30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

RGPD

Applications mobiles : la CNIL lance une consultation publique sur son projet de recommandation

juillet 2023 par CNIL

Dans le cadre de son plan d’action sur les applications mobiles, la CNIL publie et soumet à consultation publique un projet de recommandation, destiné à clarifier les obligations des différents acteurs de cet écosystème, de faciliter leur mise en conformité et de promouvoir la mise en place de bonnes pratiques.

Pourquoi la CNIL a-t-elle décidé de s’intéresser aux applications mobiles ?

En 2022, selon le baromètre du numérique, 87 % des Français de 12 ans et plus possèdent un mobile multifonctions (smartphone en anglais) ; celui-ci est aujourd’hui l’équipement privilégié pour se connecter à Internet. Cette évolution des pratiques marque clairement l’importance des mobiles (téléphones, tablettes) dans la vie numérique quotidienne des Français.

Ces usages massifs et quotidiens de mobiles multifonctions et des applications présentent des enjeux forts en matière de protection de la vie privée des utilisateurs. La thématique des « applications mobiles » a donc été inscrite comme l’un des axes prioritaires du programme de travail de la CNIL pour l’année 2023.

Quoiqu’un grand nombre d’application sur les terminaux mobiles correspondent à la transposition de services proposés sur des sites web, l’environnement technique de fonctionnement des applications est sensiblement différent de celui des sites internet. En particulier, l’utilisation d’applications mobiles permet le traitement de grandes quantités de données personnelles qui n’existent pas ou peu sur les terminaux fixes (géolocalisation, accès à un carnet de contacts…). Ces traitements sont mis en œuvre par de nombreux acteurs participant au développement et à la mise à disposition d’une application mobile auprès du public. La CNIL a donc souhaité apporter davantage de sécurité juridique dans ce domaine et formuler des recommandations pour la protection de la vie privée. Le document qu’elle soumet à consultation clarifie les qualifications et responsabilités de ces acteurs au regard de la réglementation applicable en matière de protection des données, et rappelle les principes et obligations qui s’appliquent aux traitements de données par les applications mobiles.
Quel a été le processus d’élaboration du projet de recommandation ?

Afin de construire son projet de recommandation, la CNIL a conduit une concertation avec différents acteurs représentatifs de l’écosystème des applications mobiles, permettant de mieux comprendre ce secteur : éditeurs d’applications, développeurs, fournisseurs de kits de développement logiciel (SDK en anglais), fournisseurs de systèmes d’exploitation (OS) et/ou de magasins d’applications, acteurs institutionnels ainsi que plusieurs représentants de la société civile.

De plus, pour mieux comprendre les enjeux économiques associés à la collecte de données dans les univers mobiles, la CNIL a lancé un appel à contributions qui a alimenté ses réflexions et dont elle publie aujourd’hui la restitution.

À qui s’adresse ce projet de recommandation ?

Soumis à consultation publique jusqu’au 8 octobre 2023, ce projet de recommandation s’adresse à 5 grandes catégories d’acteurs intervenants dans l’écosystème des applications mobiles, qui peuvent avoir des rôles très divers :

Les éditeurs d’applications mobiles, qui mettent des applications mobiles à disposition des utilisateurs. Parfois, les éditeurs développent eux-mêmes les applications mobiles qu’ils éditent et endossent alors également le rôle de développeur.
Les développeurs d’applications mobiles, qui écrivent le code informatique composant une application mobile.
Les fournisseurs de kits de développement logiciel (SDK ou software development kit), qui développent des fonctionnalités « prêtes à l’emploi » pouvant être directement intégrées par les développeurs dans une application mobile (mesure d’audience, ciblage publicitaire, etc.). Le plus souvent, les fournisseurs de SDK sont également en charge du développement des infrastructures techniques avec lesquelles leurs SDK, une fois intégrés, vont communiquer.
Les fournisseurs de systèmes d’exploitation, qui mettent à disposition des systèmes d’exploitation (par exemple iOS ou Android) sur lesquels les applications mobiles seront exécutées. La mise à disposition de ces systèmes d’exploitation à l’utilisateur final peut impliquer différentes entités. Il s’agit, par exemple, des développeurs de systèmes d’exploitation à proprement parler, mais également des constructeurs de mobiles et de tablettes, qui préinstallent les systèmes d’exploitation sur leurs appareils.

Les fournisseurs de magasins d’applications : ces acteurs mettent à disposition des plateformes (présentées elles-mêmes sous la forme d’applications) permettant le téléchargement de nouvelles applications. Ils sont relativement peu nombreux, en comparaison avec les autres acteurs, mais ont un impact important sur l’expérience que l’utilisateur final aura de son appareil.

Au sein de chacune de ces catégories d’acteurs, le contenu de la recommandation s’adresse plus particulièrement aux délégués à la protection des données et aux équipes techniques et juridiques.

