A l’occasion de la publication par la Commission Nationale de l’Informatique et des Libertés (CNIL) de sa recommandation finale sur les applications mobiles, l’Autorité publie l’avis qu’elle lui avait rendu en décembre 2023 dans le cadre de la préparation de ce texte.
L’essentiel
Les applications mobiles constituent l’un des principaux moyens d’accès à des contenus et des services numériques à partir de smartphones et tablettes et leur utilisation permet le traitement de grandes quantités de données personnelles. Dans ce contexte, le projet de recommandations de la CNIL vise à apporter davantage de sécurité juridique aux acteurs et à favoriser des bonnes pratiques au bénéfice des utilisateurs.
L’Autorité salue le projet de la CNIL en ce qu’il vise à répondre à un besoin de clarification exprimé par les acteurs du secteur et, in fine, à favoriser une meilleure protection des données personnelles de l’utilisateur. Par ailleurs, l’Autorité considère qu’une meilleure information concernant la mise en œuvre de la réglementation sur la protection de la vie privée est source de transparence des marchés et de réduction des barrières à l’entrée.
Toutefois, l’Autorité souhaite formuler des observations sur les problématiques concurrentielles susceptibles d’être soulevées par le projet de la CNIL dans son ensemble ainsi que plus particulièrement par des dispositions spécifiques concernant certaines catégories d’acteurs. Dans cette optique, l’Autorité adresse une série de recommandations à la CNIL.
De façon générale, l’Autorité estime que des mesures de protection de la vie privée, qui iraient au-delà de ce qui est strictement imposé par le RGPD, ne sont pas illicites en soi mais peuvent nuire à la bonne efficacité économique des marchés. C’est pourquoi, il est essentiel qu’elles soient définies et mises en œuvre en évitant d’engendrer des effets anticoncurrentiels qui ne seraient pas contrebalancés par un gain suffisant pour les consommateurs.
Dans ce cadre, l’Autorité appelle la CNIL à tenir compte, dans son approche, de la structure concurrentielle du secteur, et en particulier de la position de certains acteurs. L’Autorité appelle en particulier la vigilance de la CNIL afin que ses recommandations ne risquent pas de renforcer le fort pouvoir de marché de certains acteurs, notamment ceux qui ont été désignés contrôleurs d’accès pour certains services ou qui pourraient être considérés comme étant en position dominante, ces acteurs pouvant être susceptibles de s’appuyer sur ces recommandations à des fins anticoncurrentielles.
Enfin, compte tenu que les recommandations de bonnes pratiques sont à la seule initiative de la CNIL et ne résultent pas d’obligations imposées par la réglementation en vigueur, l’Autorité appelle à l’attention de la CNIL de veiller à ne pas créer des barrières à l’entrée sur le marché français ni de désavantage en termes de coûts ou de contraintes pour les entreprises établies en France.
Le contexte et la saisine de la CNIL
Pour la première fois, l’Autorité de la concurrence (ci-après « l’Autorité ») a été saisie par la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL ») pour avis sur un projet de recommandation relatives aux applications mobiles Cette saisine concrétise les engagements pris par les deux institutions dans le cadre de leur déclaration conjointe signée en décembre 20231 et marque ainsi une nouvelle étape dans l’approfondissement de leurs relations. (consulter le document conjoint de la CNIL et de l’Autorité de la concurrence sur les synergies de régulation)
Les applications mobiles, logiciels applicatifs distribués dans l’environnement des smartphones et tablettes, constituent l’un des principaux moyens d’accès à des contenus et des services numériques à partir de ces terminaux mobiles. Elles permettent d’y ajouter des fonctionnalités ou services supplémentaires dans des domaines très divers (services de réseaux sociaux, de divertissement, d’achats à distance, de mobilité, services bancaires, etc.). Leur utilisation permet le traitement de grandes quantités de données personnelles. Or, selon la CNIL, si les principes et obligations en matière de protection des données et de la vie privée sont désormais bien connus des opérateurs de sites internet et font déjà l’objet de recommandations, leur mise en œuvre dans le contexte des applications mobiles serait parfois incertaine.
