La Commission européenne a lancé une enquête pour vérifier si Apple respecte bien les obligations du Digital Services Act (DSA). Au centre des préoccupations : la sécurité des mineurs. Selon Bruxelles, le système iOS et l’App Store ne garantiraient pas un niveau de protection suffisant contre les applications frauduleuses et les risques auxquels les plus jeunes peuvent être exposés. Ces accusations ravivent les tensions déjà vives entre la firme de Cupertino et les institutions européennes, après les débats houleux autour du Digital Markets Act (DMA).

Les griefs de Bruxelles

Le DSA impose aux grandes plateformes numériques d’évaluer et de limiter les risques systémiques pesant sur leurs utilisateurs. Or, la Commission européenne soupçonne Apple de ne pas avoir déployé de dispositifs suffisants pour détecter et éliminer les applications malveillantes présentes sur son App Store. De plus, elle estime que la société ne met pas en œuvre des mesures de sécurité adaptées pour protéger les mineurs, notamment face aux contenus ou interactions inappropriés.

Ces reproches ne sont pas anecdotiques : ils interviennent dans un contexte où les institutions européennes cherchent à renforcer la responsabilité des géants du numérique. Le DSA, combiné au DMA, entend rééquilibrer les rapports de force entre plateformes et utilisateurs. Mais cette double régulation crée désormais des tensions internes que même la Commission peine à résoudre.

La riposte d’Apple

La réaction d’Apple ne s’est pas fait attendre. Dans une lettre adressée à la Commission, Kyle Andeer, vice-président juridique de l’entreprise, a dénoncé une incohérence profonde entre le DSA et le DMA. Le premier impose une obligation de sécurité et de modération accrue, tandis que le second oblige Apple à ouvrir son écosystème, notamment en autorisant des boutiques d’applications tierces et des liens externes hors de l’App Store. Pour Apple, cette ouverture forcée rend tout simplement impossible le maintien du même niveau de contrôle et de protection.

L’entreprise affirme que les obligations du DMA « sapent directement la capacité d’Apple à protéger ses utilisateurs ». Selon elle, l’autorisation de liens sortants vers des sites ou des plateformes externes expose les utilisateurs à la fraude et aux escroqueries, sans que la firme puisse exercer de surveillance. Elle accuse également Bruxelles de détourner l’attention des conséquences pratiques de ses propres législations, préférant attaquer les acteurs privés plutôt que de reconnaître les contradictions internes du dispositif européen.

Le dilemme européen

Cette confrontation illustre un paradoxe profond dans la régulation numérique européenne. D’un côté, le DMA vise à briser les monopoles technologiques et à favoriser la concurrence. De l’autre, le DSA impose des obligations de contrôle et de sécurité plus strictes. Ces deux objectifs — ouverture du marché et protection des utilisateurs — peuvent entrer en collision. L’Union européenne exige davantage de transparence et d’interopérabilité, mais ces mêmes exigences affaiblissent les garde-fous que les entreprises avaient construits pour garantir la sécurité des données et la confiance des utilisateurs.

Pour un responsable de traitement ou un DPO, cette situation soulève une question centrale : comment concilier les impératifs de conformité, de sécurité et de compétitivité ? L’ouverture des écosystèmes peut accroître les risques de fraude, de vol de données ou d’exploitation abusive des informations personnelles. Les chaînes d’approvisionnement logicielles deviennent plus complexes et plus difficiles à auditer. Le risque de compromission des traitements de données, notamment par des applications tierces non vérifiées, se renforce.

Les implications pour la gouvernance des données

Au-delà du cas d’Apple, cette affaire révèle la nécessité pour les organisations européennes de repenser leur approche de la sécurité numérique. L’époque où la simple confiance dans un écosystème fermé suffisait à garantir la protection des données est révolue. Les entreprises doivent désormais adopter une vigilance accrue : revoir leurs politiques d’installation d’applications, encadrer les usages mobiles, sensibiliser leurs collaborateurs et documenter les mesures prises au titre du RGPD et de la cybersécurité.

