquement d'exister à la date de la présente décision.

631. Apple ne formule pour sa part aucune contestation sur l'imputabilité.

G. SUR LA SANCTION

1. Sur l'adoption d'une méthode forfaitaire

632. Les dispositions du I de l'article L. 464-2 du code de commerce et de l'article 5 du règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002464 habilitent l'Autorité à infliger une sanction pécuniaire aux entreprises et aux organismes qui se livrent à des pratiques anticoncurrentielles interdites par les articles L. 420-2 du code de commerce, ainsi que par l'article 102 du TFUE.

633. Le troisième alinéa du I de l'article L. 464-2 précité prévoit que « [l]es sanctions pécuniaires sont appréciées au regard de la gravité et de la durée de l'infraction, de la situation de l'association d'entreprises ou de l'entreprise sanctionnée ou du groupe auquel l'entreprise appartient et de l'éventuelle réitération de pratiques prohibées par le présent titre. Elles sont déterminées individuellement pour chaque entreprise ou organisme sanctionné et de façon motivée pour chaque sanction. »

634. Aux termes du quatrième alinéa du I du même article, « le montant maximum de la sanction est, pour une entreprise, de 10 % du montant du chiffre d'affaires mondial hors taxes le plus élevé réalisé au cours d'un des exercices clos depuis l'exercice précédant celui au cours duquel les pratiques ont été mises en œuvre. » Le chiffre d'affaires pris en compte est celui figurant, le cas échéant, dans les comptes consolidés ou combinés de l'entreprise consolidante ou combinante.

635. L'Autorité apprécie les critères légaux rappelés ci-avant selon les modalités décrites dans son communiqué du 30 juillet 2021 relatif à la méthode de détermination des sanctions pécuniaires, mis à jour le 15 novembre 2021 (ci-après « le communiqué sanctions »). Ce dernier rappelle que « la loi confère à l'Autorité un large pouvoir d'appréciation lui permettant de déterminer au cas par cas, en vertu de l'exigence légale d'individualisation et conformément au principe de proportionnalité, les sanctions pécuniaires qu'elle prononce en application des critères prévus par le I de l'article L. 464-2 [précité]. »465

636. Si le communiqué sanctions décrit une « méthode cohérente qui guide la détermination des sanctions pécuniaires que l'Autorité impose », il précise que celle-ci « peut toutefois, après une analyse globale des circonstances particulières de l'espèce, notamment au regard des caractéristiques des pratiques en cause, de l'activité des parties concernées et du contexte économique et juridique de l'affaire, ou pour des raisons d'intérêt général, décider de s'en écarter, en motivant ce choix »466.

637. Les circonstances de l'espèce conduisent l'Autorité à ne pas appliquer la méthode décrite dans le communiqué sanctions. Son application aurait en effet pour conséquence de fixer une sanction non proportionnée à la gravité des faits et ne reflétant manifestement pas de façon appropriée l'ampleur économique de l'infraction ou le poids d'Apple dans le secteur.

638. En effet, afin de proportionner l'assiette de la sanction pécuniaire à l'ampleur économique des infractions en cause et au poids relatif, sur les secteurs ou marchés concernés, des entreprises qui y ont participé, le communiqué sanctions prend pour référence la valeur des ventes, c'est-à-dire la « valeur de l'ensemble des catégories de produits ou de services en relation directe ou indirecte avec l'infraction (…) vendues par l'entreprise » durant le dernier exercice comptable de participation à l'infraction467.

639. En l'espèce, les pratiques ont été mises en œuvre sur le marché de la distribution d'applications mobiles sur les terminaux iOS. Au regard de son fonctionnement et de ses finalités, le dispositif ATT fait partie intégrante de l'App Store depuis avril 2021 et constitue une contrainte incontournable pour les développeurs d'applications. À ce titre, comme il a été exposé aux paragraphes 422 et suivants, la mise en œuvre de l'ATT a constitué une nouvelle contrainte sur plusieurs des marchés publicitaires connexes au marché de la distribution d'applications. Dès lors, les seuls revenus d'Apple issus de l'App Store ne pourraient, s'ils étaient retenus comme assiette de la sanction pécuniaire, rendre compte de manière adéquate de l'ampleur économique de l'infraction. Une telle approche conduirait à fixer la sanction à un montant non proportionné au regard de l'impératif de dissuasion.

640. Or, le contexte des pratiques montre en effet l'importance de la fonction dissuasive de la sanction qui sera prononcée à l'égard d'Apple. L'ATT participe d'une stratégie globale, par laquelle l'entreprise se prévaut auprès des consommateurs d'une attention élevée à la protection de leur vie privée. Apple l'a pourtant imposée, malgré l'impact négatif important qu'elle aurait mécaniquement pour un très grand nombre d'entreprises qui dépendent de l'écosystème iOS, et sans prendre en compte de manière adéquate les mises en garde de la CNIL sur certaines difficultés qu'elle présentait.

641. Par conséquent, les objectifs de proportionnalité et de dissuasion justifient de déterminer la sanction pécuniaire de manière forfaitaire.

2. Sur la détermination forfaitaire du montant de sanction

642. Au regard des critères énoncés par le I de l'article L. 464-2 précité, seront examinées successivement la gravité de l'infraction (a), la durée de l'infraction (b) et la situation de l'entreprise sanctionnée ou du groupe auquel elle appartient (c).

a) Sur la gravité des faits

643. Afin d'apprécier la gravité des faits au cas d'espèce, il convient d'examiner la nature et les caractéristiques de l'infraction, ainsi que la qualité des personnes susceptibles d'être affectées.

i. Arguments d'Apple

644. Apple nie que l'infraction puisse être considérée comme ayant la moindre gravité, faisant valoir le bénéfice apporté aux utilisateurs en matière de protection de la vie privée et, selon elle, l'absence d'effet anticoncurrentiel concret468.

645. Apple observe en particulier que la mise en œuvre du dispositif ATT, qui consiste à améliorer les possibilités de choix offertes aux consommateurs en matière de protection de la vie privée, ne relève d'aucune catégorie préexistante de pratiques anticoncurrentielles. En cela, elle poursuivrait un objectif légitime, ainsi qu'il ressort de la décision n° 21-D-07 précitée, dans laquelle l'Autorité a relevé que « la mise en place d'une telle stratégie n'apparaît pas comme anticoncurrentielle par elle-même et relève, en son principe, de l'exercice légitime de la politique commerciale d'Apple »469.

646. Apple souligne plusieurs caractéristiques du dispositif ATT qui sont, selon elle, de nature à démontrer l'absence de gravité.

647. Premièrement, il serait limité dans son champ d'application, dans la mesure où il ne restreint pas la possibilité pour les éditeurs et annonceurs d'utiliser leurs propres données (ou données propriétaires) à des fins publicitaires, pour autant qu'elles ne sont pas partagées avec les tiers.

648. Deuxièmement, Apple n'appliquerait aucune différence de traitement entre elle et les tiers. À ce titre, après la sanction prononcée par la CNIL en décembre 2022, elle se serait empressée de demander plus clairement l'autorisation expresse des utilisateurs de terminaux pour ses propres publicités personnalisées.

649. Troisièmement, les pratiques se limiteraient à une petite portion de la publicité en ligne (la publicité in app dans les applications iOS et les publicités sur l'App Store).

650. Quatrièmement, les bénéfices de la sollicitation ATT auraient été reconnus par des autorités publiques telles que la CNIL ou par des associations de consommateurs.

651. Apple soutient également que les services d'instruction donnent au dispositif ATT une importance exagérée. Ainsi, considérer que l'ensemble des éditeurs et l'ensemble des utilisateurs des terminaux iOS sont exposés au dispositif ne serait possible qu'en définissant, de manière artificielle, un marché pertinent de la distribution d'applications sur iOS/iPadOS.

652. De surcroît, l'ATT ne rendrait pas plus difficile l'accès des éditeurs à l'App Store.

653. Apple soutient également que les pratiques n'ont causé aucun effet anticoncurrentiel avéré, ce qui exclurait ipso facto toute gravité.

654. Enfin, eu égard à certaines évolutions du secteur de la technologie publicitaire, ou l'Ad Tech, Apple affirme que les pratiques sont anodines : elle rappelle qu'après trois années de mise en œuvre de l'ATT, la croissance de ce secteur serait forte470 et [confidentiel]. Aussi l'existence même de l'ATT inciterait-elle les éditeurs à protéger la vie privée des consommateurs.

655. De la même manière, Apple avance que selon la CNIL, l'ATT se distinguerait par le choix libre et éclairé qu'il offre aux utilisateurs en ce qui concerne le suivi publicitaire, contrairement à bien des CMP471.

ii. Réponse de l'Autorité

656. Ainsi qu'il ressort de la jurisprudence rendue dans des cas d'abus de position dominante relevant de la catégorie des abus d'exploitation, le caractère inédit d'une pratique n'atténue pas son caractère infractionnel ni, partant, sa gravité.

657. La Cour de cassation a jugé en effet que le caractère inédit d'une qualification d'abus de position dominante « ne fait pas disparaître ni même n'atténue la contrariété au droit de la concurrence des pratiques reprochées (…), avec les conséquences qui s'y attachent en ce qui concerne la responsabilité »472. Dans cet arrêt, la Cour de cassation a ainsi approuvé la cour d'appel de Paris de ne pas avoir prononcé l'amende symbolique que les opérateurs concernés demandaient.