Pour pallier cette incertitude, le projet de la CNIL vise à apporter davantage de sécurité juridique aux acteurs et à favoriser des bonnes pratiques au bénéfice des utilisateurs. Ce projet clarifie en particulier les qualifications et responsabilités des différents acteurs de l’écosystème des applications mobiles au regard de la réglementation applicable en matière de protection de la vie privée. Il rappelle en premier lieu, les principales obligations de ces acteurs au regard du Règlement général de la protection des données (ci-après « RGPD ») et de la loi dite Informatique et Libertés2 et édicte, en second lieu, une série de conseils et de bonnes pratiques dont la CNIL préconise la mise en œuvre.
Dans ce contexte, l’objectif de la CNIL était, par cette consultation de l’Autorité de la Concurrence, de s'assurer que sa recommandation protège efficacement les données personnelles des utilisateurs sans, pour autant, porter atteinte à une concurrence libre et non faussée, garante de l’innovation et de la diversité sur le marché des applications mobiles. L’Autorité se réjouit de constater la prise en compte de ses préconisations par la CNIL dans ses recommandations finales.
La structure concurrentielle du secteur des applications mobiles
La structure concurrentielle du secteur des applications mobiles se caractérise par la présence de multiples acteurs qui interviennent aux différents maillons de la chaîne de valeur des applications mobiles, depuis leur conception jusqu’à leur distribution auprès des utilisateurs. Ce secteur est également marqué par la présence d’acteurs verticalement intégrées tout au long de la chaîne de valeur (Google3 et Apple).
Les 5 acteurs catégories d’acteurs de la chaîne de valeur des applications mobiles :
- Les fournisseurs de SDK4 offrent un ensemble d'outils utilisés pour le développement de l’application, en fonction du système d’exploitation utilisé. Le recours à des SDK, très fréquent, est notamment dû au fait que ceux-ci permettent le plus souvent de faciliter ou d’accélérer le développement de fonctionnalités logicielles, en évitant au développeur d’écrire l’intégralité du code de l’application.
- Le développeur effectue la réalisation technique de l’application pour le compte de l’éditeur sur la base d’un cahier des charges fourni par ce dernier.
- L’éditeur de l’application met l’application à la disposition des utilisateurs (le plus souvent par l’intermédiaire d’un ou plusieurs magasins d’applications) pour proposer ses produits ou services. Il en définit également le modèle économique et notamment son mode de financement.
- Le fournisseur du système d’exploitation (OS) met à disposition le système d’exploitation5 spécialement configuré et installé sur le terminal mobile de l’utilisateur, environnement dans lequel l’application sera par la suite exécutée. Les deux principaux systèmes d’exploitation pour téléphones mobiles sont ceux d’Apple (iOS) et de Google (Android).
- Le fournisseur de magasins d’applications met à disposition une plateforme de distribution en ligne des applications, sous la forme d’une application accessible sur le terminal de l’utilisateur depuis un système d’exploitation compatible (par exemple l’App Store pour un terminal doté du système d’exploitation iOS d’Apple, ou le Play Store pour un terminal doté du système d’exploitation Android de Google). Le fournisseur du magasin d’applications est fréquemment, mais pas systématiquement, le fournisseur du système d’exploitation.
