Sur le fondement de l’article 15 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, l’Autorité de la concurrence (ci-après, « l’Autorité ») a été saisie par la Commission Nationale de l’Informatique et des Libertés (ci-après, « CNIL ») pour avis portant sur un projet de recommandation relative aux applications mobiles (ci-après, le « projet »).
Les applications mobiles, logiciels applicatifs distribués dans l’environnement des téléphones mobiles multifonctions et tablettes, constituent l’un des principaux moyens d’accès à des contenus et des services numériques à partir de ces terminaux mobiles. Elles permettent d’y ajouter des fonctionnalités ou services supplémentaires dans des domaines très divers (services de réseaux sociaux, de divertissement, d’achats à distance, mobilité, services bancaires, etc.).
L’utilisation d’applications mobiles permet le traitement de grandes quantités de données personnelles. Selon la CNIL, si les principes et obligations en matière de protection des données et de la vie privée (ci-après, « protection de la vie privée ») sont désormais bien connus des opérateurs de sites internet et font déjà l’objet de recommandations, leur mise en œuvre dans le contexte des applications mobiles serait parfois incertaine.
Dans ce contexte, le projet de la CNIL vise à apporter davantage de sécurité juridique aux acteurs et à favoriser des bonnes pratiques au bénéfice des utilisateurs. Ce projet clarifie en particulier les qualifications et responsabilités des différents acteurs de l’écosystème des applications mobiles au regard de la réglementation applicable en matière de protection de la vie privée. Il rappelle en premier lieu, les principales obligations de ces acteurs au regard du Règlement général de la protection des données (ci-après, « RGPD ») et de la loi dite Informatique et Libertés1 et édicte, en second lieu, une série de conseils et de bonnes pratiques dont la CNIL préconise la mise en œuvre.
La structure concurrentielle du secteur des applications mobiles se caractérise par la présence d’acteurs verticalement intégrés tout au long de la chaîne de valeur des applications mobiles et qui ont mis en place des écosystèmes distincts. En effet, Alphabet Inc. et Apple sont à la fois fournisseurs de systèmes d’exploitation (ci-après, « OS »), de magasins d’applications et de kits de développements logiciels, éditeurs, développeurs et fournisseurs d’autres services. En tant que fournisseur d’OS et/ou de magasins d’applications, ces acteurs établissent au sein de leur écosystème, des règles d’accès spécifiques. En outre, ces acteurs ont récemment été désignés « contrôleurs d’accès » au sens du règlement sur les marchés numériques (« Digital Markets Act », ci-après, le « DMA ») par la Commission européenne pour plusieurs services de plateforme essentiels, dont leurs OS pour terminaux mobiles (Google Android pour Alphabet et iOS pour Apple) et leurs services d’intermédiation de magasins d’applications (Google Play Store pour Alphabet et App Store pour Apple). Ce règlement, en vigueur depuis novembre 2022 et appliqué depuis mai 2023, régit certains services des contrôleurs d'accès, à savoir de grandes plateformes en ligne qui constituent un point d'accès majeur entre les entreprises utilisatrices et les consommateurs, afin de garantir la contestabilité et l'équité des marchés dans le secteur numérique. De plus, ces acteurs verticalement intégrés sont susceptibles de détenir une position dominante sur certains marchés de la chaîne de valeur des applications mobiles.
L’Autorité et la CNIL partagent une ambition commune de protection des données personnelles et de la vie privée et du respect de la concurrence. En particulier, ces deux politiques présentent une certaine convergence d’objectifs, en ce qu’elles sont, in fine, mises en œuvre au bénéfice des usagers.
En ce sens, l’Autorité considère que le projet de la CNIL doit être salué en ce qu’il vise à répondre à un besoin de clarification exprimé par les acteurs du secteur et, in fine, à favoriser une meilleure protection des données personnelles de l’utilisateur.
En particulier, l’Autorité considère qu’une meilleure information des acteurs de la chaîne de valeur des applications mobiles concernant la mise en œuvre de la réglementation sur la protection de la vie privée est source de transparence des marchés et de réduction des barrières à l’entrée. L’Autorité salue également les recommandations de la CNIL visant à favoriser des règles d’accès transparentes, en particulier les recommandations relatives à la transparence des processus de revue des magasins d’applications.
