Apple protège votre vie privée… sauf quand ça l'arrange

Apple protège votre vie privée… sauf quand ça l'arrange Requêtes tapées dans l'App Store, applications téléchargées, localisation, transactions réalisées etc. La firme à la pomme n'hésite pas à utiliser vos données personnelles à son avantage.

"Choisissez qui traque vos informations… et qui ne peut pas le faire", affirmait Apple dans un spot paru fin mai. La publicité, qui a fait plus de 25 millions de vue sur Youtube, omet toutefois de préciser que le rigorisme d'Apple... est à géométrie variable. Car si la firme à la pomme s'est attaquée frontalement au tracking cross-sites (pour empêcher un site A et un site B de partager des informations concernant un même utilisateur), elle est beaucoup moins regardante en ce qui concerne le suivi publicitaire au sein d'un même environnement, tel qu'il est pratiqué par Google, Facebook ou… par elle-même. Car en farfouillant dans ses CGU, on se rend vite compte qu'Apple exploite lui aussi pas mal de données personnelles pour diffuser des publicités ciblées ou proposer des recommandations personnalisées. Et, pire, qu'il le fait le plus souvent sans consentement. Voici un aperçu de toutes les données utilisées à votre insu.

Vos recherches au sein de l'App Store…

Si vous tapez une requête dans le moteur de recherche de l'App Store pour télécharger une nouvelle application, il n'est pas impossible, qu'en haut de la liste des résultats, apparaisse le nom d'une marque qui a payé pour cet emplacement sponsorisé. Apple n'a pas été chercher bien loin pour mettre sur pied cette offre publicitaire baptisée Search Ads et lancée en 2017. Le modèle d'enchères facturées au clic fait les beaux jours de Google. "Nous ne suivons pas les individus en associant les données des utilisateurs et utilisatrices ou des appareils collectées auprès des apps Apple avec celles collectées auprès de tiers à des fins de ciblage publicitaire ou de mesure de la publicité", rassure la société dans un texte intitulé "Apple Search Ads et la confidentialité".

chez Apple tout est fait maison et les acteurs extérieurs, qu'il s'agisse de data brokers, retargeters ou mesureurs, ont porte close

Oui, chez Apple tout est fait maison et les acteurs extérieurs, qu'il s'agisse de data brokers, retargeters ou mesureurs, ont porte close. Cela ne veut pas dire pour autant que vos données n'y seront pas exploitées à des fins de ciblage publicitaire. Le groupe l'avoue d'ailleurs dans le texte cité plus haut. Pour "veiller à diffuser les annonces les plus pertinentes", Apple peut s'appuyer sur "les termes recherchés, les téléchargements de l'App Store, l'activité de navigation dans l'App Store et les achats intégrés effectués via l'App Store." Un média peut, par exemple, décider d'apparaître auprès de tous les utilisateurs qui tapent le nom de l'un de ses concurrents dans le store d'Apple. Et tant pis si ces utilisateurs n'ont pas donné leur consentement préalable comme l'exigent le RGPD et la directive eprivacy, Apple ne le leur demande à aucun moment. Pour y échapper, ils devront aller dans les paramètres de leur iPhone  (Réglage / Confidentialité / Publicité Apple) dans une logique d'opt-out. Une pratique que l'association France Digitale a déjà dénoncé dans une plainte déposée auprès de la Cnil.

… et vos applications téléchargées

Toujours pour rendre son offre Search Ads plus attractive, Apple permet également aux annonceurs de cibler les utilisateurs en fonction des applications qu'ils ont téléchargées et des transactions qu'ils y ont effectuées. Autant d'informations que la firme à la pomme obtient via son App Store. Un annonceur du gaming peut par exemple décider de cibler les "utilisateurs de ses autres applications", comme en atteste la capture réalisée par le JDN ci-dessous. On est, ici, dans une logique de "custom audience", comme cela se fait beaucoup chez Facebook, Google et cie. Le vendeur d'emplacements publicitaires (Apple) croise sa base de données avec celle de l'acheteur pour exclure les doublons s'il veut cibler les nouveaux utilisateurs uniquement.

L'annonceur peut cibler les utilisateurs qui n'ont pas déjà téléchargé ses applications. © Capture d'écran Apple Search Ads

Encore une fois, Apple ne demande pas son consentement à l'utilisateur. Et c'est d'autant plus étonnant que c'est, depuis l'entrée en vigueur d'IOS 14.5, devenu beaucoup plus compliqué pour les concurrents d'Apple de faire de même. La firme à la pomme impose en effet au vendeur de l'emplacement publicitaire et à son acheteur d'obtenir le consentement au tracking de l'utilisateur, via une pop-up dédiée, avant de faire matcher son identifiant publicitaire, l'IDFA. Une contrainte dont Apple s'affranchit parce qu'il estime que l'information "l'utilisateur X a téléchargé l'application A" appartient autant à l'éditeur de l'application A qu'à lui-même, parce qu'il est propriétaire de l'App Store. On est donc, selon Apple, dans un tracking 1st party qui ne nécessite pas l'obtention du consentement via la pop-up.

La firme à la pomme se veut à nouveau rassurante quant au respect de la vie privée de ses utilisateurs. "Chaque segment doit comprendre au moins 5 000 personnes, ainsi, aucun client ne peut être ciblé individuellement", rappelle-t-elle. Peut-être mais la diffusion de publicité ciblée sans consentement préalable de l'utilisateur est, ici encore, une entorse au RGPD et à la directive eprivacy.