L’Autorité constate que des acteurs comme Google et Apple sont présents à tous les niveaux de la chaîne de valeur puisqu’ils sont à la fois fournisseurs d’OS, de magasins d’applications et de SDK, éditeurs, développeurs et fournisseurs d’autres services. Ces acteurs verticalement intégrés, ont mis en place des écosystèmes distincts, dans le cadre desquels ils établissent, en tant que fournisseur d’OS et/ou en tant que fournisseur de magasins d’applications, des règles d’accès spécifiques. En outre, ces acteurs sont susceptibles de détenir une position dominante sur certains marchés de cette chaîne de valeur et ont récemment été désignés « contrôleurs d’accès » au sens du règlement sur les marchés numériques (ci-après « DMA ») par la Commission européenne pour plusieurs services de plateforme essentiels, dont leurs OS pour terminaux mobiles (Google Android pour Alphabet et iOS pour Apple) et leurs services d’intermédiation de magasins d’applications (Google Play Store pour Alphabet et App Store pour Apple).
L’Autorité salue le projet de la CNIL et propose des recommandations permettant de répondre aux préoccupations de concurrence
L’Autorité et la CNIL partagent une ambition commune de protection des données personnelles et de la vie privée et du respect de la concurrence. En particulier, ces deux politiques présentent une certaine convergence d’objectifs, en ce qu’elles sont mises en œuvre au bénéfice des usagers.
L’Autorité rappelle toutefois que les interactions entre concurrence et protection de la vie privée peuvent être sources de synergies mais également de tensions. D’abord, l’accumulation de données par certaines entreprises contribue à l’établissement du pouvoir de marché des entreprises considérées et appelle en ce sens une vigilance particulière des autorités de concurrence. Ensuite, le niveau de protection des données des utilisateurs peut constituer un véritable paramètre de concurrence, à l’instar du prix, a fortiori s’il dépasse le niveau imposé par la réglementation sur la protection des données personnelles.
Enfin, l’Autorité précise que si des mesures de protection de la vie privée qui iraient au-delà de ce qui est strictement imposé par le RGPD ne sont pas illicites en soi, elles peuvent nuire à la bonne efficacité économique des marchés. C’est pourquoi il est essentiel qu’elles soient définies et mises en œuvre en évitant d’engendrer des effets anticoncurrentiels qui ne seraient pas contrebalancés par un gain suffisant pour les consommateurs.
Les recommandations générales de l’Autorité
Dans son avis, l’Autorité formule des observations préalables sur les problématiques concurrentielles générales susceptibles d’être soulevées par le projet de recommandation de la CNIL qui pourraient ainsi orienter la rédaction du texte.
Notamment, elle salue la prise en compte de l’application du droit de la concurrence dans les sections 8 et 9 du projet de la CNIL, toutefois, elle considère qu’elle devrait viser l’ensemble des recommandations de la CNIL.
Ensuite, l’Autorité invite la CNIL à revoir dans son projet, le rôle qu’elle accorde aux fournisseurs d’OS et aux magasins d’applications. Ces opérateurs déjà dans une position asymétrique se voient en effet accorder, par le projet, un rôle important en matière de protection de la vie privée qui ne découle pas directement d’obligations conférées par la réglementation en vigueur relative à la protection des données personnelles, et notamment par le RGPD.
Dans ce contexte, l’Autorité invite la CNIL à veiller à ce que ses recommandations ne confèrent pas un pouvoir supplémentaire à des acteurs disposant déjà d’un fort pouvoir de marché, notamment à ceux pouvant être considérés comme étant en position dominante, et qui pourraient être susceptibles de s’appuyer sur cette recommandation à des fins anticoncurrentielles.
L’Autorité considère également souhaitable que la CNIL mentionne expressément que ses recommandations s’appliquent de la même manière aux applications mobiles propriétaires des fournisseurs d’OS ou de magasins d’applications qu’aux applications tierces, afin d’éviter que celles-ci soient utilisées par certains opérateurs pour mettre en œuvre un traitement différencié susceptible d’avantager les applications mobiles propriétaires.
Par ailleurs, l’Autorité constate également l’existence de certaines contradictions entre le projet de la CNIL et le DMA, non seulement s’agissant du pouvoir conféré aux contrôleurs d’accès, mais également avec certaines dispositions spécifiques.
