Quand l’excès de protection des données peut nuire à la concurrence
L’Autorité de la concurrence demande à la CNIL de renoncer à certaines de ses recommandations sur les applications mobiles. Elle considère que l’encouragement d’Apple et Google à contribuer au contrôle de conformité au RGPD et à des exigences excédant la réglementation en matière de vie privée risquerait d’accroître leur contrôle d’accès au marché. Elle demande à ce que leur rôle, qui ne peut être celui d’une régulation déléguée, soit limité et exercé dans des conditions transparentes, équitables, proportionnées et non discriminatoires.
Il aura fallu attendre plus de neuf mois pour que l’avis de l’Autorité de la concurrence sur le projet de recommandations de la CNIL soit rendu public : le temps que la CNIL établisse ses recommandations définitives sur les applications mobiles. Un délai qui peut laisser penser que l’Autorité de protection des données personnelles aura été réticente à prendre en compte toutes les demandes de l’Autorité de régulation de la concurrence consistant à réduire l’intensité de protection souhaitée par la CNIL. Un dialogue donc, mais un dialogue difficile. En tout cas un dialogue imposé par la Cour de justice dont l’arrêt Meta (CJUE 4 juill. 2023, aff. C-252/21, Dalloz actualité, 14 sept. 2023, obs. V. Giovannini ; AJDA 2023. 1542, chron. P. Bonneville, C. Gänser et A. Iljic 
; D. 2023. 1313 ; Dalloz IP/IT 2024. 45, obs. A. Lecourt ; RTD eur. 2023. 754, obs. L. Idot ) a posé le principe de la coopération loyale et de la prise en considération des décisions respectives entre les autorités de concurrence et les autorités de protection de la vie privée.
Le projet de recommandations de la CNIL visant à conférer un rôle de régulateur délégué de la protection des données aux contrôleurs d’accès à l’écosystème
Aux termes de ses recommandations initiales, la CNIL avait estimé que l’écosystème formé par les systèmes d’exploitation (Operating Systems ou OS), leurs magasins d’applications, les éditeurs d’applications et les éditeurs de kits de développement des applications, devait être le garant d’un niveau élevé de protection de la vie privée des utilisateurs. Elle envisageait notamment de confier aux magasins d’applications une sorte de rôle de garant et de vérificateur de conformité des éditeurs, c’est-à-dire en quelque sorte de « régulateur de second niveau » ou de régulateur délégué. Elle souhaitait également que l’accès aux fonctionnalités des téléphones (appareil photo, GPS, bluetooth, NFC, données stockées, capteurs, etc.), fourni aux éditeurs par les OS au moyen de leurs API (Application Programming Interface), donne lieu à une demande de « permission » régulière plutôt que restreinte.
Divergence d’intérêts entre droit de la concurrence et protection de la vie privée
En réaction à cette conception de surconformité et du rôle d’arbitre de conformité des magasins d’application, l’Autorité de la concurrence oppose des risques d’atteinte au bon fonctionnement du marché en raison à la fois de sa structure et des comportements des utilisateurs. En particulier, elle suspecte que les opérateurs dominants que sont Apple et Google, qui détiennent les principaux OS et magasins d’applications en situation intégrée, profitent de leur rôle pour exclure du marché d’autres opérateurs par des comportements arbitraires (§ 87).
L’Autorité détaille d’abord le contexte spécifique de marché. Après avoir rappelé que le marché se présente en forme de duopole dont Google détient 74 % de part de marché des OS et Apple en détient 26 %, elle indique que chacun des magasins d’applications constitue un marché propre (§§ 30-31). S’agissant de plateformes dont le contrôleur d’accès peut risquer d’évincer des opérateurs par l’application des règles dans l’écosystème, l’Autorité souligne le rôle central que jouent les données. D’une part, leur maîtrise et leur accumulation est de nature à conférer un pouvoir de marché (§ 84) ; d’autre part, elles sont un paramètre de concurrence dans le choix des utilisateurs (§ 90).
