Apple sanctionné par l’Autorité de la concurrence pour son dispositif App Tracking Transparency

Les opinions exprimées par l’auteur sont personnelles et n’engagent pas la Cour de justice de l’Union européenne.

À l’issue de quatre ans de procédure et d’instruction sur le fond, l’Autorité française de la concurrence (ADLC) a infligé à Apple, par une décision du 31 mars 2025, une amende de 150 millions d’euros pour abus de position dominante dans le secteur de la distribution d’applications mobiles sur les terminaux iOS et iPadOS pour la période allant d’avril 2021 à juillet 2023.

Saisine préventive de l’ADLC

Par lettre du 23 octobre 2020, un ensemble d’associations représentant la chaîne de valeur de la publicité en ligne¹ a saisi l’ADLC par anticipation de pratiques mises en œuvre par Apple, à l’occasion du lancement, le 26 avril 2021, de la version 14.5 des systèmes d’exploitation iOS et iPadOS introduisant le dispositif de transparence du suivi par les applications mobiles « App Tracking Transparency » (ATT). Ladite saisine faisait suite à l’annonce du géant américain en date du 22 juin 2020, à l’occasion de la conférence mondiale des développeurs, de l’introduction du système ATT litigieux qui obligerait les éditeurs d’applications distribuées sur l’AppStore souhaitant accéder à l’identifiant publicitaire IDFA (Identifier for Advertisers), à des fins de ciblage publicitaire, à obtenir l’autorisation préalable des utilisateurs pour le traçage de leurs données via une fenêtre dite « de sollicitation ATT »².

Selon les associations, l’introduction dudit dispositif renforcerait la position monopolistique d’Apple sur le marché de la distribution d’applications mobiles iOS, menant à un abus de son pouvoir de marché par l’imposition aux tiers développeurs, d’une part, de conditions de transaction inéquitables, en violation de l’article 102 a) du TFUE (traité sur le fonctionnement de l’Union européenne) et, d’autre part, d’obligations supplémentaires sans lien avec l’objet du contrat, dès lors que le consentement reçu ne répondrait pas aux obligations légales découlant du RGPD, en violation de l’article 102 d) du TFUE. Ce dispositif était perçu comme un obstacle aux possibilités de réaliser de la publicité ciblée, qui est une source majeure de revenus pour les éditeurs d’applications mobiles. La saisine était accompagnée d’une demande de mesures conservatoires, qui a été rejetée par une décision du 17 mars 2021³ par laquelle l’ADLC avait décidé, pour l’essentiel, de poursuivre l’instruction au fond sans pour autant ordonner une quelconque mesure préventive. La présente affaire avait été jointe, par décision de la rapporteure générale adjointe du 23 février 2022, à la saisine du 16 février 2022, introduite par un groupement d’éditeurs de contenu et de services en ligne⁴.

Fonctionnement du dispositif ATT

Il ressort de la décision de l’ADLC qu’Apple justifiait l’introduction du dispositif litigieux par la nécessité que les utilisateurs puissent décider de l’exploitation de leurs données pour chaque développeur d’applications mobiles dont ils font usage. Ce dispositif n’avait pas vocation à permettre aux développeurs de se conformer à leurs obligations légales de recueillir le consentement conformément aux obligations découlant du RGPD, mais d’offrir prétendument une plus grande transparence aux consommateurs et des possibilités nouvelles sur l’utilisation de leurs données⁵. Le dispositif consistait en une fenêtre apparaissant lors de l’ouverture d’une application mobile téléchargée via l’AppStore, dont la structure était imposée par Apple et comportait des éléments non modifiables en guise de message principal invitant le consommateur à faire un choix.