L’Autorité invite la CNIL à prêter une attention particulière à ce que ses recommandations n’aient pas l’effet de déléguer sa compétence, en tant que régulateur national, aux contrôleurs d’accès, au risque de renforcer les asymétries de pouvoir de marché au bénéfice de ces derniers.
En outre, les auditions menées par l’Autorité ont permis de constater que la CNIL ne pourrait contrôler que les entités ayant un siège en France. Il ressort ainsi que les recommandations de la CNIL seraient susceptibles de créer des contraintes supplémentaires pour les acteurs français, pesant sur leur compétitivité.
L’Autorité accorde une importance particulière au fait que ses recommandations ne viennent pas créer des barrières à l’entrée supplémentaires pour de nouveaux entrants sur le marché français ni des désavantages en termes de coûts ou de contraintes pour les entreprises établies en France.
Les recommandations spécifiques de l’Autorité
Sans réaliser une analyse exhaustive du projet de recommandation de la CNIL, l’Autorité a également formulé des recommandations sur certaines dispositions concernant spécifiquement des catégories d’acteurs de la chaîne de valeur des applications mobiles.
Parmi ces recommandations, l’Autorité aborde en particulier les préoccupations concurrentielles susceptibles d’être soulevées par les dispositions concernant les fournisseurs d’OS et les magasins d’applications.
En effet, dans son projet de recommandation relative aux applications mobiles, la CNIL confère aux fournisseurs d’OS ainsi qu’aux magasins d’applications un rôle important en matière de protection de la vie privée, qui ne résulte pas d’obligations conférées par la réglementation applicable en la matière. Il est donc nécessaire de veiller à ce que ses recommandations ne puissent pas être utilisées par les fournisseurs d’OS et/ou les magasins d’applications à des fins anticoncurrentielles (par exemple, pour mettre en œuvre des traitements discriminatoires) ou ne conduisent pas à élever de façon indue des barrières à l’entrée qui renforceraient les asymétries existantes sur certains marchés de la chaîne de valeur, par ailleurs déjà concentrés.
Les fournisseurs d’OS
Sur l’information et les conseils aux partenaires, l’Autorité souhaite appeler l’attention de la CNIL sur le fait que la mise en œuvre de cette recommandation, en ce qu’elle invite le fournisseur à prodiguer des conseils et à fournir une documentation juridique complète, pourrait lui permettre d’imposer sa manière de se conformer à la réglementation aux acteurs de la chaîne de valeur et, sous couvert de mieux protéger la vie privée, de mettre en place des règles diminuant la concurrence sur le marché.
L’Autorité, tout en s’associant à l’objectif de bonne information des acteurs de la chaîne de valeur des applications mobiles, source de transparence des marchés, appelle l’attention de la CNIL sur le rôle conféré au fournisseur d’OS et, à tout le moins, invite la CNIL à préciser que les documentations fournies ne doivent pas avoir valeur de conseil juridique ni viser à imposer une manière de se conformer à la réglementation européenne.
Sur les permissions du fournisseur d’OS en tant qu’autorisations d’accès aux capteurs, fonctionnalités ou stockage du terminal utilisateur et leur usage pour renforcer la protection de la vie privée, l’Autorité souligne que cet objectif dépasse celui du seul respect de la réglementation sur la protection des données personnelles et formule des recommandations sur différentes thématiques. Notamment,
L’Autorité invite la CNIL à clarifier certaines dispositions des sections relatives à la mise en œuvre d’un système de permissions, s’agissant en particulier du périmètre des ressources concernées, de l’accessibilité des éditeurs aux ressources OS non soumises à une permission et des responsabilités respectives des fournisseurs d’OS et des éditeurs. Par ailleurs, l’Autorité invite la CNIL à préciser les conditions de mise en œuvre de la disposition relative à la fin du support des fonctionnalités les plus problématiques.