À cet égard, si le niveau de respect de la vie privée par les opérateurs peut constituer un facteur de différenciation de la qualité des services pour les utilisateurs, l’Autorité relativise fortement l’alignement des enjeux entre protection des données et droit de la concurrence. Elle indique d’abord que les effets de réseaux (plus il y a d’utilisateurs, plus la plateforme est attractive) rendent les utilisateurs relativement captifs (§ 107). Elle note encore que les entreprises ayant une plus forte notoriété bénéficient d’une prime d’antériorité (§ 143).
Elle ajoute surtout que la priorité de choix pour les services offrant une meilleure protection et l’augmentation de la disposition à payer à mesure de la protection ne sont que des critères secondaires et hétérogènes de choix qui s’incarnent notamment dans le privacy paradox (les utilisateurs sont préoccupés par le respect de leur vie privée mais ont des pratiques relativement permissives en la matière [§§ 90-99]). L’Autorité liste d’ailleurs une série de facteurs qui altèrent la rationalité des utilisateurs au détriment du paramètre de protection de la vie privée dans leurs décisions économiques : notamment l’asymétrie d’information sur la politique de confidentialité, sur les avantages à court terme et les sacrifices à long terme, et les biais cognitifs et comportementaux créés par les opérateurs (les fameux dark patterns résultant des boutons de choix, de leur pré-sélection, des effets de frustration et de pression).
Il est ainsi assez notable que, pour déterminer son approche sur les effets concurrentiels d’une réglementation protégeant les consommateurs (dont l’accroissement du bien-être est également la finalité du droit de la concurrence), l’Autorité s’attache aussi soigneusement à l’importance de facteurs d’économie comportementale.
Grille d’analyse du rôle des opérateurs dominants
C’est dans ce contexte de marché que l’Autorité livre une grille d’analyse des recommandations de la CNIL. Selon elle, des exigences de surconformité à la main d’Apple et de Google risqueraient de favoriser encore davantage des entreprises dominantes et d’empêcher l’émergence de produits innovants (§§ 141-142). Si elle peine à se référer à une jurisprudence précise, elle rappelle néanmoins sa saisine toujours en cours contre l’App Tracking Transparency d’Apple (§ 137) : un service qui limite l’utilisation d’un identifiant unique permettant une publicité personnalisée – légitimement collecté par un éditeur – en vue de son partage avec d’autres annonceurs.
L’Autorité se fonde en définitive assez peu sur les dispositions du règlement (UE) 2022/1925 du 14 septembre 2022 sur les marchés numériques (Digital Markets Act ou DMA), alors même que les OS et magasins d’applications de Google et d’Apple figurent parmi les plateformes essentielles désignées par la Commission en application du DMA. Si l’ensemble de son raisonnement s’y rapporte à l’évidence, elle y fait essentiellement des références indirectes. Elle invite en particulier la CNIL à rappeler que les recommandations de la CNIL doivent être appliquées par Apple et Google (en leur qualité de fournisseurs d’OS et de magasins d’applications dominants) dans les mêmes conditions pour leurs propres applications que pour les applications tierces, c’est-à-dire en s’abstenant de toute autopréférence. Cette simple allusion s’explique sans doute par le fait que les pratiques en cause entrent mal dans les termes de l’article 6.5 du DMA qui ne réprime le self-preferencing qu’en matière de référencement et de classement (mais l’exclusion n’est-elle pas en soi un refus de référencement ?). Mais surtout, l’Autorité aurait pu davantage insister sur l’article 6.12 du DMA exigeant des contrôleurs d’accès qu’ils appliquent des conditions d’accès équitables, raisonnables et non discriminatoire à ses boutiques d’applications. Car c’est bien en application de ce principe que, afin d’éviter de conférer un pouvoir prescriptif discrétionnaire aux OS et magasins d’applications d’Apple et Google limitant l’accès au marché des éditeurs d’applications, l’Autorité retient pour principe que les restrictions d’utilisations de leurs services fondés sur des obligations excédant celles du RGPD doivent être objectives, proportionnées, transparentes et non discriminatoires (§ 174).