Le premier bloc, en caractères gras, non modifiable par les éditeurs, indiquait l’intention de l’application ouverte de suivre les activités dans « les apps et sur les sites web d’autres sociétés », suivi d’un deuxième bloc, modifiable par les éditeurs, en caractères non gras, visant la description de l’usage des données, et enfin un troisième bloc comportant les boutons d’action permettant aux consommateurs d’autoriser ou bien de rejeter le suivi. L’ADLC avait déjà relevé, dans sa décision du 17 mars 2021, que lorsque le consommateur refusait le traitement de ses données dans la sollicitation ATT, cela empêchait de procéder à un suivi dans d’autres applications ou sur des sites tiers, « que ce soit par le biais de l’IDFA de son terminal ou par l’intermédiaire de toute autre méthode alternative de suivi basée sur l’identification de l’utilisateur »⁶. Or, en cas d’autorisation de suivi, l’utilisateur était conduit à se prononcer, à nouveau, sur son consentement à l’exploitation des données qui répondrait, dans un second temps, aux obligations légales en vigueur, telles que mises en œuvre par les éditeurs tiers sur leurs plateformes.

Un dispositif non nécessaire et disproportionné

Le président de l’ADLC, Benoît Cœuré, a déclaré lors d’une conférence de presse que, même si « l’objectif poursuivi par le dispositif ATT n’est pas critiquable en soi, ses modalités de mise en œuvre ne sont ni nécessaires ni proportionnées à l’objectif affiché par Apple de protection des données personnelles ». Selon l’ADLC, la conception et la mise en œuvre du dispositif « compliquent excessivement le parcours des utilisateurs d’applications tierces et faussent la neutralité du dispositif »⁷.

En effet, l’ADLC, à l’instar de la Cnil (Commission nationale de l’informatique et des libertés) dans son avis du 17 décembre 2020⁸, constatait que, en principe, l’ATT pouvait apporter des bénéfices aux consommateurs finaux en les laissant exprimer leurs « choix de manière simple et éclairée » et « empêcher techniquement et/ou contractuellement aux éditeurs d’application de tracer l’utilisateur sans son autorisation »⁹. Or, le consentement recueilli par l’ATT ne répondait pas aux exigences découlant du RGPD et de l’article 82 de la loi Informatiques et Libertés¹⁰, dès lors que les éditeurs ne pouvaient pas, en raison des impositions structurelles voulues par Apple, mentionner toutes les informations nécessaires aux fins du recueillement d’un consentement libre et éclairé.

Ils étaient donc contraints de faire afficher une seconde fenêtre de consentement pour se conformer à leurs obligations légales. L’ADLC rappelle, par ailleurs, à l’instar de la Cnil dans son second avis du 19 mai 2022, que le double consentement sollicité pour une même finalité imposait une « complexité inutile et artificielle »¹¹ pour l’utilisateur et faussait le jeu de la neutralité du dispositif vis-à-vis des éditeurs tiers, dont la survie économique dépend du ciblage publicitaire et, de ce fait, de la collecte et du traitement des données des utilisateurs, là où les applications développées par Apple n’étaient pas soumises à ce double consentement. En outre, cette complexité pourrait lasser les consommateurs et les inciter à l’octroyer sans pleine connaissance de cause.

Doubles standards et traitement différentiel

Jusqu’à l’introduction du système d’exploitation iOS 15, Apple a continué d’effectuer une différenciation de traitement, en imposant un double standard, dans la mesure où le consentement de ses utilisateurs, dans l’usage de ses propres applications, n’était pas soumis à la double procédure. Or, cette double obligation demeurait pour les applications tierces, qui n’avaient pas la possibilité de commercialiser leurs applications via des plateformes autres que l’AppStore, ni de contourner l’imposition de l’ATT aux fins de recueillir un seul et même consentement effectif et éclairé répondant aux obligations légales. Cette pratique avait déjà fait l’objet d’une sanction par la Cnil par une décision du 29 décembre 2022¹² ayant infligé à la société à la pomme une amende de 8 millions d’euros pour violation de l’article 82 de la loi Informatique et Libertés (voir La rem n°64, p.33).