En outre, sur l’ensemble de ces dispositions, et dans la mesure où l’usage des permissions ainsi préconisé par la CNIL ne résulte pas de la mise en œuvre directe de la réglementation applicable relative à la protection des données personnelles, l’Autorité appelle l’attention de la CNIL sur le fait que ses recommandations ne doivent pas conférer un pouvoir discrétionnaire trop important à certains acteurs verticalement intégrés, tels que les fournisseurs d’OS. Dans ce cadre, l’Autorité considère que la mise en œuvre de la protection de la vie privée ne doit pas entraver le dynamisme concurrentiel, ce qui suppose d’éviter que tout accès à une quelconque fonctionnalité du téléphone devienne soumis à permission, au détriment de la diversité de l’offre et de l’innovation. À tout le moins, l’Autorité invite la CNIL à préciser que le fournisseur d’OS est tenu d’appliquer des modalités de permissions proportionnées, objectives, transparentes et non-discriminatoires qui s’appliquent donc de façon uniforme à toutes les applications qu’elles soient préinstallées ou non, propriétaires ou non.
Les fournisseurs de magasins d’applications mobiles
Dans son projet, la CNIL recommande en particulier aux fournisseurs de magasins d’applications de mener une analyse des applications soumises par les éditeurs en vue d’être référencées dans leur magasin, de mettre en œuvre des processus transparents de revue des applications qui intègrent la vérification de règles élémentaires de protection des données et d’informer les utilisateurs afin de leur permettre d’exercer leurs droits plus facilement.
Dans ce cadre, l’Autorité souhaite appeler l’attention de la CNIL sur la nécessité de veiller à ce que ses recommandations relatives aux fournisseurs de magasins d’applications ne portent pas atteinte à la concurrence qui peut s’exercer entre les acteurs présents sur les différents maillons de cette chaîne de valeur ou à l’égard d’entrants potentiels.
Au-delà de cette remarque générale, l’Autorité appelle l’attention de la CNIL sur plusieurs dispositions spécifiques de la section consacrée aux fournisseurs de magasins d’applications.
A titre d’exemple, en ce qui concerne la collecte d’informations recommandée par la CNIL pour la revue des applications mobiles, l’Autorité émet notamment des doutes sur la communication d’informations commercialement sensibles. Leur collecte et l’analyse des applicatifs de leurs concurrents par des opérateurs verticalement intégrés pourraient leur permettre d’accéder à des informations potentiellement utiles pour améliorer leurs propres applications ou pour lancer de nouvelles applications concurrentes et de renforcer l’asymétrie d’information à leur profit.
L’Autorité invite la CNIL à préciser que les données sont collectées auprès des éditeurs sur une base déclarative et que les recommandations n’impliquent pas que les fournisseurs de magasins d’applications ont la responsabilité d’en vérifier l’exactitude ; et que les données transmises aux magasins d’applications doivent exclure toute information commercialement sensible.
En outre, la CNIL pourrait également utilement rappeler les obligations qui incombent à Google et Apple en tant que « contrôleurs d’accès » sur les magasins d’applications, notamment l’interdiction d’utiliser les données des entreprises utilisatrices concurrentes, collectées dans le cadre de l’activité relevant du DMA pour un usage sur un autre marché, prévue à l’article 6(2) du DMA.
En ce qui concerne l’analyse de conformité, plusieurs acteurs entendus craignent que, sous couvert de la mise en œuvre des recommandations de la CNIL, les dispositions concernées viennent entériner des processus de revue qui leur posent déjà des difficultés. L’Autorité rappelle qu’un opérateur, y compris en position dominante, est libre d’édicter les règles qu’il estime utiles pour conditionner l’accès à ses biens ou ses services, sous réserve que leur mise en œuvre n’ait pas pour objet ou pour effet de restreindre la concurrence. Cependant, l’Autorité appelle l'attention de la CNIL sur le fait que ses recommandations ne doivent pas avoir pour effet de déléguer aux fournisseurs de magasins d’applications ses missions de régulation, dans la mesure où cela pourrait aboutir à distordre la concurrence sur les marchés en cause ou à conférer un pouvoir de marché supplémentaire à ces acteurs verticalement intégrés.
