Recommandation CNIL sur les applications mobiles

Publié le par

L’écosystème des applications pour terminaux mobiles (smartphones et tablettes) était resté jusqu’à présent à l’écart des recommandations CNIL. Pourtant pour les éditeurs d’applications mobiles et les fournisseurs de kits de développement logiciel (SDK), la mise en œuvre des principes de protection des données personnelles est particulièrement complexe.

Les professionnels du secteur ont donc accueilli avec intérêt le projet de recommandation de la CNIL concernant les applis mobiles, qui a été soumis à consultation publique jusqu’au 8 octobre 2023 et sera prochainement publié dans sa version définitive.

D’ores et déjà, Aurele IT vous éclaire sur les enjeux et impacts du  projet de recommandation pour les acteurs de cet écosystème.

Enjeux et impacts du projet de recommandation CNIL

Pourquoi la CNIL a-t-elle décidé de s’intéresser à la thématique des applications mobiles ?

Les terminaux mobiles sont aujourd’hui les équipements privilégiés des français pour se connecter à Internet. Ils impliquent des usages massifs d’applis mobiles qui présentent de forts enjeux concernant la vie privée de leurs utilisateurs. C’est pourquoi la CNIL a identifié les collectes de données dans les applications des smartphones comme une thématique prioritaire de son plan stratégique 2022-2024.

Quelle est la portée de la recommandation ?

La CNIL ,comme le Comité Européen de Protection des Données, disposent de la faculté d’interpréter le RGPD de façon générale et a priori, en-dehors de tout contentieux. Une recommandation CNIL relève du droit dit « souple », qui en fait est contraignant en matière de protection des données : en pratique, les responsables de traitement sont tenus de respecter les recommandations de la CNIL et du CEPD qui pourront leur être opposées en cas de contrôle.

La parution de la recommandation annonce les contrôles que la CNIL va déclencher dès 2024 chez les différents acteurs du secteur en France.

Et, comme cela a été le cas précédemment pour la recommandation CNIL concernant les cookies et traceurs, les autres autorités de contrôle européennes devraient s’en inspirer pour édicter des recommandations similaires.

Qui est concerné par cette recommandation ?

La CNIL s’attache dans la recommandation à identifier précisément les différents types d’acteurs concernés et à définir les rôles et qualifications de chacun.

Il s’agit des professionnels suivants :

1. Editeurs et développeurs d’applications

Le développeur fournit le code de l’application mobile. L’éditeur publie l’application mobile, le plus souvent sur les magasins d’applications (stores IOS ou Android)

2. Fournisseurs de SDK (kits de développement logiciel)

Ils fournissent une brique logicielle tierce implantée dans l’application, qui permet de procéder à certaines opérations. Au travers de ces briques logicielles ils sont impliqués dans certains traitements de données, par exemple :

    • proposer des fonctionnalités à travers l’application -ex. lecture d’un QR code)
    • tracer les utilisateurs aux fins de fournir à l’éditeur de l’application des analyses de données (analytics) ;
    • permettre à l’éditeur de l’application d’établir des profils de ses utilisateurs pour monétiser son audience auprès d’annonceurs publicitaires

3. Fournisseurs de systèmes d’exploitation et de magasins d’applications

Le fournisseur d’OS (Operating System) met à disposition l’OS. En pratique il s’agit des constructeurs de terminaux mobiles (Apple, Samsung, Huawei, Google…).

4. Magasins d’applications (stores) :

    1. IOS (système d’exploitation mobile Apple)
    2. Android (système d’exploitation mobile Google)

Quelles règlementations s’appliquent ?

Deux règlementations s’appliquent concomitamment aux applis mobiles:

  1. le RGPD sur les données personnelles

  2. la directive eprivacy sur les opérations de lecture et réécriture sur un terminal mobile.

La Directive eprivacy fixe les conditions de licéité liées au stockage et à l’accès de l’information présente sur le terminal mobile. La Directive s’applique quel que soit le type d’information, pas nécessairement des données personnelles et le consentement requis par la Directive est soumis aux mêmes conditions de validité que celles posées par le RGPD

A noter 2 exceptions au recueil du consentement selon l’art. 5.3 de la Directive:

  • le stockage visant exclusivement à effectuer la transmission d’une communication électronique
  • les opérations strictement nécessaires à la fourniture d’un service de la société de l’information, expressément demandé par l’utilisateur

Quelle qualification pour les acteurs au regard du RGPD ?

La qualification des acteurs est à déterminer au cas par cas :

  1. L’éditeur d’une application peut être responsable du traitement des données dès lors qu’il participe à son fonctionnement. Toutefois il n’est pas responsable des traitements effectués par des tiers pour leur propre compte sur les données issues d’opérations réalisées à travers l’application.
  2. Le fournisseur de SDK est sous-traitant de l’éditeur lorsqu’il traite des données pour le compte de celui-ci, mais peut être responsable de traitement lorsqu’il réalise des traitements pour son propre compte.
  3. Le fournisseur du système d’exploitation est responsable des traitements du terminal

Quels impacts pour les professionnels du secteur ?

Une liste des bonnes pratiques à mettre en œuvre pour chaque type d’acteur est fournie par la CNIL. Certaines de ces recommandations peuvent constituer de nouvelles obligations.

Quelques exemples:

Editeur

  • assurer une conformité lors de la conception et durant le cycle de vie de l’application
  • définir une finalité pour chaque traitement, identifier une base légale, y associer une durée de conservation
  • identifier les opérations de lecture/écriture sur les terminaux des personnes au sens de l’article 82 de la LIL (transposition de la directive eprivacy). Fournir des instructions précises au développeur pour identifier quels traceurs et quels accès au terminal doicent être soumis à consentement
  • lorsque le consentement est requis, s’assurer que celui-ci est recueilli dans des conditions valables

Développeur

  • formaliser son interaction avec l’éditeur et assumer envers ce dernier un rôle de conseil ;
  • sélectionner et auditer le fournisseur de SDK ;

Fournisseur de SDK

  • documenter les informations sur les traitements de données résultant du SDK et les fournir à ses partenaires dans un format accessible, par exemple sous forme de registre détaillé ;
  • concevoir des dispositifs facilitant le recueil du consentement.

 

Dès publication du texte définitif de la CNIL, Aurele IT vous tiendra informés des changements notables apportées au projet.

Le cabinet bénéficie d’une expertise spécifique et accompagne les acteurs évoluant dans l’environnement des applis mobiles.
Contactez Florence Ivanier pour toute question :