Cette vigilance passe aussi par une réévaluation des partenariats technologiques. Dans un environnement où la frontière entre conformité et ouverture devient floue, chaque choix d’architecture logicielle ou de fournisseur peut avoir des conséquences sur la protection des données personnelles. Le principe de « privacy by design » doit être redéfini dans ce contexte fragmenté, où la sécurité d’un écosystème dépend désormais d’acteurs multiples.

Le bras de fer entre Apple et la Commission européenne dépasse le simple cadre réglementaire. Il pose la question de fond du modèle numérique que l’Europe souhaite promouvoir. Faut-il privilégier la concurrence, au risque de fragiliser la sécurité ? Ou maintenir des écosystèmes plus fermés, mais plus sûrs ? Entre innovation et prudence, l’équilibre reste difficile à trouver. Ce débat n’est pas seulement technique : il engage l’avenir de la confiance numérique sur le continent.

Comprendre la logique européenne : deux règlements pour un même objectif

Le Digital Services Act (DSA) et le Digital Markets Act (DMA) ont été adoptés conjointement en 2022 dans le cadre du programme « Europe numérique ».
Leur objectif commun est de réguler les grandes plateformes qui structurent l’économie numérique européenne.
Mais leur philosophie diffère :

  • Le DSA encadre les contenus et les comportements en ligne pour protéger les utilisateurs et prévenir les risques systémiques (désinformation, fraude, exploitation des mineurs, etc.).

  • Le DMA, lui, encadre les pratiques économiques des plateformes dominantes (dites gatekeepers) afin d’empêcher les abus de position et de favoriser la concurrence.

Les deux textes se complètent, mais peuvent entrer en tension — comme on le voit aujourd’hui avec le cas d’Apple : l’un exige davantage d’ouverture, l’autre impose davantage de contrôle.

Le Digital Services Act (DSA) : protéger les utilisateurs et encadrer les risques numériques

Le DSA est avant tout une loi de responsabilité des intermédiaires (hébergeurs, plateformes, réseaux sociaux, marketplaces, App Stores, etc.).
Son principe fondateur est que plus une plateforme est grande, plus ses obligations sont lourdes.

a. Les obligations générales applicables à toutes les plateformes

Toutes les entreprises fournissant des services numériques à des utilisateurs européens doivent :

  • mettre en place des mécanismes de signalement des contenus illicites ;

  • coopérer avec les autorités judiciaires et administratives ;

  • publier des rapports de transparence réguliers sur la modération des contenus ;

  • offrir un recours effectif aux utilisateurs dont le contenu a été supprimé ou restreint.

b. Les obligations renforcées pour les “Very Large Online Platforms” (VLOPs)

Les géants du numérique, identifiés comme VLOPs (plus de 45 millions d’utilisateurs actifs dans l’UE), doivent :

  • réaliser des évaluations annuelles de risques systémiques, portant notamment sur :

    • la diffusion de désinformation ou de contenus illégaux ;

    • la protection des mineurs ;

    • les risques de manipulation, de fraude ou d’exploitation économique ;

  • mettre en œuvre des mesures d’atténuation proportionnées à ces risques (ex. contrôle renforcé des applications, authentification des développeurs, détection des comportements frauduleux) ;

  • ouvrir leurs systèmes aux audits externes indépendants ;

  • partager certaines données avec les chercheurs agréés par la Commission européenne.

c. Lien avec la protection des données

Le DSA ne se substitue pas au RGPD, mais le complète.
Il introduit une obligation d’analyse de risques ex ante, comparable à une AIPD (analyse d’impact relative à la protection des données).
Pour un DPO, cela implique d’intégrer la modération, la fraude, la sécurité et la protection des mineurs dans la gestion globale des risques de traitement.

