Comment Bytedance et Tencent vont contourner les règles d'Apple en matière de privacy
Dans le conflit qui oppose Apple au marché publicitaire concernant l'utilisation de l'IDFA, cet identifiant qui permet aux développeurs de traquer un utilisateur entre plusieurs applications pour mieux le cibler et mesurer la performance de leurs campagnes, il y a plusieurs approches. En France, on privilégie l'action en justice, en témoigne la plainte déposée par plusieurs interprofessions devant l'Autorité de la Concurrence et celle de France digitale devant la Cnil. Aux Etats-Unis, on penche plutôt pour le lobbying, à l'image de l'intense campagne médiatique lancée par Marc Zuckerberg pour dénoncer les conséquences de la nouvelle politique d'Apple pour les milliers de chefs d'entreprise qui utilisent sa plateforme. En Chine, on a opté pour la stratégie du contournement apprend-t-on ce 15 mars dans le Financial Times.
Les deux porte étendards de la tech chinoise, Bytedance et Tencent, exhortent aujourd'hui l'ensemble du marché à recourir à un identifiant mis au point par la China Advertising Association (CAA), association qui réunit près de 2 000 membres. Le CAID, pour China Anonymization ID, doit permettre aux développeurs de continuer à traquer les utilisateurs lorsqu'ils ont refusé de donner leur consentement à l'utilisation de leur IDFA. Ce qu'il réussirait à faire dans 96% des cas à en croire une documentation technique publiée par la CAA.
Les éléments "A,B,C,D…" récupérés au sein des deux applications permettent à un tiers de savoir qu'elles sont installées au sein d'un même device
Cette documentation permet d'en savoir un petit peu plus sur le fonctionnement du CAID même si le JDN s'est (pour l'instant) heurté autant aux limites de l'outil de traduction automatique de Chrome qu'au manque de précisions apportées par l'organisation. On y apprend que le CAID s'appuie sur "des paramètres non liés à la confidentialité du système IOS" (voilà qui rassurera Apple) qu'il rassemble de façon à constituer un identifiant propre à chaque device mais indépendant de l'IDFA. Dans le graphique ci-dessous, on comprend que les éléments "A,B,C,D…" récupérés au sein des deux applications permettent à un tiers de savoir qu'elles sont installées au sein d'un même device. La pratique est connue de la plupart des spécialistes de la publicité en ligne, il s'agit tout simplement de fingerprinting, c'est-à-dire le fait de récupérer toute une série de données qui, mises bout à bout, permettent de recomposer l'empreinte digitale d'un device.
La CAA a beau assurer que sa solution, qui est testée par plusieurs éditeurs depuis plusieurs mois, ne contrevient pas à la politique d'Apple en matière de vie privée, c'est complètement faux. Apple interdit en effet explicitement la pratique dans ses guidelines à destination des développeurs d'applications.
Apple, qui passe au crible chacune des applications avant leur mise à jour, serait bien sûr capable de détecter celles qui ont recours au CAID et ainsi bloquer leur publication sur l'App Store. Mais, à en croire le consultant tech, Zach Edwards, interrogé par le FT, il n'en fera sans doute rien. "Apple ne peut pas bannir toutes les applications en Chine. S'il le faisait, cela déclencherait une série d'actions qui aboutirait à l'éviction d'Apple de Chine." Impensable au vu de la traction commerciale que connait la firme à la pomme sur ce marché. Apple y a réalisé une croissance annuelle de ses ventes d'iPhone de l'ordre de 57%, contre 21% au global, entre début 2020 et début 2021. La zone incluant la Chine, Hong Kong et Taiwan, lui a permis de générer près de 21,3 milliards de dollars de chiffre d'affaires au premier trimestre 2021, soit près d'un cinquième de ses revenus.
"Apple ne peut pas bannir toutes les applications en Chine. S'il le faisait, cela déclencherait une série d'actions qui aboutirait à l'éviction d'Apple de Chine"
Difficile d'imaginer Apple se fâcher avec un secteur dont les liens avec le gouvernement chinois ne sont plus à démontrer. La firme à la pomme avait d'ailleurs été épinglée, fin 2019, pour avoir envoyé des informations de navigation sensibles concernant ses utilisateurs à… Tencent. "C'est bien la preuve que le virage privacy pris par Apple est moins une conviction qu'une stratégie économique à laquelle il est facile de faire une entorse", remarque un expert interrogé par le JDN, qui ne doute pas qu'Apple fera une fois de plus preuve de mansuétude à l'égard des acteurs chinois.
Il ne faut en revanche pas imaginer les acteurs européens imiter les Bytedance et cie, en élaborant un ID de ce genre. D'abord, parce que le rapport de force avec Apple n'est pas le même. Mais aussi parce que la pratique du fingerprinting a mauvaise presse en Europe, même chez les spécialistes du secteur. D'ailleurs le conflit avec Apple en France ne porte pas tant sur l'interdiction d'utiliser l'IDFA sans le consentement de l'utilisateur que sur les modalités du recueil de ce consentement. Les organisations comme l'IAB, la MMA ou le SRI estiment que les consent management platform installées chez la plupart des éditeurs d'applications suffisent à recueillir un consentement valable selon le RGPD. Pas besoin donc de la nouvelle interface qu'Apple veut leur imposer car elle ferait doublon. L'interprofession pointe également l'hypocrisie d'Apple qui ne s'applique pas les mêmes exigences lors qu'il diffuse de la publicité ciblée au sein de certains de ses environnements, dont l'App Store. Les détenteurs d'iPhone doivent en effet aller dans les paramètres de leur smartphone pour bloquer toute publicité ciblée dans ces environnements, selon le principe de l'opt-out. Une technique d'ailleurs peu connue de la plupart d'entre eux. D'après une étude Happydemics menée pour la MMAF et l'IAB France, à peine 33% des utilisateurs iPhone y sont familier. Un fait qui contrevient, surtout, au RGPD…
Apple n'a pas encore officiellement réagi à l'annonce du FT, qui intervient dans un contexte explosif pour la firme à la pomme, alors qu'elle est attaquée de toutes parts concernant sa nouvelle politique en matière de vie privée. Alors que cette dernière aurait dû entrer en vigueur en septembre dernier, en même temps qu'IOS 14, Apple avait finalement consenti à octroyer un délai supplémentaire au marché, le temps pour les éditeurs d'adopter son outil d'attribution maison, SkadNetwork, pour continuer à traquer efficacement les internautes qui ont refusé l'utilisation de leur IDFA. Peine perdue à en croire un tweet de l'expert Eric Seufert posté le 15 mars. "Moins de 20% du trafic in-app est traqué via le SKAdNetwork et ce nombre doit s'approcher des 80 à 90% pour qu'ATT ne provoque pas l'effondrement du marché pub mobile", assure-t-il. Et d'annoncer qu'Apple envisagerait de repousser (à nouveau) l'échéance…