L’Autorité invite la CNIL à circonscrire sa recommandation relative à l’analyse de conformité aux obligations particulières de ces acteurs résultant des réglementations en vigueur ; préciser qu’à tout le moins, ces vérifications devraient être réalisées pour l’ensemble des applications soumises à la revue des magasins et aux applications préinstallées, y compris les applications propriétaires ; et préciser l’importance de mettre en œuvre un processus de revue garantissant des conditions d’accès transparentes, équitables et non discriminatoires sur la base de critères proportionnés et prévoir des formes de dialogue entre les parties, et tout particulièrement un mécanisme de règlement des différends.
À ce titre, l’Autorité rappelle que de telles obligations semblent relever de l’article 6(12) du DMA applicable aux contrôleurs d’accès.
Par ailleurs, concernant de potentielles barrières à l’entrée et à l’expansion pour les magasins d’applications alternatifs, l’App Store est, à date, le seul magasin d’applications autorisé par Apple sur les terminaux mobiles d’Apple, et le Play Store est le principal magasin d’applications utilisé sur les terminaux mobiles équipés du système d’exploitation Android. La concurrence exercée par les magasins de certains fabricants mobiles (tel que Samsung) ou par les magasins en open source (tel que F-Droid) demeure faible.
L’Autorité invite la CNIL à préciser les modalités d’application pour les magasins d’applications alternatifs et de petite taille, actuels et potentiels, afin que les recommandations ne représentent pas une contrainte à l’entrée ou à la survie pour ces derniers.
Enfin, l’Autorité a également émis des observations s’agissant des dispositions du projet de recommandation concernant la mise en œuvre par les fournisseurs de magasin d’applications de filtrages ou de scores concernant des critères relatifs à la protection de la vie privée. Notamment :
L’Autorité invite à la CNIL à préciser qu’un dispositif de score ne peut être conçu que par le régulateur ou par les pouvoirs publics, ou par un tiers indépendant sur la base de critères d’évaluation et d’exigences en matière de recueil d’informations qui soient proportionnés. Par ailleurs de tels dispositifs ne peuvent être mis en œuvre par des entreprises potentiellement en position dominante que de façon objective, transparente et non discriminatoire et ne peuvent être mis en œuvre par des plateformes qualifiées de contrôleurs d’accès que dans le respect des différentes dispositions du DMA.
Il conviendrait enfin de rappeler que la mise en œuvre d’un dispositif de score pourrait, afin d’assurer la fiabilité de cet indicateur, être sujet à un mécanisme de label ou de certification par un tiers indépendant ; et que si un magasin d’applications peut utilement proposer un mécanisme de signalements, il devrait communiquer les signalements reçus à la CNIL, autorité compétente pour juger de la conformité à la réglementation sur la protection des données personnelles pour le territoire français et le cas échéant, pour prononcer des sanctions.
1Concurrence et données personnelles : une ambition commune, déclaration conjointe de l’Autorité de la concurrence et de la Commission nationale de l’informatique et des libertés (décembre 2023).
2Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
3NBP Alphabet Inc.
4« Software development kits » ou SDK : éditeurs de kits de développements logiciels.
5Pour qu’un utilisateur puisse faire fonctionner son application, celle-ci doit s’exécuter sur le terminal mobile grâce à son système d’exploitation (ci-après, « OS » pour « operating system ») spécialement configuré et installé sur le téléphone mobile ou la tablette de l’utilisateur. L’OS définit et assiste l’ensemble des interactions autorisées entre l’utilisateur et le terminal, mais également entre les applications mobiles tierces (celles qui seront installées ensuite) et le terminal.
Document commun sur la coopération étroite entre la CNIL et l’Autorité de la concurrence sur les applications mobiles