Les modifications des recommandations demandées par l’Autorité
Indépendamment du renforcement du contrôle d’accès de l’écosystème par Google et Apple, l’Autorité de la concurrence a demandé à la CNIL de renoncer à la recommandation tendant à limiter la création de compte utilisateur par les éditeurs d’application. Elle considère en effet notamment que cela peut limiter les possibilités d’utilisation des applications (particulièrement de jeu) d’une plateforme à l’autre. Ce d’autant que, par ailleurs, la collecte de données dans le cadre d’un compte (environnement logué) présente des avantages et inconvénients concurrentiels par rapport à la collecte au moyen de cookies. Aussi la minimisation injustifiée des environnements logués aurait un effet pouvant fausser le jeu du marché (§§ 188-191).
S’agissant de l’accès aux fonctionnalités du téléphone par les éditeurs d’applications dont les OS sont les gestionnaires, l’Autorité met en garde contre les biais informationnels des OS qui découragent les accès aux fonctionnalités nécessaires aux applications par des demande de permission injustifiée auprès des utilisateurs ou en réitérant les demande de permission de façon trop fréquente (§§ 226-228). L’Autorité s’oppose enfin au projet de la CNIL qui envisageait de fournir des données partielles, voire inexactes, aux applications en cas de refus de permission par les utilisateurs, de façon à ce que les éditeurs ne tirent pas d’enseignement ou de rétorsion de ce refus. L’Autorité considère en effet que les risques de dysfonctionnement des applications qui en résulterait fausserait le jeu de la concurrence, empêcherait les adaptations et affecterait la monétisation (§§ 231 s.).
S’agissant des magasins d’applications (Google Play et Apple Store), la CNIL souhaitait leur confier un rôle particulier de contrôle de la conformité des applications au RGPD (tout comme d’ailleurs aux fournisseurs de kits de développement des applications dont plusieurs sont liés aux grandes plateformes). Mais l’Autorité lui demande de limiter cette mission. Elle veut en particulier s’assurer qu’Apple et Google n’en profitent pas pour obtenir des informations commercialement sensibles (par ex., sur les finalités fines de traitement des données ou l’analyse d’impact interne, mais encore sur les modalités de financement des applications) qui pourraient donner aux opérateurs dominants une connaissance de services concurrents pour améliorer les leurs (§§ 267 s.). L’Autorité veut encore éviter que, sous couvert d’une revue de conformité des applications, les magasins d’applications exercent un contrôle conditionnant ou retardant l’accès à l’écosystème (§§ 273 s.) ou qu’ils délivrent des interprétations du RGPD leur conférant un rôle prescriptif excluant certaines applications (§§ 284 s.). Néanmoins, elle ne précise pas d’autre limite que celle d’un contrôle de conformité transparent, équitable, proportionné et non discriminatoire, incluant un mécanisme de règlement des différends. Elle considère même (certes de façon discrète et elliptique) que, si les magasins d’applications n’ont pas la qualité de responsable du traitement, ils peuvent légitimer ce contrôle de conformité par les dispositions du règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques (Digital Services Act ou DSA). Ce qui est pourtant un fondement très contestable dès lors qu’il ne s’agit ni de contenus illicites publiés ni de services portant atteinte à la sécurité.
En d’autres termes, l’Autorité n’interdit pas aux magasins d’applications d’assurer un contrôle de conformité, mais elle demande à la CNIL de ne pas les y encourager et de signaler que ce contrôle doit répondre à une certaine neutralité concurrentielle d’accès au marché.
La CNIL souhaitait enfin favoriser une notation des applications par les magasins d’application sur les critères du respect de la vie privée. Là encore, l’Autorité demande d’éviter un scoring conférant aux opérateurs dominants une faculté d’orientation du marché dans leur intérêt et de façon subjective, de sorte qu’elle a invité la CNIL à recommander une notation faite par des tiers indépendants.
En définitive, la CNIL aura pour l’essentiel suivi l’avis de l’Autorité de la concurrence, même si l’on perçoit la divergence paradoxale entre droit de la concurrence et vie privée : l’élévation de la protection des données personnelle au-delà du standard réglementaire est à la fois une amélioration d’un facteur de choix au profit des utilisateurs et en même temps un risque de perturbation du marché si elle est à la main d’opérateurs dominants.
Aut. conc., avis n° 23-A-20 du 4 déc. 2023, mis en ligne le 23 sept. 2024
© Lefebvre Dalloz