658. De même, dans l'affaire Google Gibmedia précitée, la cour d'appel de Paris a déduit de certaines « circonstances particulières », à savoir des préoccupations de concurrence émises par l'Autorité sur le caractère non transparent, non objectif et discriminatoire des règles du service de publicité en ligne liée aux recherches de Google, ainsi que de diverses alertes données par des services de l'État, que l'entreprise « ne pouvait (…), même si son comportement n'avait pas encore été qualifié et sanctionné avant l'adoption de la décision de [l'Autorité], en ignorer les risques au regard des règles de concurrence ». Elle a estimé à cet égard que « le caractère infractionnel des pratiques mises en œuvre ne présente aucun caractère imprévisible susceptible de justifier l'absence de prononcé d'une sanction ou une limitation du montant de celle-ci »473.

659. En l'espèce, au cours de la procédure relative à la demande de mesures conservatoires, la CNIL et l'Autorité ont identifié certains risques liés à la mise en œuvre du dispositif ATT.

660. La CNIL, tout d'abord, dans son avis du 17 décembre 2020, a relevé que l'ATT ne permettrait de recueillir un consentement pleinement éclairé que si Apple complétait la sollicitation par des ajustements, ce que l'entreprise s'engageait à faire et n'a pas fait.

661. Si l'Autorité a estimé dans la décision n° 21-D-07 que la sollicitation ATT n'apparaissait, de prime abord, ni excessive, ni disproportionnée au regard des intérêts des consommateurs, elle a néanmoins souligné la nécessité pour Apple de permettre aux éditeurs de compléter la fenêtre informative de la sollicitation aux fins décrites par la CNIL. L'Autorité a également mis en lumière le risque lié à l'absence d'affichage de la sollicitation ATT dans le cadre de son propre service publicitaire ASA, notamment en ce que cette mesure pourrait ne pas être justifiée au regard de l'objectif de protection de la vie privée mis en avant par Apple.

662. Or, il ressort du dossier qu'Apple s'est contentée de s'appuyer sur la position exprimée par l'Autorité dans sa décision n° 21-D-07, en agissant comme si celle-ci, pourtant rendue à un stade préliminaire et avant la mise en place de l'ATT, écartait a priori toute incompatibilité avec le droit de la concurrence et comme si l'objectif de protection de la vie privée justifiait d'ignorer les autres mises en garde de la CNIL et de l'Autorité, ainsi qu'il a été expliqué aux paragraphes 525 et suivants.

663. Quant aux autres circonstances mises en avant par Apple, elles ne sont pas avérées et en toute hypothèse, selon l'analyse de l'Autorité, n'atténuent nullement la gravité des pratiques.

664. Premièrement, sur le champ d'application du dispositif prétendument limité à l'IDFA, l'instruction a montré non seulement que le dispositif ATT ne se limitait pas à l'IDFA, mais concernait également d'autres méthodes de collecte de données par les éditeurs (notamment le hachage de mails et le « fingerprinting »474), mais aussi que les restrictions d'accès à l'IDFA, plus que tout autre identifiant, pénalisaient les éditeurs (paragraphes 81 à 97 et 548 à 566 ).

665. Deuxièmement, l'affirmation d'Apple selon laquelle elle n'appliquerait aucune différence entre elle et les tiers est démentie par plusieurs éléments du dossier, ainsi qu'il a été démontré aux paragraphes 535 et suivants.

666. Troisièmement, l'argument d'Apple sur la limitation de l'ATT à la publicité dans les applications iOS et sur l'App Store, c'est-dire, selon Apple, à une faible proportion de la publicité en ligne, est inopérant. Cette publicité tient en effet une place importante sur le marché qui a été délimité dans la présente décision, sur lequel Apple détient une position dominante et a déployé l'ATT. Qu'elle puisse représenter une faible proportion de la publicité rapportée à d'autres marchés est dès lors sans pertinence.

667. Quatrièmement, la circonstance que les bénéfices de la sollicitation ATT aient été reconnus, dans une certaine mesure, par la CNIL et par des organisations qu'Apple qualifie d'associations de consommateurs est contrebalancée par d'autres éléments déjà exposés ci-dessus, en ce qui concerne l'absence de justification objective (paragraphes 520 et suivants) et l'absence de prise en compte de toutes les recommandations de la CNIL (paragraphes 525 et suivants ci-avant).

668. Enfin, cinquièmement, quant aux derniers arguments d'Apple relatifs aux effets limités de l'ATT d'une manière générale sur le secteur et sur les éditeurs d'applications en particulier, il est renvoyé aux développements figurant aux paragraphes 548 à 566 ci-dessus.

669. À cet égard, il convient de prendre en considération, pour apprécier la gravité de l'infraction, la nature des personnes susceptibles d'être affectées par celle-ci. Or comme il a été démontré plus haut, le dispositif ATT est davantage susceptible de pénaliser le modèle d'affaires des plus petits éditeurs d'applications qui ne disposent pas de données propriétaires conséquentes et sont relativement plus dépendants de la publicité (voir paragraphe 554).

670. Il résulte de ce qui précède que, contrairement à ce que soutient Apple, les pratiques en cause, qui instaurent des conditions de transaction inéquitables à l'égard de nombre de ses partenaires en dépit de bénéfices allégués par Apple pour les consommateurs, traduisent une exploitation abusive de sa position sur un marché qu'elle domine. Elles présentent dès lors un caractère certain de gravité.

b) Sur la durée de l'infraction

671. Apple rappelle que la décision n° 21-D-07, en renvoyant le dossier à l'instruction, visait en particulier des pratiques d'auto-préférence. Elle estime ainsi que toute pratique susceptible de lui être reprochée à ce titre aurait pris fin, en tout état de cause, en septembre 2021 au moment de l'introduction de la sollicitation « Publicités personnalisées ».

672. Le début des pratiques visées par le grief doit être fixé au 26 avril 2021, date de l'introduction de la version 14.5 de l'iOS, première version du système d'exploitation dans laquelle le dispositif ATT était mis en œuvre. Contrairement à ce que soutient Apple, ainsi qu'il a été démontré, les pratiques se sont poursuivies après et nonobstant l'introduction de la sollicitation « Publicités personnalisées », au moins jusqu'à la date d'envoi de la notification de grief, le 25 juillet 2023. L'ATT ayant été une partie intégrante de l'App Store dans les versions successives de l'iOS, il y a lieu de considérer que les pratiques se sont poursuivies de manière ininterrompue entre ces deux dates, soit pour une durée de deux ans et trois mois.

c) Sur l'adaptation de la sanction à la taille du groupe

673. L'appréciation de la situation individuelle de l'entreprise sanctionnée peut conduire l'Autorité à prendre en considération l'envergure de celle-ci ou du groupe auquel elle appartient475. De même, la jurisprudence de l'Union considère légitime de tenir compte du chiffre d'affaires global de l'entreprise, qui donne une indication de sa taille, de sa puissance économique et de ses ressources476 au moment de l'adoption de la décision477. La puissance financière importante d'une entreprise peut justifier de fixer la sanction pécuniaire à un montant plus élevé, afin d'en assurer le caractère dissuasif et proportionné.

674. En l'espèce, l'infraction en cause a été imputée aux sociétés ADI et Apple Inc., en tant qu'auteures, et aux sociétés AOI et Apple Inc., en tant que sociétés mères. Ces sociétés, prises ensemble, constituent une entreprise au sens du droit de la concurrence.

675. Il convient de noter que, premièrement, le chiffre d'affaires consolidé hors taxes de la société Apple Inc. s'élevait à 383 milliards de dollars au 30 septembre 2023478 et que, deuxièmement, elle fait partie avec Microsoft et Nvidia des trois plus grandes capitalisations boursières mondiales479, ayant dépassé en décembre 2023 les 3 000 milliards de dollars.

676. Ces éléments démontrent une envergure et une puissance financière importantes, qui justifient d'augmenter notablement le montant de la sanction pécuniaire.

d) Sur le montant de la sanction pécuniaire

677. Eu égard à la gravité des faits, à la durée de l'infraction et à la puissance économique d'Apple, il y a lieu de prononcer à l'encontre des sociétés Apple Distribution International Limited (ADI) et Apple Inc., en tant qu'auteures, et des sociétés Apple Operations International Limited et Apple Inc. en tant que sociétés mères, une amende de 150 000 000 euros.

678. Ce montant ne dépasse pas le maximum légal applicable de 10 % du chiffre d'affaires mondial hors taxes consolidé réalisé par Apple.

3. Sur les sanctions non pécuniaires

679. Compte tenu des faits constatés et de la pratique sanctionnée, il y a lieu d'ordonner sur le fondement de l'article L. 464-2 du code de commerce la publication du résumé figurant aux pages 3 à 5 de la présente décision, dans un délai de deux mois à compter de la notification de celle-ci. Ce résumé devra être accessible par un lien html intitulé « Apple condamnée par l'Autorité de la concurrence française », en haut de la page d'accueil du site internet www.apple.com accessible en France, dans une police d'écriture de taille 14, et pendant une durée de sept jours consécutifs. Ce lien pourra être suivi, le cas échéant, de la mention selon laquelle l'entreprise a formé un recours contre la décision devant la cour d'appel de Paris.

680. Aux termes des conditions générales d'utilisation énoncées sur le site internet d'Apple accessible en France à la date de la présente décision480, « le Site est la propriété d'Apple Inc. (« Apple ») et de ses concédants ». Cette publication sera ainsi mise à la charge de la société Apple Inc. Celle-ci informera le service de la procédure et de la documentation de la mise en ligne de ce texte le jour même.

DÉCISION

Article 1 er : Il est établi que les sociétés Apple Distribution International Limited et Apple Inc., en tant qu'auteures, et les sociétés Apple Operations International Limited et Apple Inc., en tant que sociétés mères, respectivement, des sociétés Apple Distribution Limited et Apple Operations International Limited, ont enfreint les dispositions de l'article L. 420-2 du code de commerce et de l'article 102 du TFUE, du 26 avril 2021 au 25 juillet 2023 inclus, en abusant de leur position dominante sur les marchés européens de la distribution d'applications mobiles sur les terminaux iOS, par la mise en œuvre de conditions discriminatoires, non objectives et non transparentes en matière d'exploitation des données des utilisateurs à des fins publicitaires.