Certes, il ressort de ladite décision et de la décision de l’ADLC de 2025 qu’Apple a supprimé cette différenciation dans son nouveau système d’exploitation iOS 15, mais l’asymétrie de traitement demeure jusqu’à présent. En effet, par sa décision de 2025, l’ADLC a relevé que l’introduction de l’ATT et les conditions de sa mise en œuvre ont limité les capacités, pour les éditeurs tiers, de diversifier leurs offres de services de publicité ; réduit la possibilité de traçage et l’appel à des intermédiaires en l’absence de données propriétaires, contrairement aux applications développées par Apple ; et engendré des pertes financières en raison des désavantages par ricochet par rapport aux applications favorisées pouvant faire face aux conditions unilatérales d’Apple¹³.

Vu tout ce qui précède, l’ADLC a conclu à la violation du droit de la concurrence, du fait de l’imposition de conditions anticoncurrentielles dans la mise en œuvre de l’ATT qui compliquait excessivement le parcours de consentement du consommateur, en limitant la marge de manœuvre des éditeurs tiers sans permettre de recueillir un consentement légal là où une correction marginale de la sollicitation ATT, comme elle était préconisée par les avis de 2020 et 2022 de la Cnil, aurait pu éviter cette violation¹⁴. En effet, par sa nature potentiellement structurante sur le marché, en raison de sa position dominante, Apple pouvait édicter des règles de protection supplémentaires devant être conciliables avec le respect du droit de la concurrence, qui n’imposerait pas d’obligations non nécessaires ou disproportionnelles par rapport aux objectifs poursuivis par le RGPD et la directive e-Privacy¹⁵.

Une issue incertaine dans la mise en œuvre de la décision de l’ADLC

Le président de l’ADLC a souligné que la décision ne portait pas de mesures d’injonctions visant la mise en conformité du dispositif par Apple, quand bien même celle-ci doit être immédiate. En effet, du fait de nombreuses procédures en cours devant diverses autorités nationales de concurrence ou de la protection des consommateurs, Apple doit pouvoir recueillir suffisamment d’avis sur les violations alléguées, au regard du droit de la concurrence de l’Union européenne afin d’adapter ses dispositifs, notamment en conformité avec les obligations découlant du Digital Markets Act¹⁶. En dépit d’une guerre commerciale entre les États-Unis et l’Europe, la décision de l’ADLC se veut apolitique et en application stricte du droit de la concurrence, tout en maintenant la nécessaire convergence du droit de la concurrence avec la protection des données personnelles pour un marché numérique responsable.

Sources :

1. Décision n° 25-D-02 du 31 mars 2025 relative à des pratiques mises en œuvre dans le secteur de la publicité sur applications mobiles sur les terminaux iOS, points 1 et 6 et suivants, autoritedelaconcurrence.fr
2. Ibid., points 66 et 67.
3. Décision n° 21-D-07 du 17 mars 2021 relative à une demande de mesures conservatoires présentée par les associations Interactive Advertising Bureau France, Mobile Marketing Association France, Union des entreprises de conseil et achat media, et Syndicat des Régies internet dans le secteur de la publicité sur applications mobiles sur iOS, autoritedelaconcurrence.fr
4. Décision n° 25-D-02 du 31 mars 2025, points 2 à 5.
5. Ibid., points 180 et 181.
6. Décision n° 21-D-07 du 17 mars 2021, point 30.
7. Décision n° 25-D-02 du 31 mars 2025, point 614.
8. Cnil, délibération du 17 décembre 2020, n° 2020-133, non publié.
9. Ibid., point 46.
10. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
11. Décision n° 25-D-02 du 31 mars 2025, points 523 à 525.
12. Délibération de la formation restreinte n° SAN-2022-025 du 29 décembre 2022 concernant la société x, points 89 et suivants, legifrance.gouv.fr/cnil/
13. Décision n° 25-D-02 du 31 mars 2025, points 584 à 587 et 600 à 605.
14. Ibid., points 612 à 617.
15. Ibid., points 618 et 619.
16. Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) (Texte présentant de l’intérêt pour l’EEE), JO 2022, L 265/1.