Le Digital Markets Act (DMA) : encadrer le pouvoir des “gatekeepers”

Le DMA vise à restaurer la concurrence dans l’économie numérique en imposant des règles strictes aux plateformes qui jouent un rôle de “contrôleurs d’accès” entre les entreprises et leurs utilisateurs.

a. Les critères d’un “gatekeeper”

Une entreprise est désignée gatekeeper si elle :

  • fournit un service de plateforme essentiel (App Store, moteur de recherche, messagerie, marketplace, etc.) ;

  • compte plus de 45 millions d’utilisateurs finaux et 10 000 entreprises utilisatrices actives dans l’UE ;

  • détient une position de contrôle durable du marché.

Apple, Google, Meta, Amazon, Microsoft et ByteDance ont été officiellement désignés gatekeepers en 2023.

b. Les obligations clés imposées aux gatekeepers

Ces acteurs doivent :

  • permettre l’interopérabilité entre leurs services et ceux des concurrents ;

  • autoriser les installations d’applications tierces ou les app stores alternatifs (cas d’Apple et iOS) ;

  • laisser les utilisateurs choisir leurs applications par défaut ;

  • garantir la portabilité des données et la transparence sur les algorithmes de classement ;

  • s’abstenir de privilégier leurs propres services (auto-préférence interdite).

c. Les interdictions majeures

Le DMA interdit également :

  • d’imposer des conditions commerciales déloyales ;

  • de combiner des données personnelles collectées sur plusieurs services sans consentement explicite ;

  • d’empêcher les développeurs ou les marchands d’utiliser d’autres canaux pour contacter leurs clients.

Ces obligations visent à ouvrir les écosystèmes, mais elles réduisent aussi la capacité des plateformes à maintenir un contrôle centralisé de sécurité et de conformité.

Le paradoxe Apple : ouverture forcée contre sécurité maîtrisée

C’est ici que se noue le conflit actuel.
Le DSA reproche à Apple de ne pas protéger suffisamment les utilisateurs et les mineurs contre la fraude et les escroqueries.
Mais le DMA l’oblige à ouvrir iOS à des magasins d’applications tiers et à permettre des liens sortants vers des plateformes externes.

Or, selon Apple, cette ouverture réduit drastiquement sa capacité à contrôler la qualité des applications, à filtrer les logiciels malveillants et à sécuriser les paiements.
La firme estime que la Commission européenne crée elle-même le risque qu’elle lui reproche ensuite de ne pas prévenir.

Ce paradoxe n’est pas anecdotique : il illustre la difficulté de concilier innovation, sécurité et concurrence dans la régulation numérique.
Plus on impose de transparence et d’ouverture, plus la gestion des risques devient complexe et fragmentée.

Enjeux pour les responsables de traitement et DPO

Pour les entreprises européennes, le couple DSA-DMA annonce un changement de paradigme dans la gouvernance numérique.
Il faut désormais articuler trois logiques souvent contradictoires : la conformité réglementaire, la sécurité des traitements et la liberté d’innovation.

Les responsables de traitement doivent :

  • réévaluer les chaînes d’approvisionnement logicielles ;

  • vérifier les conditions de sécurisation des applications mobiles et des API tierces ;

  • encadrer les flux de données sortants générés par des plateformes ouvertes ;

  • renforcer la traçabilité et la documentation des décisions techniques ;

  • et revoir la formation des utilisateurs à la vigilance numérique.

Le rôle du DPO s’en trouve élargi : il devient un pilier stratégique de la gouvernance numérique, garantissant la cohérence entre réglementation, architecture et pratiques.

Vers une convergence à venir ?

La Commission européenne travaille déjà à des lignes directrices pour articuler le DSA, le DMA et le RGPD.
L’objectif est d’éviter que ces textes ne s’annulent mutuellement.
Un “Digital Rulebook” commun est en discussion afin d’harmoniser les obligations de sécurité, de transparence et de concurrence.
Mais d’ici là, chaque acteur doit composer avec cette complexité, en adoptant une approche de conformité dynamique et proportionnée aux risques.