Article 2 : La société Apple Operations Europe Limited, dissoute, est mise hors de cause. Il n'y a donc pas lieu, en application de l'article 5 du règlement n° 1/2003, de poursuivre la procédure à son encontre, que ce soit au titre du droit de l'Union ou du droit national.

Article 3 : Est infligée au titre de la pratique visée à l'article 1er une sanction pécuniaire d'un montant de 150 000 000 euros aux sociétés Apple Distribution International Limited, Apple Operations International Limited et Apple Inc., conjointement et solidairement.

Article 4 : Il est enjoint à la société Apple Inc. de publier le résumé de la présente décision selon les modalités décrites au paragraphe 679 .

NOTES

1 Ce résumé a un caractère strictement informatif. Seuls font foi les motifs de la décision numérotés ci-après.

2 Cote 11.

3 https://www.alliancedigitale.org/presentation/.

4 Cotes 6 231 à 6 244.

5 https://investor.apple.com/investor-relations/default.aspx.

6 Commission européenne, 18 juillet 2018, Google Android, AT.40099, paragraphe 508.

7 Résultats financiers globaux Apple du premier trimestre de son exercice fiscal 2022 : 57,8% (et 58,9% pour l'année précédente), disponibles à l'adresse suivante : https://www.apple.com/newsroom/pdfs/FY22_Q1_Consolidated_Financial_Statements.pdf.

8 Cote 8 271.

9 Cote 2 153.

10 Contrat de licence de l'Apple Developer Program, page 2.

11 Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques), Journal officiel de l'Union Européenne L 265 du 12 octobre 2022, p. 1.

12 https://developer.apple.com/terms/.

13 Cote 8 683 (8 909 VNC).

14 Cote 8 684 (8 910 VNC).

15 App Store Review Guidelines, section 3.1.1 In-App Purchase.

16 Cote 8 684 (8 910 VNC).

17 Autoriteit Consument en Markt (ACM), Market study into mobile App Stores, ID 886, page 29.

18 Selon une définition donnée par la CNIL, une API (pour « application programming interface »), ou interface de programmation d'application, est une interface logicielle qui permet de connecter un logiciel ou un service à un autre logiciel ou service, afin d'échanger des données et des fonctionnalités. (https://www.cnil.fr/fr/definition/interface-de-programmation-dapplication-api).

19 Cote 2 155.

20 Décision n° 21-D-11 du 7 juin 2021 relative à des pratiques mises en œuvre dans le secteur de la publicité sur internet, paragraphes 9 et 10.

21 Voir par exemple, Observatoire de l'e-pub, Bilan 2021, 27ème édition, janvier 2022.

22 Définition donnée dans le 19ème Observatoire de l'e-pub (SRI) : « social ou réseaux sociaux : ensemble de sites web et mobiles permettant à leurs utilisateurs de constituer un réseau de connaissances via des outils et interfaces d'interaction, de présentation et de communication. Dans le cadre de l'étude, YouTube n'est pas considéré comme un réseau social ».

23 Décision n° 21-D-11 précitée, paragraphe 11, et le glossaire de l'avis n° 18-A-03 du 6 mars 2018 portant sur l'exploitation des données dans le secteur de la publicité sur internet.

24 Voir sur ce point l'avis n° 18-A-03 précité, paragraphe 21.

25 Décision n° 23-MC-11 du 4 mai 2023 relative à une demande de mesures conservatoires de la société Adloox.

26 Avis n° 18-A-03 précité, paragraphe 40.

27 https://www.cbnews.fr/medias/image-gravity-alliance-data-medias-faire-face-aux-gafa-24655.

28 Selon la définition de la CNIL, une plateforme de gestion des données est un service effectuant la collecte et la gestion de données utilisateurs, souvent provenant de sources en ligne (via les cookies par exemple), mais aussi hors-ligne (importation de liste de clients de magasins physiques). Elles permettent d'optimiser le ciblage des personnes, et sont notamment très utilisées pour le ciblage utilisateur lors d'enchères en temps réel. Ces plateformes peuvent être reliées à des demand-side platforms (DSP) ou supply-side platforms (SSP) afin de permettre d'activer les données sur des campagnes publicitaires (https://www.cnil.fr/fr/definition/data- management-platform-dmp-ou-plateforme-de-gestion-des-donnees).

29 SDK est l'acronyme anglais pour Software Development Kit. Un SDK est un ensemble d'outils d'aide à la programmation proposé aux éditeurs / développeurs d'applications mobiles. Les SDK marketing et publicitaires sont utilisés notamment pour analyser l'audience et les comportements sur les applications mobiles.

30 Il s'agit d'un élément d'image (pixel pour picture element) qui peut être inséré notamment dans une page web afin de collecter des informations techniques (adresse IP, URL, etc.) et mesurer un comportement (exemple : le nombre de visites sur une page web). On parle de « pixel d'impression » lorsque le pixel est délivré en même temps que la création publicitaire dans le but de suivre les impressions et d'en mesurer les effets. Dans ce cas, l'affichage du pixel génère le téléchargement d'un cookie sur le navigateur de l'utilisateur qui va permettre le tracking. Les pixels de conversion permettent quant à eux de suivre les actes d'achat des utilisateurs et sont généralement placés sur la page web de confirmation d'un processus de conversion. Dans ce cas, le pixel est généralement placé sur la page web en utilisant un code JavaScript, ce qui permet de collecter des informations plus détaillées.

31 Il s'agit d'un fichier texte déposé sur le disque dur ou terminal d'un internaute soit par le serveur du site qu'il visite (cookies propriétaires first party) soit par un serveur tiers, c'est-à-dire d'un domaine distinct (cookies tiers ou third party). Il contient plusieurs données : le nom du serveur qui l'a déposé, un identifiant sous forme de numéro unique et, généralement, une date d'expiration. Les cookies sont utilisés pour stocker des informations sur la navigation de l'internaute (panier d'achats par exemple) et la rendre plus facile.

Dans le cadre du processus de vente et d'achat publicitaire, presque tous les acteurs (serveurs publicitaires, fournisseurs d'inventaires, outils de vérification, outils de gestion des données) placent également leurs propres cookies notamment afin de s'assurer qu'ils ont accompli leur rôle dans la livraison de la création publicitaire, et d'assurer un suivi de la campagne publicitaire.

32 Pour une définition de l'authentification unique, voir https://www.cnil.fr/fr/cookies-et-autres- traceurs/regles/alternatives-aux-cookies-tiers.

33 Voir notamment l'avis n° 18-A-03 précité, page 30, paragraphe 43.

34 Ibid., paragraphe 131.

35 Competition and Markets Authority, Online platforms and digital advertising market study, Appendix G: the role of tracking in digital advertising ; 1er juillet 2020 (https://www.gov.uk/cma-cases/online-platforms-and- digital-advertising-market-study#final-report, traduction libre).

36 Voir l'avis n° 18-A-03 précité, paragraphe 128.

37 Clauses figurant dans l'« Engagement de confidentialité » (version du 27 octobre 2021), disponible à l'adresse suivante : https://www.apple.com/legal/privacy/fr-ww/.

38 Cote 8 756 (8 982 VNC).

39 Pour une description des utilisations de l'IDFA par les réseaux publicitaires mobiles, voir notamment la décision n° 21-D-07 précitée, paragraphes 11 à 15.

40 Jusqu'à la version 14.5 d'iOS sortie le 26 avril 2021, les éditeurs d'application pouvaient accéder à l'IDFA sans l'accord préalable des utilisateurs, l'option étant activée par défaut dans les paramètres de l'appareil.

41 Cote 21.

42 Cote 12 (saisine n° 22/0012 F).

43 Cote 1 846.

44 Cote 1 443.

45 Cote 1 574.

46 Cote 1 725.

47 LinkedIn Audience Network.

48 Cote 8 378 VNC, 1 815 VC.

49 Cote 3 817.

50 Cotes 8 313 et 8 314.

51 Cotes 8 307 à 8 309.

52 Cote 5 480 (Branch), cotes 1 104 et 1 105 (Didomi), cotes 3 292 à 3 300 (Digital Virgo), cote 1 861

(Madvertise), cote 1 542 (Magnite), cote 1 909 (Mediamath), cote 1 066 (Mobsuccess), cote 1 056 (Open X),

cote 1 512 (S4M), cotes 1 409 et 1 410 (Smart), cote 3 495 (Yieldmo) et cote 5 363 (Zeotap).

53 Toutefois, YouTube, qui appartient à Google, a annoncé au milieu de l'année 2024 que l'application afficherait désormais la sollicitation ATT (https://9to5google.com/2024/06/20/youtube-ios-allow-ads- tracking/, 20 juin 2024).

54 Google Assistant (iGA), Google Chrome, Google Duo, Google Earth, Google News, Google Pay (anciennement Android Pay), YouTube, YouTube Studio, YouTube Kids, YouTube Music, YouTube TV, Waze, Waze Carpool, Currents (anciennement Google+ pour G Suite), IMA Video Suite Inspecter, Looker Mobile, OnDuo, Primer, Socratic et Stadia.

