Le troisième monstre qu’on attaque, c’est Apple. Il est bien différent de ses deux frères déjà traités ici (Google et Facebook), car il ne centre pas ses profits sur l’exploitation de nos données personnelles. Ce géant-là est avant tout un géant de la communication, il sait donc bien se donner une image d’élève modèle alors qu’il n’est pas irréprochable… ni inattaquable !
Contre l’emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.
L’entreprise Apple
Apple, c’est 200 milliards d’euros de chiffre d’affaires annuel et tout autant de réserve en trésorerie (pour comparer, le budget annuel de l’État français est d’environ 300 milliards). En bourse, l’ensemble des actions de l’entreprise vaudrait maintenant 1 000 milliards de dollars, ce qui en fait la première capitalisation boursière du monde.
Fondée en 1976, notamment par Steve Jobs et bien avant l’avènement d’Internet, l’entreprise se centre sur la vente de ses propres ordinateurs, équipés de systèmes d’exploitation qu’elle développe elle-même.
En 1984, Apple annonce le lancement de son Macintosh au moyen d’une publicité vidéo réalisée par Ridley Scott, naïvement intitulée « 1984 » et posant l’entreprise en rempart contre une future société de surveillance (la vidéo originale est disponible sur YouTube, mais nous lui préférons le détournement qu’en ont fait nos amis de la Startuffe Nation !). Tout comme le slogan interne de Google, « Don’t be evil », la posture prise en 1984 par Apple n’est finalement qu’une sinistre anti-prophétie : l’entreprise jouera bien un rôle décisif dans la transformation des outils numériques en moyens d’enfermement et de contrôle.
Par la suite, Apple ne cessera d’ailleurs pas de briller par ses stratégies de communication aussi confuses qu’insidieuses : sa fameuse injonction « Think different » ne nous disant surtout pas « de quoi » il s’agirait penser différemment, elle nous demande surtout, en vérité, de penser différemment « de nous-même » (de notre singularité) pour « penser Apple » et nous fondre dans un « cool » finalement très commun.
En 2007, il y a à peine plus de 10 ans, sort l’iPhone. Ses ventes ont placé l’entreprise dans sa situation économique actuelle, représentant désormais 70% de son chiffre d’affaire (les 30% restants étant à peu près équitablement répartis entre les ventes d’iPad, de Mac et de services). Aujourd’hui, environ un smartphone sur cinq vendu dans le monde l’est par Apple.
Le modèle Apple
Le modèle économique d’Apple, centré sur la vente au public de ses seules machines, repose sur l’enfermement de ses clients : s’assurer que ceux-ci n’achèteront que du matériel Apple. Pour cela, l’entreprise entend garder tout contrôle sur l’utilisation que ses clients peuvent faire des produits qu’ils ont achetés.
Les systèmes d’exploitation livrés avec les machines Apple – iOS et Mac OS – sont ainsi de pures boites noires : leur code source est gardé secret, empêchant qu’on puisse prendre connaissance de leur fonctionnement pour l’adapter à nos besoins, en dehors du contrôle d’Apple.
Son App Store est aussi une parfaite illustration de cette prison dorée : Apple limite les logiciels téléchargeables selon ses propres critères, s’assurant que ses utilisateurs n’aient accès qu’à des services tiers « de qualité » – conformes à son modèle économique et à sa stratégie d’enfermement (Apple prenant au passage 30% du prix de vente des applications payantes, il a d’ailleurs tout intérêt à favoriser celles-ci).
Enfin, une fois que ses utilisateurs ont payé pour utiliser divers logiciels non-libres via l’App Store, il devient bien difficile pour eux, économiquement, de se tourner vers d’autres systèmes qu’Apple, où l’accès à certains de ces logiciels ne serait plus possible – et où l’argent dépensé pour les acheter serait perdu.
L’emprisonnement est parfait.
Un enfermement (aussi) matériel
Hélas, le modèle d’enfermement d’Apple ne se limite pas aux logiciels : la connectique des iPhones n’est pas compatible avec le standard Micro-USB utilisé par tous les autres constructeurs, obligeant ainsi à acheter des câbles spécifiques. De même, les derniers iPhones n’ont pas de prise jack pour le casque audio, obligeant à acheter un adaptateur supplémentaire si on ne souhaite pas utiliser les écouteurs Bluetooth d’Apple.