S’agissant des utilisateurs, l’Autorité souligne que plusieurs recommandations encouragent une meilleure transparence de l’information des utilisateurs sur la collecte et l’utilisation de leurs données personnelles. Sur ce point, l’Autorité considère qu’une meilleure transparence de l’information est de nature à éclairer les consommateurs lors de leurs décisions et à favoriser l’exercice plus libre de la concurrence sur le paramètre de la protection de la vie privée.
Toutefois, il peut parfois exister des tensions entre les objectifs des politiques de protection de la vie privée et de concurrence. Ainsi, les dispositions du RGPD, qui visent en premier chef la protection de la vie privée, sont le fruit d’une mise en balance entre plusieurs intérêts légitimes, y compris la nécessité de ne pas affecter excessivement l’efficacité des marchés. L’Autorité estime que des mesures de protection de la vie privée qui iraient au-delà de ce qui est strictement imposé par le RGPD ne sont pas illicites en soi. Toutefois, afin d’éviter qu’elles ne nuisent à la bonne efficacité économique des marchés, il est essentiel qu’elles soient définies et mises en œuvre en évitant d’engendrer des effets anticoncurrentiels qui ne seraient pas contrebalancés par un gain suffisant pour les consommateurs. Ceci est particulièrement important lorsque de telles mesures sont mises en œuvre par des opérateurs dominants, lesquels doivent veiller à ne pas porter atteinte, par leur comportement, à une concurrence effective et non faussée et, partant, doivent s’assurer que leurs règles d’accès ou de fonctionnement soient proportionnées et appliquées de manière objective, transparente et non discriminatoire.
Or, l’Autorité observe que le projet accorde aux fournisseurs d’OS et aux magasins d’applications un rôle important en matière de protection de la vie privée qui ne découle pas directement d’obligations conférées par la réglementation en vigueur relative à la protection de la vie privée, et notamment par le RGPD.
Partant de ces constatations, l’Autorité considère que le projet devrait, dans son approche, davantage tenir compte de la structure concurrentielle du secteur, et en particulier de la position de certains acteurs. Dans ce contexte, l’Autorité appelle l’intérêt de la CNIL à ce que ses recommandations ne confèrent pas un pouvoir supplémentaire à des acteurs disposant déjà d’un fort pouvoir de marché, notamment à ceux qui ont été désignés contrôleurs d’accès pour certains services ou qui pourraient être considérés comme étant en position dominante, ces acteurs pouvant être susceptibles de s’appuyer sur ces recommandations à des fins anticoncurrentielles. De plus, l’Autorité invite la CNIL à prêter une attention particulière à ce que ses recommandations n’aient pas l’effet de déléguer sa compétence, en tant que régulateur national, aux contrôleurs d’accès, au risque de renforcer les asymétries de pouvoir de marché au bénéfice de ces derniers.
L’Autorité considère également souhaitable que la CNIL mentionne expressément que ses recommandations s’appliquent de la même manière aux applications mobiles propriétaires des fournisseurs d’OS ou de magasins d’applications qu’aux applications tierces, afin d’éviter que celles-ci soient utilisées par certains opérateurs pour mettre en œuvre un traitement différencié susceptible d’avantager les applications mobiles propriétaires.
En outre, dans la mesure où les bonnes pratiques préconisées par la CNIL ne résulteraient pas d’une approche harmonisée entre les différentes autorités nationales de régulation de la protection de la vie privée, l’Autorité accorde une importance particulière au fait que ces recommandations ne viennent pas créer des barrières à l’entrée supplémentaires pour de nouveaux entrants sur le marché français ni de désavantage en termes de coûts ou de contraintes pour les entreprises établies en France.
Enfin, l’Autorité invite la CNIL à s’assurer que ces recommandations ne risquent pas de créer des distorsions de concurrence entre les univers mobile et web et/ou d’engendrer des barrières supplémentaires à l’entrée ou à l’expansion dans l’environnement applicatif mobile.
1Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi
n° 2018-493 du 20 juin 2018.