55 Cotes 5 581 et 7 554.

56 Cote 5 591.

57 Cote 2 210.

58 Décision n° 21-D-07 précitée, paragraphe 17.

59 Cote 2 211.

60 Cote 2 211.

61 Cote 986.

62 Cote 3 636.

63 Cote 1 780.

64 Cote 4 261.

65 Cote 8 308.

66 Cote 1 957.

67 Cote 6 102.

68 Cote 6 102.

69 Cotes 1 426 et 1 430.

70 La CNIL relève que si « l'IDFA met à disposition une valeur identique pour tous les éditeurs d'application, l'IDFV ne possédera la même valeur que pour les applications identifiées comme provenant du même éditeur (“vendor ˮ), c 'est- à-dire l 'entit é proposant l 'application sur l 'App Store […] Par ailleurs, la Commission relève que, selon les pièces du dossier dont elle dispose, l'absence d'autorisation au traçage publicitaire via la sollicitation ATT n'empêche pas les éditeurs d'application d'accéder à l'IDFV » (cote 6 161).

71 L'article 82 a été introduit dans la loi par l'ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel. Il s'agit d'une réécriture étendue de la loi destinée à mettre le droit national en conformité avec le règlement (UE) 2016/679 (RGPD).

72 Cote 6 161.

73 Cote 6 161.

74 Ibid.

75 Délibération de la formation restreinte n° SAN-2022-026 du 29 décembre 2022 concernant la société Voodoo.

76 « Le PPID (identifiant fourni par l'éditeur) est un identifiant que les éditeurs envoient à Google Ad Manager. Il est utilisé pour la limitation de la fréquence d'exposition, la segmentation de l'audience, le ciblage d'audience, la rotation séquentielle des annonces et d'autres commandes de diffusion des annonces en fonction de l'audience sur les différents types d'appareils. Pour davantage d'informations sur le PPID, Google invite l'Autorité à se référer au lien suivant: https://support.google.com/admanager/answer/2880055?hl=fr », cote 8 734 (8 960 VNC).

77 Cote 6 103.

78 Cote 1 057.

79 Voir en ce sens : CNIL, délibération de la formation restreinte n° SAN-2022-026 du 29 décembre 2022 concernant la société Voodoo.

80 Cotes 2 743 et 8 694 (8 920 VNC). Voir également : https://developer.apple.com/news/?id=09282016a.

81 Cote 8 694 (8 920 VNC).

82 Cote 2 123. La publicité dans l'onglet Rechercher est disponible en France depuis le 4 mai 2021.

83 Cote 4 329.

84 Cotes 7 406 et 7 407.

85 Cote 2 124.

86 En France, toutefois, Apple News n'est pas disponible, d'une part, et Apple ne vend pas d'espaces publicitaires sur Apple Bourse, d'autre part.

87 Cote 4 337.

88 Cote 2 231.

89 Cote 8 695 (8 921 VNC).

90 Cote 8 269.

91 Cote 8 269.

92 Cotes 8 269 et 8 270.

93 Cote 2 122.

94 Cote 2 123 (captures d'écran).

95 Cote 4 360.

96 Cote 8 698 (8 924 VNC).

97 Cotes 4 437 et 2 117.

98 Cote 2 157.

99 Cote 8 698 (8 924 VNC).

100 Cotes 2 123 et 2 158.

101 Cote 2 209.

102 Cote 2 214.

103 Cotes 8 700 et 8 701 (8 926 et 8 927 VNC).

104 Ibid.

105 Ibid.

106 Ibid.

107 Cote 7 407.

108 Cotes 8 700 et 8 701 (8 926 et 8 927 VNC).

109 L'adaptation de la loi Informatique et Libertés résulte de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles. L'ensemble des textes transposant la directive ePrivacy, ainsi que la directive modificative de 2009, sont disponibles aux adresses suivantes : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000337468/ et https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000021492156.

110 CNIL, délibérations n° 2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs » et n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019.

111 Dans sa délibération n° 2020-091 du 17 septembre 2020, la CNIL précise en ces termes le champ d'application des lignes directrices : « [Les] cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d'autres technologies telles que les “local shared objects” appelés parfois les “cookies Flash”, le “local storage” mis en œuvre au sein du standard HTML 5, les identifications par calcul d'empreinte du terminal ou “fingerprinting”, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. Pour l'application des présentes lignes directrices, le mot « traceur » désigne l'ensemble des dispositifs susceptibles d'être visés par l'article 82 de la loi. »

112 Avis de la CNIL du 17 décembre 2020, page 12, saisine n° 20/0099 M cote 1 739.

113 Contrat de licence pour le programme des développeurs Apple, cote 8 710.

114 Dans la présente section et dans la suite de la décision, les extraits de la documentation contractuelle d'Apple ou des échanges écrits entre Apple et d'autres entreprises sont reproduits dans une traduction libre de l'anglais.

115 Lignes directrices d'examen des applications, cote 8 710 (8 936 VNC).

116 « (vi) […] Apps should not require users to rate the app, review the app, watch videos, download other apps, tap on advertisements, enable tracking, or take other similar actions in order to access functionality, content, use the app, or receive monetary or other compensation, including but not limited to gift cards and codes. » (Soulignements ajoutés).

117 « Les applications ne doivent pas contraindre les utilisateurs à les noter ou à les évaluer, à télécharger d'autres applications ou à réaliser toute autre opération semblable afin d'accéder à des fonctionnalités, à du contenu ou à l'usage de l'application » (https://developer.apple.com/app-store/review/guidelines/ ; traduction libre).

118 Article 5.1.1., point iv.

119 L'article 5.1.2 impose aux éditeurs de « recevoir une autorisation explicite des utilisateurs via les API App Tracking Transparency pour suivre leur activité » (traduction libre).

120 Cote 2 184.

121 Cote 2 157.

122 Cote 8 699 (8 925 VNC).

123 Le fingerprinting consiste à créer une "empreinte digitale" de l'utilisateur grâce à un algorithme qui recueille une série d'informations dont la combinaison forme une signature unique permettant de "reconnaître" un utilisateur et de suivre son activité sur une application notamment. À chaque visite de site ou d'application mobile, l'internaute envoie jusqu'à 80 informations techniques comme son fuseau horaire, la version de son navigateur, la résolution de son écran ou les plug-ins installés, qui sont analysées afin de l'identifier et de le suivre entre applications.

124 Cote 8 714 (8 940 VNC).

125 Cote 8 296.

126 Cote 978.

127 Ibid.

128 Cote 990.

129 Cote 8 297.

130 Cote 8 297 VNC et cote 6 224 VC.

131 Jaimes Nicolas, « Datas de géolocalisation : Apple éjecte plusieurs médias français de l'App Store », Journal du Net, 4 mai 2018. https://www.journaldunet.com/ebusiness/publicite/1209184-datas-de-geolocalisation-

apple-ejecte-plusieurs-medias-francais-de-l-app-store/, cote 8 715 (8 941 VNC).

132 Cote 8 715 (8 941 VNC).

133 Cote 2 204.

134 Cote 4 366.

135 Cote 425 (saisine n° 20/0099 M).

136 Cote 4 366.

137 Cote 1 780.

138 Cote 1 430.

139 Cote 3 279.

140 Cote 2 123 (saisine n° 20/0099 M)

141 Cote 2 122 (saisine n° 20/0099 M).

142https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-

meta-ireland, 4 janvier 2023.

143 Cote 2 118 (saisine n° 20/0099 M).

144 Informations disponibles dans la foire aux questions de la page internet “User Privacy and Data Useˮ à l'adresse : https://developer.apple.com/app-store/user-privacy-and-data-use/, cote 8 727 (8 953 VNC).

145 Technique consistant à rendre anonymes certains éléments de l'adresse e-mail ou du numéro de téléphone en les remplaçant par des croix, comme sur les reçus de carte bancaire par exemple.

146 Cote 8 728.

147 Cote 2 118 (saisine n° 20/0099 M).

148 Cotes 2 119 et 2 120 (saisine n° 20/0099 M).

149 Cote 2 121 (saisine n° 20/0099 M).

150 Cotes 2 936 et 2 937 (saisine n° 20/0099 M).

151 Décision n° 21-D-07 précitée, paragraphe 152.

152 Cote 2 120 (saisine n° 20/0099 M).

153 Cote 9.

154 Cote 7 474.

155 Cote 8 745 (8 971 VNC).

156 Cote 1 742.

157 Cote 1 514.

158 Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019, notamment le point 19.

159 Cotes 1 597 et 1 598.

160 Décision n° 21-D-07 précitée, paragraphe 152.

161 Cote 5 579.

162 Cotes 1 514 et 1 411.

163 Cote 1 526.

164 Cote 6 058.

165 Dans la suite de la décision, les extraits des échanges entre Apple et des éditeurs d'applications reproduits, paraphrasés ou cités sont issus d'une traduction libre de l'anglais.

166 Traduction libre.

167 Cotes 6 918 (VC) et 7 204 (VNC).

168 Cote 8 748 (8 974 VNC). La traduction en français a été fournie par Apple.

169 Cote 6 058.

170 Traduction libre.

171 Traduction libre.

172 Cotes 2 047 et 2 048.

173 Traduction libre.

174 Cote 8 748 (8 974 VNC). La traduction française a été fournie par Apple.

175 Le GESTE considère que « le fait de demander deux fois d'affilée un consentement à l'utilisateur sur la collecte et l'utilisation de ses données est une source de perturbation de l'expérience de l'utilisateur pour l'accès au contenu, une source de fatigue de consentement et même une source de réponses contradictoires, irrationnelles du fait des biais cognitifs que cette double sollicitation introduit » (cote 40 [saisine n° 22/0012 F]).

176 Competition and Markets Authority, Mobile ecosystems. Final Report, 10 juin 2022, page 195, points 6.48 et 6.49 (traduction libre).