La dernière caricature en date de ce modèle est la nouvelle enceinte d’Apple, HomePod, qui requiert un iPhone pour s’installer et ne peut jouer que de la musique principalement fournie par les services d’Apple (iTunes, Apple Music…).
Enfin, une fois qu’Apple peut entièrement contrôler l’utilisation de ses appareils, la route lui est grande ouverte pour en programmer l’obsolescence et pousser à l’achat d’appareils plus récents. Ainsi, l’hiver dernier, accusée par des observateurs extérieurs, l’entreprise a été contrainte de reconnaître que des mises à jour avaient volontairement ralenti les anciens modèles de ses téléphones.
Apple a expliqué que ce changement visait à protéger les téléphones les plus anciens dont la batterie était usée. Mais sa réponse, qu’elle soit sincère ou non, ne fait que souligner le véritable problème : ses iPhone sont conçus pour ne pas permettre une réparation ou un changement de batterie simple. Ralentir les vieux modèles n’était « utile » que dans la mesure où ceux-ci n’étaient pas conçus pour durer.
Vie privée : un faux ami
Apple vendant surtout du matériel, la surveillance de masse n’est a priori pas aussi utile pour lui que pour les autres GAFAM. L’entreprise en profite donc pour se présenter comme un défenseur de la vie privée.
Par exemple sur son navigateur Web, Safari, les cookies tiers, qui sont utilisés pour retracer l’activité d’une personne sur différents sites Internet, sont bloqués par défaut. L’entreprise présente cela comme une mesure de protection de la vie privée, et c’est vrai, mais c’est aussi pour elle une façon de ramener le marché de la publicité vers le secteur des applications mobiles, où non seulement le traçage n’est pas bloqué mais, au contraire, directement offert par Apple.
C’est ce que nous attaquons.
Une définition « hors-loi » des données personnelles
Dans son « engagement de confidentialité », qu’on est obligé d’accepter pour utiliser ses services, Apple s’autorise à utiliser nos données personnelles dans certains cas limités, se donnant l’image d’un entreprise respectueuse de ses utilisateurs.
Pourtant, aussitôt, Apple s’autorise à « collecter, utiliser, transférer et divulguer des données non-personnelles à quelque fin que ce soit », incluant parmi ces données :
- « le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence » ;
- « la localisation et le fuseau horaire dans lesquels un produit Apple est utilisé » ;
- l’utilisation des services Apple, « y compris les recherches que vous effectuez », ces informations n’étant pas associées à l’adresse IP de l’utilisateur, « sauf dans de très rares cas pour assurer la qualité de nos services en ligne ».
Cette liste révèle que la définition des « données personnelles » retenue par Apple est bien différente de celle retenue par le droit européen. En droit européen, une information est une donnée personnelle du moment qu’elle peut être associée à une personne unique, peu importe que l’identité de cette personne soit connue ou non. Or, l’identifiant unique de l’appareil, l’adresse IP ou, dans bien des cas aussi, les recherches effectuées ou la localisation, sont bien associables à une personne unique par elles-mêmes.
Ainsi, l’entreprise a beau jeu de préciser que « si nous associons des données non-personnelles à des données personnelles, les données ainsi combinées seront traitées comme des données à caractère personnel ». En effet, les données qu’elle dit « non-personnelles » et qu’elle associe ensembles constituent déja des données personnelles, que le droit européen interdit d’utiliser « à quelque fin que ce soit ». C’est bien pourtant ce qu’Apple nous demande d’accepter pour utiliser ses services (et sans qu’on sache dans quelle mesure il utilise ou utilisera un jour ce blanc-seing).
Le méga-cookie Apple
En dehors de l’immense incertitude quant aux pouvoirs qu’Apple s’arroge via sa définition erronée des « données non-personnelles », un danger est déjà parfaitement actuel : l’identifiant publicitaire unique qu’Apple fournit à chaque application.
