La newsletter d'actu techno-juridique : tous les mardis matin à 9h, faites la mise à jour !
En cliquant sur “S’abonner”, vous consentez à recevoir la newsletter d’Aeon (la “Maj”) chaque mardi matin à l’adresse email que vous avez indiquée. Les données saisies dans les champs ci-dessus nous sont nécessaires pour vous adresser la Maj par l’intermédiaire de notre prestataire MailChimp, et ne sont utilisées qu’à cette fin.
Vous consentez également à ce que MailChimp collecte, par l’intermédiaire d’un traceur placé dans l’email contenant la newsletter, des informations relatives à l’ouverture de cet email et à votre lecture de la Maj. Ces informations ne sont utilisées par Aeon qu’aux fins d’améliorer la Maj et son contenu, et ne sont partagées avec aucun tiers hormis le prestataire MailChimp.
Si vous souhaitez lire la Maj sans que ces informations soient collectées, notez que vous pouvez la retrouver à tout moment à cette adresse aeonlaw.eu/maj. Vous pouvez également vous abonner au flux RSS de cette page pour être averti de chaque nouvelle Maj dès sa parution, en cliquant ici !
Pour plus d’informations, consultez la Politique de Confidentialité d’Aeon en cliquant ici.
Alors que l’on est encore sous la surprise de la nomination de notre Confrère (pour deux d’entre nous) et concitoyen (pour notre troisième larron), Me Eric Dupont Moretti, au ministère de la Justice et que l’on peine encore à trouver ce que l’on en pense, une annonce récente d’Apple nous permet de tisser sur un thème qui nous est cher. « Code is law » nous disait déjà Lawrence Lessig en 1999 et la décision de la firme de Cupertino, avec le déploiement de la 14ème version d’iOS, de forcer les applications mobiles distribuées sur l’Apple Store à demander le consentement des utilisateurs avant d’accéder aux identifiants publicitaires des utilisateurs n’est qu’une autre flagrante illustration du rapport intime qu’entretiennent le droit et la technique.
Law is code
Apple s’est, depuis quelques années, positionné sur le marché comme un fervent défenseur de la vie privée des utilisateurs de ses produits. En 2016, le GAFAM avait ainsi défrayé la chronique en refusant d’assister le FBI américain dans le déblocage de l’Iphone d’un des tireurs de l’attaque de San Bernardino, laquelle avait engendré la mort de 14 personnes et la blessure de 22 autres. Aujourd’hui, Apple ne s’érige pas contre un gouvernement mais contre tout un secteur économique : celui de la publicité ciblée.
Chaque Iphone se voit attribuer un identifiant unique, baptisé IDFA, qui permet aux publicitaires de faire le lien entre toutes les données qu’ils collectent via les applications mobiles et/ou des sources tiers et le fait qu’elles proviennent d’un seul et même individu ainsi que d’évaluer la performance des campagnes distribuées. C’est sur la base de ces données que ces derniers peuvent constituer des profils individuels et ainsi être sûrs que la bonne publicité arrive au bon destinataire. Dans la mesure où il s’agit d’accéder à une information déjà stockée sur le terminal d’un utilisateur (ceux qui savent n’ont même pas besoin de lire la fin de la phrase), l’opération est censée être soumise à l’obtention préalable du consentement de l’utilisateur, et ce en application de l’article 5.3 de notre chère directive ePrivacy.
Jusqu’à présent, la conformité des applications mobiles sur Iphone à cette exigence était laissée à la charge et responsabilité de leurs éditeurs qui restaient donc libres de demander un tel consentement préalable ou de ne pas le faire. Ce système permettait donc à des éditeurs peu scrupuleux de tout bonnement faire fi des règles de la directive ePrivacy, fut-ce à leurs risques et périls.
La décision d’Apple consistant à modifier le système d’exploitation des Iphones pour que la collecte des IDFA des utilisateurs ne puisse matériellement pas se faire sans l’obtention du consentement préalable des utilisateurs permet donc de pallier cette difficulté et n’a, en soit, rien d’extraordinaire. En effet, il s’agit à la fois d’étendre des dispositifs déjà déployés pour l’accès à ou la lecture d’autres données se trouvant sur les terminaux des utilisateurs comme les données de géolocalisation, les listes de contact ou encore les images des caméras des smartphones mais également de poursuivre la mise en œuvre des recommandations émises par le G29 en 2013 dans son avis sur les applications destinées aux dispositifs intelligents concernant le rôle des “magasins d’application” (sic) et des éditeurs de systèmes d’exploitation. De même, d’aucuns peuvent y voir une simple mise en œuvre du principe de privacy by default imposé par le RGPD, lequel exige que lorsqu’une alternative se présente, l’option la moins coûteuse pour la vie privée des personnes concernées soit celle qui sera implémentée.
Code is law
Seulement, et c’est là que le balancier emprunte un mouvement inverse, le choix technique opéré par Apple va au-delà de la simple application, certes forcée, de la loi et devient l’imposition de la loi d’Apple.
En effet, le système basé sur la responsabilisation des éditeurs d’application mobile laissait ces derniers libres de déterminer comment le consentement préalable des utilisateurs était obtenu, ce qui leur permettait de personnaliser leurs bannières de consentement selon leurs propres chartes graphiques et de la concevoir d’une manière qui puisse respecter les exigences du RGPD en matière de validité du consentement tout en assurant une expérience utilisateur viable. Avec la nouvelle version d’iOS, les utilisateurs d’iPhone se verront tous présenter une bannière unique made in Apple au moment où il sera question d’accéder à leur IDFA et ce quelle que soit l’application mobile en cause (on vous laisse juger sur pièce, tant sur l’UX que sur la conformité à la règlementation) :
La liberté dont les éditeurs d’application mobile bénéficiait de fait grâce à l’absence d’intervention de Google et d’Apple sur ce point précis avait également permis à l’industrie de la publicité en ligne de se structurer en adoptant des standards communs, tels que le Transparency & Consent Framework de l’IAB, afin d’assurer une meilleure interopérabilité des différentes solutions utilisées dans le secteur ainsi qu’une mise en œuvre uniforme des règles imposées par la règlementation sur la protection des données. Le système qu’Apple s’apprête à déployer met donc à mal ces efforts et la pertinence de ces codes de conduite alors que le RGPD a été justement pensé pour favoriser ces mécanismes d’auto-régulation à la fois parce qu’ils facilitent le respect des acteurs aux exigences de la règlementation mais également en ce qu’ils permettent de ne pas tomber dans l’écueil d’imposer des standards a priori qui se révéleront ultérieurement, voire immédiatement, inadéquats ou impropres à suivre les évolutions de la technologie et des usages.
L’on comprendra donc le coup de gueule des associations de professionnels qui a suivi l’annonce de la décision d’Apple et ce d’autant plus qu’il semblerait que ce move favoriserait ses services publicitaires maison qui, eux, ne seraient pas concernés par le changement technique à venir.
On vous lâchera donc, cher lecteur, encore et toujours avec cette question : y a-t-il encore une véritable différence entre la loi des nations et la loi des GAFAM ?