177 Cotes 6918 VC et 7 204 VNC.

178 Cotes 6 918 VC et 7 204 VNC.

179 Ibid.

180 Cote 8 779 (9 005 VNC).

181 Ibid. et cote 8 780 (9 006 VNC).

182 Cotes 6918 VC et 7 204 VNC.

183 Ibid.

184 Ibid.

185 Ibid.

186 Ibid.

187 Ibid., traduction libre.

188 Ibid.

189 Ibid.

190 Cotes 1725 à 1741 (3 324, 3 325 et 3 329 VNC, pour les cotes 1 727, 1 728 et 1 732, respectivement).

191 Cote 6 156.

192 Cote 6 159. La CNIL précise à ce titre que « l'obtention d'un consentement conforme aux exigences du RGPD impose qu'il n'y ait pas de doute sur l'intention de la personne concernée de consentir au traitement de ses données pour cette finalité : l'utilisateur doit pouvoir manifester son choix de manière éclairée et univoque et ce, indépendamment de l'ordre de présentation des deux fenêtres ».

193 Cote 6 159.

194 https://www.01net.com/actualites/apple-music-impose-desormais-publicites-service-payant.html

(2 juin 2022).

195 Cote 8 799 (9 025 VNC).

196 Cote 8 800 (9 026 VNC).

197 Avis n° 18-A-03 précité, page 58, paragraphe 128.

198 Ibid, paragraphe 138.

199 Competition and Markets Authority, Appendix F to the Online Platforms and Digital Advertising market study, 1er juillet 2020, page 20, point 75.

200 Ibid, point 76.

201 Ibid, point 258.

202 Ibid, point 201.

203 Ibid, point 345.

204 Cote 2 189.

205 Cote 2 191 (4 412 VNC).

206 Dans d'autres pays, il en va de même pour les données liées aux contenus informationnels offerts par des éditeurs tiers sur Apple News et Bourse.

207 Cote 2 165.

208 Competition and Markets Authority, Mobile ecosystems. Market study interim report, 14 décembre 2021, paragraphe 6.232. Voir : https://www.gov.uk/government/publications/mobile-ecosystems-market-study- interim-report, traduction libre.

209 Cote 5 571.

210 Cotes 277, 2 156 et 4 377.

211 Cote 2 173.

212 Voir Apple Developer Program License Agreement, EXHIBIT D) Instructions for Minimum Terms of Developer's End-User License Agreement, p. 82.

213 Cotes 7 419 et 7 420.

214 Cote 3 540.

215 Cote 3 030.

216 Cote 2 176.

217 Cotes 2 176 et 2 177.

218 Ibid.

219 Cote 3 036. Voir captures d'écran aux cotes 2 176, 2 187, 2 276 et 2 285.

220 Ces conditions n'ont pas été modifiées par Apple avec le lancement de la version 15 d'iOS.

221 Cote 2 183.

222 Certaines informations à caractère personnel ont été occultées sur ces captures d'écrans.

223 Pour une exploitation à des fins de ciblage publicitaire.

224 Cote 2 179.

225 Cote 2 181.

226 Ibid.

227 Cote 2 177.

228 Ibid.

229 Cote 2 178.

230 Cote 2 178.

231 Cote 4 395.

232 Cote 3 541.

233 Cote 2 189.

234 Délibération de la formation restreinte n° SAN-2022-025 du 29 décembre 2022 concernant la société Apple Distribution International (cotes 7 401 à 7 424).

235 Cote 7 420.

236 Cote 7 420.

237 Ibid.

238 Ibid.

239 Selon la CNIL, si cet identifiant est créé pour chaque compte utilisateur sur les serveurs d'Apple, des informations sont lues sur le terminal de ce dernier pour permettre d'associer les requêtes émises à un compte utilisateur (c'est-à-dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications dans l'App Store) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers dit « logué »), en l'espèce l'App Store. Elle a considéré que quand bien même la principale fonction de ces informations serait de permettre l'authentification d'un utilisateur au sein d'un univers logué – et serait qualifiée de finalité essentielle car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur , la circonstance que les informations collectées grâce à ces traceurs puissent être utilisées pour permettre la segmentation à des fins publicitaires empêche les traceurs d'Apple de rentrer dans les catégories de traceurs dont la lecture est exemptée de recueil du consentement au sens de l'article 82 de la Loi Informatique et Libertés.

240 Cote 7 419.

241 Ibid.

242 Cote 7 417.

243 Cote 7 417.

244 Cote 9 466.

245 Cote 9 468.

246 Cote 9 467.

247 Voir, en ce sens les arrêts Cour européenne des droits de l'homme du 26 octobre 1984, De Cubber

c. Belgique, n° 9186/80, paragraphe 25, et du 1er octobre 1982, Piersack c. Belgique, n° 8692/79, paragraphe 30.

248 Arrêt de la Cour de cassation, chambre commerciale, du 15 juin 1999, n° 97-15.185, Publié au bulletin.

249 Arrêt de la cour d'appel de Paris, 24 janvier 2006, Ordre des avocats au barreau de Marseille, page 3.

250 Arrêts de la cour d'appel de Paris du 11 juillet 2019, société Janssen-Cilag e.a, n° 18/01945, point 118 et du 17 mai 2018, société Umicore France e.a., n° 2016/16621, point 86.

251 Cote 9 469.

252 Cote 9 470.

253 Décision n° 09-D-36 du 9 décembre 2009 devenue définitive relative à des pratiques mises en œuvre par Orange Caraïbe et France Télécom sur différents marchés de services de communications électroniques dans les départements de la Martinique, de la Guadeloupe et de la Guyane, paragraphe 277.

254 Arrêt de la cour d'appel de Paris du 26 janvier 2012, société Beauté Prestige International e.a, n° 2010/23945, page 16 ; voir également dans le même sens l'arrêt du 30 janvier 2007, A.A Le Foll TP e.a, n° 06/00566, page 8.

255 Arrêt de la cour d'appel de Paris du 27 janvier 2011, n° 2010/08945.

256 Selon la CNIL, « il apparaît que la sollicitation ATT ne permet pas d'insérer directement les informations nécessaires au recueil du consentement éclairé au sens de ces deux articles car elle souffre d'une double limitation : d'une part, la longueur du texte apparaît limitée et ne permet pas en pratique d'insérer toutes les informations requises, notamment par les articles 12 et suivants du RGPD ; d'autre part, la fenêtre ne semble pas non plus permettre l'insertion d'un lien hypertexte cliquable permettant à l'utilisateur d'accéder à informations sur un second niveau (avec notamment la liste des partenaires) » (page 5 de l'avis).

257 Délibération de la formation restreinte n° SAN-2022-025 du 29 décembre 2022 concernant la société Apple Distribution International (cotes 7 401 à 7 424).

258 Décision n° 21-D-09 du 24 mars 2021 relative à des pratiques mises en œuvre dans le secteur de la fabrication et de la commercialisation de sandwichs sous marque de distributeur, paragraphe 120 (décision confirmée par l'arrêt de la cour d'appel de Paris du 15 juin 2023).

259 Arrêt de la cour d'appel de Paris du 7 mars 2024, RG 20/13093, paragraphe 676.

260 Voir les paragraphes 182 et suivants de la notification de grief.

261 « Article 1er : Il est établi que les sociétés Alphabet Inc., Google LLC, Google Ireland Ltd et Google France ont enfreint les dispositions des articles L. 420-2 du code de commerce et 102 du TFUE, en définissant et en appliquant les Règles de la plateforme publicitaire Google Ads (anciennement Adwords) de manière non transparente, non objective, et discriminatoire. »

262 Voir les sections 4.2 et 4.3 des observations d'Apple en réponse à la notification de grief.

263 Lignes directrices relatives à la notion d'affectation du commerce figurant aux articles 81 et 82 du traité, JOUE C 101 du 27 avril 2004, p. 81.

264 Arrêt du Tribunal du 6 juillet 2000, Volkswagen AG/Commission, T-62/98, point 230.

265 Publiée au JOUE du 22 février 2024 (C/2024/1645), elle révise la Communication sur la définition du marché en cause aux fins du droit communautaire de la concurrence du 9 décembre 1997, publiée au JOCE du 9 décembre 1997, C 372, p. 5.

266 Voir en particulier les décisions n° 10-D-19 du 24 juin 2010 relative à des pratiques mises en œuvre sur les marchés de la fourniture de gaz, des installations de chauffage et de la gestion de réseaux de chaleur et de chaufferies collectives, paragraphes 158-159 ; n° 10-D-13 du 15 avril 2010 relative à des pratiques mises en œuvre dans le secteur de la manutention pour le transport de conteneurs au port du Havre, paragraphe 220 ; arrêt de la cour d'appel de Paris du 20 janvier 2011, Perrigault, n° 2010/08165.

267 Arrêt de la Cour de justice du 6 mars 1974, Instituto Chemioterapico Italiano, C-6/73, paragraphe 22 ; et 3 octobre 1985, Centre belge d'études de marché, C-311/84, paragraphe 26.

268 Arrêt de la cour d'appel de Paris du 7 avril 2022, n° 20/03811, point 295.

269 Décision de la Commission du 26 juin 2014 dans l'affaire COMP/M.7202 – Lenovo/Motorola Mobility, paragraphe 14. Les smartphones varient en termes de taille, poids, durabilité, taille de l'écran, qualité audio, taille/zoom de l'appareil photo, vitesse Web, puissance de traitement informatique, mémoire, facilité d'utilisation, qualité optique, qualité/conception du boîtier et autres offres multimédias.

270 Décision de la Commission du 18 juillet 2018 dans l'affaire COMP/AT.40099 - Google Android, paragraphe 77.

271 Un téléphone de base est une catégorie de téléphone mobile ne permettant que de passer des appels vocaux et d'envoyer des messages texte. Un téléphone à fonctions limitées (« feature phone ») est une catégorie de téléphones mobiles qui ajoute des fonctionnalités minimales de type smartphone à celles d'un téléphone de base, comme des capacités rudimentaires de navigation sur Internet.