Comment ce projet de recommandation est-il structuré ?

Le projet de recommandation comporte une partie dédiée à chaque catégorie d’acteurs afin que chacun puisse identifier les recommandations qui le concerne directement. Il peut aussi, dans cette logique, identifier facilement les parties qui concernent ses partenaires pour les inciter à se mettre en conformité.

Le document est structuré ainsi :

les parties 1 et 2 introduisent la recommandation et définissent son périmètre ;
la partie 3 rappelle les conditions d’application de la réglementation relative à la protection des données à caractère personnel aux applications mobiles ;
la partie 4 analyse la question des partages des rôles et des responsabilités des différents acteurs dans la fourniture d’une application mobile au sens du règlement général sur la protection des données (RGPD) ;
les parties 5 à 9 regroupent les recommandations pratiques et ciblées pour chacune des cinq catégories d’acteurs concernées ;
un glossaire établit une liste des termes techniques utilisés afin de les décrire précisément dans leur contexte.

Quels sont les objectifs de la recommandation ?

Clarifier et encadrer le rôle de chaque acteur
Tout d’abord, le projet de recommandation vise à préciser le partage des responsabilités entre chacun des acteurs qui constituent l’écosystème mobile et leurs obligations respectives, en réponse à une demande forte issue de la concertation. Il fournit notamment des outils pour clarifier et encadrer les relations qui peuvent lier ces entités, et en particulier les éditeurs, développeurs et fournisseurs de SDK. Le projet de recommandation a notamment pour objectif de permettre à chaque acteur d’identifier, pour chaque traitement de données personnelles s’il est, au sens du RGPD, responsable ou co-responsable de traitement, sous-traitant ou s’il ne relève d’aucune de ces qualifications.

Assurer une information et un recueil du consentement respectueux des utilisateurs
Dans un certain nombre de cas, la collecte et l’utilisation des données personnelles de l’utilisateur nécessite le recueil du consentement des utilisateurs. En particulier, un certain nombre d’identifiants proposés par l’environnement mobile pour permettre le profilage des utilisateurs, ne peuvent être utilisés sans consentement préalable. Le projet de recommandation vise à clarifier et améliorer la gestion du recueil du consentement des utilisateurs, autant pour encourager la transparence que pour assurer la conformité juridique des professionnels concernés.

Le dispositif de permissions d’accès à certaines ressources sensibles (géolocalisation, carnet de contacts, appareils photographiques, bloc note, documents médias, etc.) permet de participer à ce recueil de consentement dans certains cas. Cependant, il est nécessaire que les permissions soient conçues et utilisées de manière à protéger les droits des personnes, en leur fournissant notamment une information suffisamment claire (sont-elles nécessaires au fonctionnement de l’application ? À des fonctionnalités annexes ? Pour financer l’application sans paiement de l’utilisateur, par exemple via des publicités ciblées ?).

Ainsi, la CNIL recommande également une articulation nécessaire entre les demandes de permissions effectuées par les applications pour permettre certaines fonctionnalités et le recueil d’un consentement valable.

Favoriser les bonnes pratiques au bénéfice des utilisateurs
Au regard du rôle important des fournisseurs d’OS et des magasins d’applications dans l’écosystème, le projet de recommandation souligne l’impact que ceux-ci peuvent avoir dans l’amélioration et la facilitation du respect de la vie privée des utilisateurs. Ce projet encourage les fournisseurs d’OS et des magasins d’application à mettre en œuvre un ensemble de bonnes pratiques pour concourir à un environnement plus respectueux de la protection des données personnelles (amélioration de la qualité et la fiabilité de l’information présentée à l’utilisateur, finesse du contrôle qu’il peut exercer sur les traitements issus des applications, etc.).

Le projet de recommandation vise enfin à encourager la mise en œuvre d’architectures dans lesquelles les applications mobiles sont de simples logiciels qui fonctionnent hors connexion, sans collecte ou traitement de données personnelles. Les applications qui entrent dans ce cadre sont par nature plus protectrices de la vie privée de leurs utilisateurs, et ne sont parfois plus soumises au RGPD..

Quel est le calendrier de la consultation et qui peut contribuer ?

Cette consultation prendra fin le 8 octobre 2023 inclus.

À l’issue de cette période, la CNIL examinera et adoptera une version définitive de la recommandation.

Tout acteur public ou privé concerné peut participer à la consultation. La CNIL souhaite particulièrement mobiliser les acteurs de l’écosystème des applications mobiles visés par le projet de recommandation (éditeur et développeur d’application, fournisseurs de SDK, de systèmes d’exploitation et magasins d’applications).

La CNIL invite les acteurs d’un même organisme ou secteur à regrouper, si possible, leurs commentaires au sein d’une seule contribution, notamment en se rapprochant de leurs représentants, têtes de réseaux, fédérations, associations, etc.