Votre adresse IP pour vous localiser approximativement

La localisation de votre iPhone est activée par défaut. Il faut aller dans les réglages pour la désactiver... et encore pas complètement. © Capture d'écran iPhone

Les données de géolocalisation d'un utilisateur figurent parmi les données personnelles les plus sensibles qui puissent exister. Les adtech française, Teemo, Fidzup, Singlespot et Vectaury, mises en demeure fin 2018 par la Cnil pour avoir traité des données de ce genre sans le consentement des utilisateurs et à des fins publicitaires, en savent quelque chose. Apple ferraille d'ailleurs depuis longtemps avec cette typologie d'acteurs. Plusieurs médias français avaient provisoirement été éjectés de l'App Store pour avoir transmis la data de géolocalisation de certains de leurs utilisateurs à des tierces parties sans consentement et à des fins inappropriées. Il est donc d'autant plus étonnant que la firme à la pomme s'octroie un passe-droit sur le sujet. En effet, les utilisateurs qui ont décidé de désactiver les services de localisation pour les suggestions selon les lieux, dans les réglages de leur iPhone, n'échappent pas complètement au suivi d'Apple.

"Apple reconnait qu'il peut utiliser l'adresse IP de votre connexion Internet et ainsi approximer votre position en la faisant correspondre à une région géographique", relève Antoine Bourlon, un ingénieur chez la solution d'attribution japonaise, Adebis, qui a passé au crible les pratiques d'Apple en matière de privacy. Un moyen de continuer à fournir des suggestions de recherche et des actualités pertinentes au sein de l'App Store et d'Apple News, justifie Apple. La donnée n'est certes pas utilisée à des fins publicitaires ou envoyée à des tiers. Elle est simplement utilisée pour améliorer des services made in Apple. Mais l'adresse IP est une donnée à caractère personnel selon les Cnil européennes et donc soumise au consentement.

Votre IDFV : un identifiant communiqué à chaque éditeur d'application

On a beaucoup parlé ces derniers mois de l'IDFA, cet identifiant accolé à chaque utilisateur pour permettre de tracker son comportement entre plusieurs applications. Apple a, en effet, décidé de durcir les conditions de son utilisation au moment de la sortie d'IOS 14. Une annonce qui a tôt fait d'ériger la firme à la pomme en championne de la défense de la vie privée. On a, en revanche, un peu passé sous silence une concession faite par Apple au marché publicitaire. La firme de Cupertino n'impose finalement pas aux éditeurs d'application de passer par sa pop-up de récolte du consentement pour exploiter un autre de ses identifiants, l'IDFV. Cet identifiant est unique à chaque device IOS mais, contrairement à l'IDFA, dont la valeur est la même pour toutes les applications quelles qu'elles soient, celle de l'IDFV ne persiste qu'au sein des applications qui appartiennent à un même éditeur. C'est, en quelque sorte, l'équivalent d'un cookie 1st party dans l'univers applicatif.

"On n'a pour cet identifiant ni opt-out, ni opt-in", déplore l'auteur du blog Pixel de Tracking. Pas de consentement, donc, pour l'IDFV. "J'ai beau tout désactiver sur mon iPhone, tous les SDKs le récupèrent", ajoute notre activiste de la vie privée. Les éditeurs des applications que vous avez téléchargées peuvent donc, grâce à cet identifiant, vous intégrer à des segments d'audience réalisés selon les comportements in-app qu'ils ont identifiés. Ces segments, une fois transvasés dans leur DMP, permettront à ces groupes médias de proposer des segments particuliers aux annonceurs.

Siri sait (quasiment) tout ce que vous faites sur votre iPhone

Saviez-vous que Siri vous suivait consciencieusement au fil de votre navigation ? © Capture d'écran iPhone

Difficile de terminer cet article sans évoquer le cas Siri, l'assistant vocal d'Apple. Les abus liés aux assistants vocaux sont connus de tous (la Cnil a même publié un livre blanc sur le sujet fin 2020) et la firme à la pomme ne fait pas exception. Elle donne en effet toute latitude à son assistant vocal pour traquer votre comportement sans même que vous en ayez conscience. "Siri suggère des articles, des chaînes et des sujets que vous êtes susceptibles d'aimer en s'appuyant sur les informations tirées des applications que vous utilisez et des sites que vous visitez sur Safari", reconnait Apple dans une note de blog sur la privacy… qu'on imagine lue de pas grand monde.

A aucun moment, Apple n'informe l'utilisateur de cette pratique, pas plus qu'il ne lui demande son accord. L'information est stockée sur le device, jamais envoyée à des serveurs externes, mais cette personnalisation est activée par défaut.  "Il faut aller dans les réglages de son iPhone pour désactiver Siri sur chaque application individuellement", explique Pixel de Tracking. L'occasion d'apprendre que chaque détenteur d'un iPhone autorise l'assistant vocal d'Apple à apprendre de son utilisation de chacune de ses applications pour faire des suggestions dans toutes les autres applications. On est donc à nouveau dans l'utilisation de données en provenance d'applications A, B ou C pour améliorer l'application X. Et c'est d'autant plus problématique que l'exploitation de ces informations peut servir à d'autres desseins que la simple amélioration de l'expérience utilisateur. Car si Siri analyse votre activité au sein des applications pour vous proposer des articles pertinents, il faut savoir que "le type d'articles que vous consultez sur Apple News peut être utilisé pour choisir les publicités appropriées", prévient Apple dans une autre note de blog. Vous l'aurez donc compris : "Siri alimente Apple News qui alimente lui-même l'offre publicitaire d'Apple", résume Antoine Bourlon. Un pratique questionnable, puisque l'omniscience de Siri est activée par défaut. "Choisissez qui traque vos informations… et qui ne peut pas le faire", certes, mais encore faut-il être au courant que le tracking existe.