272 Décision de la Commission du 4 décembre 2013, COMP/M.7047 - Microsoft/Nokia, paragraphes 15 et 18.

273 Si certaines tablettes incluent des cartes SIM et permettent de passer des appels téléphoniques sans utiliser un service de communication tels que WhatsApp ou Message, la taille des tablettes réduit toutefois les usages des consommateurs en situation de mobilité.

274 Décisions de la Commission du 4 décembre 2013 dans l'affaire COMP/M.7047 – Microsoft/Nokia, point 72, du 13 février 2012 dans l'affaire COMP/M.6381 Google/Motorola Mobility, points 43 à 47, et du 2 juillet 2008 dans l'affaire COMP/M.4942 Nokia/Navteq, point 140.

275 Décision de la Commission du 18 juillet 2018 dans l'affaire COMP/AT.40099, Google Android, paragraphe 555.

276 Ibid, paragraphe 556.

277 Décision de la Commission du 4 mars 2024 dans l'affaire COMP/AT.40437 - Apple App Store practices (music streaming).

278 Ibid, paragraphes 260 à 311.

279 Ibid, paragraphe 264.

280 Ibid, paragraphe 274.

281 Cote 9 481.

282 Communication de la Commission du 22 février 2024 précitée.

283 Décision n° 21-D-07 précitée, paragraphe 115.

284 Competition and Markets Authority, Mobile ecosystems. Market study final report, 10 juin 2022, page 45.

285 Décision n° 21-D-07 précitée, paragraphe 111.

286 Commission, 4 mars 2024, Apple App Store practices (music streaming), COMP/AT.40437, paragraphes 260 à 311.

287 Avis n° 18-A-03 précité, page 101.

288 Lignes directrices révisées du 23 juillet 2020 relatives au contrôle des concentrations, point 599.

289 Décision n° 18-DCC-18 du 1er février 2018 relative à la prise de contrôle exclusif de la société Concept Média par le groupe Axel Springer.

290 Cote 8 832 (9 058 VNC).

291 Competition and Markets Authority, Mobile ecosystems. Market study final report, 10 juin 2022 (traduction libre), page 82.

292 Ibid.

293 Cote 8 833 (9 059 VNC).

294 Décision de la Commission du 20 mars 2019, AT.40411 – Google Search (AdSense), point 137.

295 Décision n° 19-D-26 du 19 décembre 2019 relative à des pratiques mises en œuvre dans le secteur de la publicité en ligne liée aux recherches.

296 Cote 1 058 (traduction libre)

297 Cote 3 204. La société AppsFlyer a indiqué qu'elle « fournit des services d'attribution et d'analyse marketing (« Services ») qui permettent aux annonceurs et aux développeurs d'applications mobiles (« app(s) ») de mesurer et d'analyser l'efficacité de leurs campagnes marketing via une suite de solutions de mesure » (cote 6 754). « Le SKAN d'Apple est un service d'attribution disponible pour tous les développeurs d'applications et est donc un service concurrent des MMP indépendants. Les développeurs d'applications pourraient choisir de se fier uniquement aux données d'attribution qu'ils reçoivent via SKAN pour la mesure iOS et certains le font. Heureusement pour les MMP, leur offre de valeur s'étend au-delà de l'attribution de base (par exemple, informations avancées, liens profonds, fraude, multitouch, etc.). De plus, SKAN pourrait être compliqué à gérer, et iOS n'est qu'une partie de l'écosystème mobile (Android étant l'autre partie significative). Ainsi, bien que les MMP n'aient pas les mêmes capacités de mesure précise qu'Apple via SKAN, les développeurs d'applications peuvent toujours chercher à disposer d'un emplacement centralisé pour gérer toutes leurs données marketing d'applications et les données SKAN, ainsi que pour bénéficier des autres avantages fournis par les MMP » (cote 6 766).

298 Les DSP sont définies par la Commission comme des plateformes permettant aux annonceurs d'acheter de l'inventaire publicitaire de sources diverses (Ad Exchanges, réseaux publicitaires et SSP). Voir décision de la Commission européenne, Google / Fitbit, cas M.9660, 17 décembre 2020.

299 Décision de la Commission européenne du 17 décembre 2020, Google / Fitbit, affaire M.9660.

300 Décision n° 24-DCC-263 du 10 décembre 2024 relative à la prise de contrôle exclusif de la société Teads par la société Outbrain.

301 Arrêt de la Cour de justice du 14 février 1978, United Brands et United Brands Continentaal BV/Commission, 27/76, point 65.

302 Ibid., point 72.

303 Arrêts du Tribunal du 12 décembre 1991, Hilti/Commission, T-30/89, point 90 ; et du 25 juin 2010, Imperial Chemical Industries/Commission, T-66/01, points 255 et 256.

304 Arrêt de la Cour de justice du 3 juillet 1991, AKZO/Commission, C-62/86, Rec. P. I-3359, point 60.

305 Arrêt de la Cour de justice du 13 février 1979, Hoffmann-La Roche/Commission, 85/76, point 41 ; arrêt du Tribunal, Van den Bergh Foods/Commission, T-65/98, point 154 ; du 25 juin 2010, Imperial Chemical Industries/Commission, T-66/01, point 256 ; du 30 janvier 2007, France Télécom/Commission, point 100.

306 Arrêt du Tribunal du 11 décembre 2013, Cisco Systems, Inc. and Messagenet SpA v European Commission, T-79/12, point 69.

307 Arrêts du Tribunal du 30 janvier 2007, France Telecom vs Commission, T-340/03, points 107 et 108.

308 Arrêts précités de la Cour de justice 27/76, United Brands et United Brands Continental/Commission, EU:C:1978:22, point 122 ; et 85/76 Hoffmann-La Roche/Commission, EU:C:1979:36, point 48.

309 Arrêt de la Cour de justice, 27/76 précitée, United Brands et United Brands Continental/Commission, EU:C:1978:22, points 91 et 122.

310 Arrêt du Tribunal T-79/12 précitée, Cisco Systems, Inc. et Messagenet SpA/Commission européenne, EU:T:2013:635, point 73.

311 Arrêt du Tribunal du 24 novembre 2011, T-296/09, European Federation of Ink and Ink Cartridge Manufacturers (EFIM) v European Commission, EU:T:2011:693.

312 Cote 8 833 (9 059 VNC).

313 Cote 4 334.

314 Cote 4 334.

315 Competition and Markets Authority, Mobile ecosystems Market study final report, 10 juin 2022, page 95.

316 Cote 8 844 (9 070 VNC).

317 Ibid .

318 Ibid.

319 Cote 9 488.

320 Décision n° 21-D-07 précitée, paragraphes 114 et 115.

321 Décision de la Commission, 4 mars 2024, Apple App Store practices (music streaming), COMP/AT.40437, paragraphes 360 à 520.

322 https://gs.statcounter.com/vendor-market-share/mobile/europe.

323 https://gs.statcounter.com/vendor-market-share/tablet/europe.

324 https://www.servicesmobiles.fr/les-ventes-des-smartphones-haut-de-gamme-apple-domine-79315.

325https://www.counterpointresearch.com/insights/premium-market-captures-half-global-smartphone-revenue-2022-first-time.

326 Décision de la Commission précitée, affaire COMP/AT.40437, Apple App Store practices (music streaming), paragraphe 376.

327 Décision de la Commission précitée, affaire COMP/AT.40437, Apple App Store practices (music streaming), paragraphe 379.

328 Consumer Intelligence Research Partners (CIRP) fournit des données de recherche et des informations sur diverses entreprises et marchés, y compris Apple ; voir https://www.cirpllc.com.

329 https://9to5mac.com/2021/10/28/iphone-loyalty-rate-data-switchers/.

330 Décision de la Commission précitée, affaire COMP/AT.40437, Apple App Store practices (music streaming), paragraphes 388 et suivants.

331 Les utilisateurs peuvent avoir acheté leur smartphone dans le cadre d'un abonnement auprès de leurs opérateurs télécoms, sous réserve d'un contrat à durée déterminée, avec des frais de résiliation anticipée et des paiements restants pour le téléphone.

332 Competition and Markets Authority, Mobile ecosystems Market study final report, page 80, point 3.177.

333 Décision de la Commission européenne du 22 septembre 1995, Pelikan / Kyocera, n° IV/34.330.

334 Arrêt du Tribunal précité, European Federation of Ink and Ink Cartridge Manufacturers (EFIM)

c. Commission européenne, aff. T-296/09, EU:T:2011:693.

335 Voir, par exemple, arrêt de la Cour de justice du 5 octobre 1988, Société alsacienne et lorraine de télécommunications et d'électronique (« Alsatel »)/Novasam, C-247/86, arrêt de la Cour de justice du 16 juillet 2015, Huawei Technologies, C-170/13, ou encore décision n° 19-D-26, précitée.

336 Arrêt de la Cour de justice du 21 mars 1974, Belgische Radio en Televisie et société belge des auteurs, compositeurs et éditeurs (« BRT ») /SV SABAM, C-127/73, point 15.

337 Arrêt de la Cour de justice du 5 octobre 1988, Société alsacienne et lorraine de télécommunications et d'électronique (« Alsatel »)/Novasam, C-247/86, point 10.

338 Voir la décision n° 19-D-26 précitée, paragraphes 351-352 et décision n° 21-D-07 du 17 mars 2021 relative à une demande de mesures conservatoires présentée par les associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union Des Entreprises de Conseil et Achat Media, et Syndicat des Régies Internet dans le secteur de la publicité sur applications mobiles sur iOS, paragraphe 143.

339 Une politique poursuivant des objectifs légitimes ne peut être justifiée que si elle ne met pas en place des entraves dont le résultat dépasse l'objectif à atteindre339.