Comme nous l’avions déjà vu pour Google (le fonctionnement est identique), Apple associe à chaque appareil un identifiant unique à fins publicitaires. Cet identifiant est librement accessible par chaque application installée (l’utilisateur n’est pas invité à en autoriser l’accès au cas par cas – l’accès est automatiquement donné).
Cet identifiant, encore plus efficace qu’un simple « cookie », permet d’individualiser chaque utilisateur et, ainsi, de retracer parfaitement ses activités sur l’ensemble de ses applications. Apple fournit donc à des entreprises tierces un outil décisif pour établir le profil de chaque utilisateur – pour sonder notre esprit afin de mieux nous manipuler, de nous soumettre la bonne publicité au bon moment (exactement de la même façon que nous le décrivions au sujet de Facebook).
On comprend facilement l’intérêt qu’en tire Apple : attirer sur ses plateformes le plus grand nombre d’applications, afin que celles-ci attirent le plus grand nombre d’utilisateurs, qui se retrouveront enfermés dans le système Apple.
Tel que déjà évoqué, les entreprises tierces sont d’autant plus incitées à venir sur l’App Store depuis que Apple les empêche de recourir aux juteux « cookies tiers » sur le Web – que Safari bloque par défaut. En effet, à quoi bon se battre contre Apple pour surveiller la population sur des sites internets alors que cette même entreprise offre gratuitement les moyens de le faire sur des applications ? La protection offerte par Safari apparaît dès lors sous des traits biens cyniques.
Un identifiant illégal
Contrairement au méga-cookie offert par Google sur Android, celui d’Apple est désactivable : l’utilisateur peut lui donner comme valeur « 0 ». Ce faisant, Apple prétend « laisser le choix » de se soumettre ou non à la surveillance massive qu’il permet.
Or, ce choix est largement illusoire : au moment de l’acquisition et de l’installation d’un appareil, le méga-cookie d’Apple est activé par défaut, et l’utilisateur n’est pas invité à faire le moindre choix à son sujet. Ce n’est qu’ultérieurement, s’il a connaissance de l’option appropriée et en comprend le fonctionnement et l’intérêt, que l’utilisateur peut vraiment faire ce choix. Et Apple sait pertinemment que la plupart de ses clients n’auront pas cette connaissance ou cette compréhension, et qu’aucun choix ne leur aura donc été véritablement donné.
C’est pourtant bien ce qu’exige la loi. La directive « ePrivacy » exige le consentement de l’utilisateur pour accéder aux informations contenues sur sa machine, tel que ce méga-cookie. Le règlement général sur la protection des données (RGPD) exige que ce consentement soit donné de façon explicite, par un acte positif dont le seul but est d’accepter l’accès aux données. Or, Apple ne demande jamais ce consentement, le considérant comme étant donné par défaut.
Pour respecter la loi, il devrait, au moment de l’installation de la machine, exiger que l’utilisateur choisisse s’il veut ou non que lui soit associé un identifiant publicitaire unique. Si l’utilisateur refuse, il doit pouvoir terminer l’installation et utiliser librement l’appareil. C’est ce que nous exigerons collectivement devant la CNIL.
D’ailleurs, la solution que nous exigeons est bien celle qui avait été retenue par Microsoft, l’été dernier, pour mettre Windows 10 en conformité avec la loi lorsque la CNIL lui faisait des reproches semblables à ceux que nous formulons aujourd’hui. Si Apple souhaite véritablement respecter les droits de ses utilisateurs, tel qu’il le prétend aujourd’hui hypocritement, la voie lui est donc clairement ouverte.
S’il ne prend pas cette voie, il sera le GAFAM dont la sanction, d’un montant maximum de 8 milliards d’euros, sera, pour l’Europe, la plus rentable. De quoi commencer à rééquilibrer les conséquences de son évasion fiscale, qui lui a déjà valu en 2016 une amende de 13 milliards d’euros, encore en attente de paiement (pour approfondir cet aspect, plus éloigné de notre action centrée sur les données personnelles, voir les actions conduites par ATTAC).
Contre l’emprise des GAFAM sur nos vies, allez dès maintenant sur gafam.laquadrature.net signer les plaintes collectives que nous déposerons le 25 mai devant la CNIL.