340 Arrêt de la Cour de cassation, chambre commerciale, du 25 septembre 2024, n° 22-19.527, paragraphes 34-36, qui précise que les conditions de transaction imposées par une entreprise en position dominante ne présentent un caractère inéquitable « que si celle-ci n'a pas agi dans une mesure raisonnable », notamment pour protéger ses intérêts commerciaux, c'est-à-dire que « son comportement n'était ni nécessaire ni proportionné à l'objectif poursuivi ».

341 Arrêt du Tribunal du 6 octobre 1994, Tetra Pak, T-83/91, points 138-140 et arrêt de la Cour de justice, BRT, précité, points 8-11.

342 Arrêt du Tribunal du 30 septembre 2003, Atlantic Container Line et autres c. Commission des Communautés européennes, T-191/98 et T-212/98 à T-214/98, EU:T:2003:245, paragraphe 1 120.

343 Ibid., paragraphe 1124 ; et décision de la Commission précitée, aff. AT.40437, Apple – App Store practices (music streaming), paragraphes 540 à 546.

344 Lorsque ce paramètre est désactivé dans Réglages, l'ATT ne s'affiche plus mais dans ce cas, les éditeurs sont susceptibles d'afficher leur CMP, pour recueillir le consentement des utilisateurs aussi bien pour la même finalité que pour d'autres finalités.

345 Décision n° 21-D-07 relative à une demande de mesures conservatoires présentée par les associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union Des Entreprises de Conseil et Achat Media, et Syndicat des Régies Internet dans le secteur de la publicité sur applications mobiles sur iOS, paragraphe 20.

346 Mémoire en réponse au Rapport, points 452-454, cotes 12 362 et 12 363.

347 Mémoire en réponse au Rapport, point 454, cote 12 363.

348 Arrêt de la Cour de justice, 27/76 précitée, United Brands et United Brands Continental/Commission, EU:C:1978:22, point 231.

349 Mémoire en réponse au Rapport d'Apple, paragraphes 66 et suivants.

350 Cotes 12 331 et suivantes.

351 Mémoire en réponse au Rapport, paragraphe 387, cote 12 345.

352 Cote 12 367, paragraphe 476.

353 Cote 12 371.

354 Cote 12 370.

355 Cote 12 371.

356 Cote 12 372.

357 Cotes 12 370 et 12 371.

358 Cotes 12 252 à 12 254.

359 Mémoire en réponse au Rapport, paragraphes 446 à 448, cote 12 361.

360 Cote 1 738.

361 Cote 6 160.

362 Cote 6 159, avis précité de la CNIL du 19 mai 2022, point 19.

363 Cotes 7402 à 7424.

364 Cote 7 420.

365 Cote 12 348.

366 Competition and Markets Authority, Appendix G to the Online Platforms and Digital Advertising market study, 1er juillet 2020, page 7, point 23.

367 Avis n° 18-A-03 précité, page 62, paragraphe 138.

368 Jugement du tribunal judiciaire de Paris du 9 juin 2020, n° RG 16/09799.

369 Cote 1 731 (saisine n° 20/0099 M).

370 Cote 8 804 (9 930 VNC).

371 Cotes 12 646 à 12 653.

372 Cote 12 647. Invisibly. (2 août 2021). 3 Out of 4 People Want Companies to Use Consumer Consented Data. Invisibly. Consulté le 24 octobre 2023 sur https://www.invisibly.com/insights/consumer-consented-data. L'article présente l'analyse les résultats d'une enquête Invisibly/Realtime menée en ligne auprès de 2 240 personnes de toutes les tranches d'âge.

373 Lesquels constituent des données « first party ».

374 Voir page 69 de l'étude Cheetah mentionnée à la cote 12 647.

375 Lin, T. (2022). Valuing intrinsic and instrumental preferences for privacy. Marketing Science, 41(4), 663681. https://doi.org/10.1287/mksc.2022.1368, cote 11 618.

376 Cote 12 610 (15 676 VNC) (Amaury).

377 Voir notamment les cotes 6 669 à 6 673, 6 679, 6 680, 6 683, 6 684, 8 326 à 8 328, 8 331, 8 332, 8 335 à

8 337, et 8 338 à 8 341 (CMI), 6 651 à 6 662 (Prisma), 6 625 à 6 629 et 8 408 à 8 411 (Le Figaro), 6 569 à

6 570 et 8 368 à 8 372 (Amaury), 6616 à 6624 (M6), 6584 à 6599 (Deezer), 6556 à 6557, 6 562 et 8 355 à

8 358 (LBC), 7 222 à 7 227 (Facebook et Instagram).

378 Voir par exemple https://www.mindmedia.fr/adtechs-martechs/directives-de-la-cnil-un-an-apres-quel- bilan-des-editeurs-sur-le-recueil-de-consentement/.

379 https://blog.didomi.io/fr/recommandations-cnil-taux-de-consentement.

380 Baromètre du numérique édition 2022, enquête sur la diffusion des technologies de l'information et de la communication dans la société française (https://www.economie.gouv.fr/cge/barometre-numerique-2022).

381 https://www.cnil.fr/fr/evolution-des-pratiques-du-web-en-matiere-de-cookies-la-cnil-evalue-limpact-de-son-plan-daction.

382 Voir notamment les cotes 6669, 6 680, 6 683, 6 684, 8 326 à 8 328, 8335 à 8 337, 8 338 à 8 341 (CMI),

6651 à 6662 (Prisma), 6 621 à 6629 et 8 408 à 8 411 (Le Figaro), 8 368 à 8 372 (Amaury), 6616 à 6624 (M6),

6 584 à 6 599 (Deezer), 6556 à 6557 (LBC), 6678 à 6 680 et 7 219, 7 222 à 7 223 (Facebook et Instagram).

383 https://www.flurry.com/blog/att-opt-in-rate-monthly-updates/.

https://tracker.my.com/blog/208/att-tracking-requests-in-ios-14-5-by-country-and-app-category-after-1- year?lang=en

https://www.inmobi.com/blog/how-to-increase-your-att-opt-in-rates et https://go.inmobi.com/idfa/ https://www.statista.com/statistics/1281345/apple-att-opt-in-rate-by-app-category/ https://iapp.org/news/a/report-att-opt-in-rates-at-25-overall/ https://www.mediapost.com/publications/article/385059/privacy-update-att-opt-in-rate-now-up-to-29.html.

384 Cette fourchette exclut le taux de CMI, qui se situe à 14 % en moyenne sur les trois applications de presse que CMI exploite, donc encore plus bas que la fourchette indiquée.

385 Cote 6 995.

386 Cote 6 995.

387 Cote 11 535 (11 873 VNC).

388 https://www.sri-france.org/wp-content/uploads/2022/12/20230130_Observatoire-E-Pub-FY-2022_VF.pdf.

389 Rapport de Pinterest à la SEC pour l'année 2022, p.23 https://www.sec.gov/ix?doc=/Archives/edgar/data/1506293/000150629323000023/pins-20221231.htm.

390 Rapport de Snap à la SEC pour l'année 2022, p.16 et 36, https://www.sec.gov/ix?doc=/Archives/edgar/data/1564408/000156440823000013/snap-20221231.htm.

391 Rapport de Meta à la SEC pour l'année 2022, p.19 et 70, https://www.sec.gov/ix?doc=/Archives/edgar/data/1326801/000132680123000013/meta-20221231.htm.

392 Ibid.

393 Rapport de Twitter à la SEC pour l'année 2022, p.14 et 41, https://www.sec.gov/ix?doc=/Archives/edgar/data/0001418091/000141809122000029/twtr-20211231.htm.

394 Tinder, Hinge, Match, Meetic, OKcupid, Pairs, Plenty of Fish, Azar, Hakuna Chispa, BLK et The League.

395 Rapport de Match Group à la SEC pour l'année 2022, p.16, https://www.sec.gov/ix?doc=/Archives/edgar/data/0000891103/000089110323000013/mtch-20221231.htm. 396 Rapport de Bumble à la SEC pour 2022, p.17, https://www.sec.gov/ix?doc=/Archives/edgar/data/1830043/000095017023005080/bmbl-20221231.htm

Bumble souligne la limitation de sa capacité à évaluer l'effet des campagnes de publicité et des retours sur investissements liés à la mise en œuvre de l'ATT.

397 https://www.sec.gov/ix?doc=/Archives/edgar/data/1109116/000095017023008445/evc-20221231.htm, p.14 et 15.

398 https://www.sec.gov/ix?doc=/Archives/edgar/data/1400891/000140089123000008/ihrt-20221231.htm, p.20.

399 https://www.sec.gov/ix?doc=/Archives/edgar/data/1760717/000176071723000010/scpl-20221231.htm,

p.15 et 16.

400 https://www.sec.gov/ix?doc=/Archives/edgar/data/0001345016/000134501623000009/yelp- 20221231.htm, p.25.

401 Voir la décision n° 21-D-11 précitée, paragraphe 262.

402 Cote 4 706.

403 Cote 8 387.

404 Cote 1 542.

405 Cote 1 056.

406 Cote 3 499.

407 Cote 3 496.

408 Cotes 7 182 à 7 189.

409 Cote 5 721.

410 Cote 1 909.

411 Cote 1 067.

412 Cote 7 883.

413 Cote 3 295.

414 Cote 1 792.

415 Cote 3 276 (3 658 VNC).

416 Cote 3 279.

417 Cote 3 201.

418 Cote 3 199.

419 Cote 3 200.

420 Cote 3 580.

421 Cotes 1 514 et 1 515.

422 Cote 7 474.

423 Cote 7 024.

424 Cote 8 331.

425 Cotes 12 412 et suivantes.

426 Cote 12 414 à 12 419 (15 517 à 15 522 VNC).

427 Cotes 12 419 et suivantes (15 522, 15 525 et 15 527 à 15 529 VNC pour les cotes 12 419, 12 422 et 12 424 à 12 426, respectivement).

428 Cote 12 427.

429 Cotes 12 419 et suivantes (15 522, 15 525 et 15 527 à 15 529 VNC pour les cotes 12 419, 12 422 et 12 424 à 12 426, respectivement).

430 Ibid.

431 Cote 12 414 (15 517 VNC), paragraphe 637.

432 Cotes 12 419 et suivantes (15 522, 15 525 et 15 527 à 15 529 VNC pour les cotes 12 419, 12 422 et 12 424 à 12 426, respectivement).

433 Cotes 12 424 et 12 425 (15 527 et 15 528 VNC).

434 Cote 12 671 (15 737 VNC).

435 Cotes 6 593 et 6 594.

436 Cotes 6 681 et 6 682 (8 331 et 8 332 VNC).

437 Voir paragraphe 1 031 du Rapport.

438 Voir paragraphe 1 010 du Rapport.

439 Aridor, G., Che, Y. K., Hollenbeck, B., Kaiser, M., & McCarthy, D. (2024). Evaluating The Impact of Privacy Regulation on E-Commerce Firms: Evidence from Apple's App Tracking Transparency. CESifo Working Paper No. 10928.

440 Cotes 12 427 et suivantes.

441 Arrêt de la cour d'appel de Paris du 7 avril 2022, RG n° 20/03811.

442 Arrêt de la Cour de justice du 10 novembre 2021, Google et Alphabet/Commission (Google Shopping), T-612/17, EU:T:2021:763, point 552.

443 Arrêt de la Cour de justice du 10 novembre 2021, Google et Alphabet/Commission (Google Shopping), T-612/17, EU:T:2021:763, point 552.

444 Arrêt de la Cour de justice du 27 mars 2012, Post Danmark, C‑209/10, EU:C:2012:172, points 40 et 41 et jurisprudence citée; arrêt du tribunal de l'Union du 30 janvier 2020, Generics (UK) e.a., C‑307/18, EU:T:2020:52, point 165 ; arrêt de la Cour du 12 mai 2022, Servizio Elettrico Nazionale e.a., C‑377/20, EU:C:2022:379, point 84; arrêt de la Cour du 21 décembre 2023, European Superleague Company, C-333/21, EU:C:2023:1011, points 201 et 202. Les exemples fournis dans la présente section ne constituent pas une liste exhaustive des justifications objectives pouvant être invoquées dans le cadre des affaires relevant de l'article 102 du TFUE.

445 Arrêt de la Cour de justice du 12 mai 2022, Servizio Elettrico Nazionale e.a., C-377/20, EU:C:2022:379, point 103. Voir, en ce sens, arrêt du tribunal de l'Union du 14 septembre 2022, Google et Alphabet/Commission (Google Shopping), T-604/18, EU:T:2022:541, point 883.

446 Arrêt de la Cour de justice du 17 février 2011, TeliaSonera Sverige, C-52/09, EU:C:2011:83, point 76.

447 Arrêt de la Cour de justice du 12 mai 2022, Servizio Elettrico Nazionale e.a., C-377/20, EU:C:2022:379, point 103. Voir, en ce sens, arrêt du tribunal de l'Union du 14 septembre 2022, Google et Alphabet/Commission (Google Shopping), T-604/18, EU:T:2022:541, point 883.

448 Cote 12 428.

449 Cote 12 429.

450 Ibid.

451 Cote 12 430.

452 Cote 6 160.

453 Cote 6 158 par exemple.

454 Arrêt de la Cour de justice du 4 juin 2009, T-Mobile Netherlands BV e.a., C-8/08, points 46, 49 et 50 ; arrêt de la cour d'appel de Paris du 29 mars 2012, n° 2011/01228, Lacroix Signalisation e.a., sur la décision n° 10-D-39 du 22 décembre 2010 relative à des pratiques mises en œuvre dans le secteur de la signalisation routière verticale, p.18.

455 Voir notamment les arrêts de la Cour de justice du 28 juin 2005, Dansk Rorindustri A/S e.a./Commission, C-189/02 P, C-202/02 P, C-205/02 P à C-208/02 P et C-213/02P, point 112 ; du 10 janvier 2006, Ministero dell'Economica e delle Finanze, C-222/04, point 107 ; du 11 janvier 2006, Federacion Espanola de Empresas de Tecnologia Sanitaria (FENIN)/Commission, C-205/03 P, point 25, et du 20 janvier 2011, General Quimica SA e.a./Commission, C-90/09 P, point 34.

456 Voir notamment les arrêts de la Cour de justice du 14 décembre 2006, Confederacion Espanola de Empresarios de Estaciones de Servicio, C-217/05, point 40, du 10 septembre 2009, Akzo Nobel NV e.a./Commission, C-97/08 P, point 55, du 20 janvier 2011, General Quimica SA e.a./Commission, C-90/09 P, point 35, du 29 mars 2011, ArcelorMittal Luxembourg SA/Commission, C-201/09 P et C-216/09 P, point 95, du 29 septembre 2011, Elf Aquitaine SA/Commission, C-521/09, point 53, du 29 septembre 2011, Arkema SA/Commission, C-520/09 P, point 37 ; voir également l'arrêt de la cour d'appel de Paris du 29 mars 2012, Lacroix Signalisation e.a., précité, p.18.

457 Voir notamment les arrêts de la Cour de justice General Quimica précité, point 36 ; Akzo Nobel NV e.a./Commission, précité, point 56 ; ArcelorMittal Luxembourg SA/Commission, précité, point 95 ; Elf Aquitaine SA/Commission, précité, point 53 ; voir également l'arrêt de la cour d'appel de Paris, Lacroix Signalisation e.a., précité, pages 18 et 20.

458 Arrêt de la Cour, Aalborg Portland A/S e.a. c./Commission, précité, point 59.

459 Arrêt du Tribunal, 14 décembre 2006, Raiffeisen Zentralbank Österreich AG e.a. c./Commission, affaires jointes T-259/02 à T-264/02 et T-271/02, point 326 ; voir également l'arrêt de la Cour de cassation du 23 juin 2004, BNP Paribas e.a., n° 01-17896 et 02-10066 et l'arrêt de la cour d'appel de Paris du 14 janvier 2009, Eurelec Midi Pyrénées e.a., n° 2008/01095, page 5.

460 Voir notamment la décision n° 08-D-09 du 6 mai 2008 relative à des pratiques mises en œuvre dans le secteur des pompes funèbres à Lyon et dans son agglomération, point 211, confirmée par l'arrêt de la cour d'appel de Paris du 31 mars 2009, Agence funéraire lyonnaise pompes funèbres Viollet, n° 2008/11353, page 24 ; voir également Cass. com., 20 novembre 2001, SACER e.a., pourvois n° 99-16776 et 99-18253, rendu sur la décision n° 98-D-33 du 3 juin 1998 relative à des pratiques mises en œuvre à l'occasion de la passation de marchés publics de la voirie et réseaux divers dans le département de l'Hérault ; voir également la décision n° 01-D-14 du 4 mai 2001 relative à des pratiques relevées lors de marchés de fabrication et de mise en œuvre d'enrobés bitumeux sur les routes départementales de l'Isère, page 19.

461 Arrêts précités de la Cour de justice Akzo Nobel e.a./Commission, précité, point 58, General Quimica/Commission précité, point 37, et Lacroix Signalisation e.a., précité, p. 18 et 19.

462 Arrêts précités de la Cour de justice Akzo Nobel précité, points 60 et 61, General Quimica précité, points 39 et 40, et Lacroix Signalisation e.a., précité, p. 19 et 20.

463 Cotes 9 165 et 9 166 (9 225 et 9 226 VNC).

464 Règlement (CE) n° 1/2003 du Conseil du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité, JOUE, 2003, L1, p.1.

465 Communiqué sanctions, paragraphe 7.

466 Ibid., paragraphe 6.

467 Ibid., paragraphes 21 et 22.

468 Mémoire d'Apple en réponse au Rapport, paragraphes 703 à 718.

469 Décision n° 21-D-07, paragraphe 147.

470 Mémoire d'Apple en réponse au rapport, paragraphe 653.

471 Dans son avis du 17 décembre 2020, la CNIL a souligné que « le “pop-upˮ proposé par la société Apple se distingue des interfaces actuellement observées sur un nombre considérable de sites web et d'applications mobiles non conformes à la règlementation » (paragraphe 23), saisine 20/0099 M, cote 1 733.

472 Arrêt de la Cour de cassation du 5 avril 2018, pourvois n° 16-19.186 et 16-19.274, page 7.

473 Arrêt de la cour d'appel de Paris du 7 avril 2022, RG n° 20/03811, paragraphes 360 à 365.

474 Voir la décision n° 21-D-07 précitée, paragraphe 30.

475 Arrêt de la Cour de cassation du 28 avril 2004, Colas Midi-Méditerranée e.a., n° 02-15203.

476 Voir, notamment, l'arrêt de la Cour du 26 juin 2006, Showa Denko/Commission, aff. C-289/04, points 16 et 17.

477 Arrêt de la Cour du 4 septembre 2014, YKK Corporation, C-408/12, point 86.

478 https://www.apple.com/newsroom/pdfs/fy2023-q4/FY23_Q4_Consolidated_Financial_Statements.pdf.

479 https://www.zonebourse.com/cours/action/MICROSOFT-CORPORATION-4835/actualite/Microsoft-detrone-Apple-pour-devenir-la-premiere-entreprise-mondiale-en-termes-de-capitalisation- 45738832/?utm_source=copy&utm_medium=social&utm_campaign=share (15 janvier 2024) ;

https://companiesmarketcap.com/.

480 https://www.apple.com/fr/legal/internet-services/terms/site.html.