Recommandation CNIL sur les applications mobiles

L’écosystème des applications pour terminaux mobiles (smartphones et tablettes) était resté jusqu’à présent à l’écart des recommandations CNIL. Pourtant, pour les éditeurs d’applications mobiles et les fournisseurs de kits de développement logiciel (SDK), la mise en œuvre des principes de protection des données personnelles est particulièrement complexe.

Les professionnels du secteur ont donc accueilli avec intérêt les recommandations de la CNIL concernant les applis mobiles publiées dans leur version définitive en septembre 2024.

Aurele IT vous éclaire sur les enjeux et impacts de cette recommandation pour les acteurs de cet écosystème.

Enjeux et impacts des recommandations CNIL

Pourquoi la CNIL s’intéresse-t-elle à la thématique des applications mobiles?

Les terminaux mobiles constituent les équipements privilégiés des français pour se connecter à Internet. Ils impliquent des usages massifs d’applis mobiles qui présentent de forts enjeux concernant la vie privée de leurs utilisateurs. C’est pourquoi la CNIL a identifié les collectes de données dans les applications des smartphones comme une thématique prioritaire de son plan stratégique 2022-2024.

Quelle est la portée de ces recommandations et quel est le programme de contrôle annoncé ?

La CNIL, comme le Comité Européen de Protection des Données, disposent de la faculté d’interpréter le RGPD de façon générale et a priori, en-dehors de tout contentieux. Une recommandation CNIL relève du droit dit « souple », qui en fait est contraignant en matière de protection des données : en pratique, les responsables de traitement sont tenus de respecter les recommandations de la CNIL et du CEPD qui pourront leur être opposées en cas de contrôle.

La parution de la recommandation annonce le déploiement, à partir du début du printemps 2025, d’une campagne spécifique de contrôle par la CNIL chez les différents acteurs du secteur en France.

Et, comme cela a été le cas précédemment pour la recommandation CNIL concernant les cookies et traceurs, les autres autorités de contrôle européennes devraient s’en inspirer pour édicter des recommandations similaires.

Qui est concerné par cette recommandation ?

La CNIL s’attache dans la recommandation à identifier précisément les différents types d’acteurs concernés et à définir les rôles et qualifications de chacun.

Il s’agit des professionnels suivants :

1. Editeurs et développeurs d’applications

Le développeur fournit le code de l’application mobile. L’éditeur publie l’application mobile, le plus souvent sur les magasins d’applications (stores IOS ou Android)

2. Fournisseurs de SDK (kits de développement logiciel)

Ils fournissent une brique logicielle tierce implantée dans l’application, qui permet de procéder à certaines opérations. Au travers de ces briques logicielles ils sont impliqués dans certains traitements de données, par exemple :

    • proposer des fonctionnalités à travers l’application -ex. lecture d’un QR code)
    • tracer les utilisateurs aux fins de fournir à l’éditeur de l’application des analyses de données (analytics) ;
    • permettre à l’éditeur de l’application d’établir des profils de ses utilisateurs pour monétiser son audience auprès d’annonceurs publicitaires

3. Fournisseurs de systèmes d’exploitation et de magasins d’applications

Le fournisseur d’OS (Operating System) met à disposition l’OS. En pratique il s’agit des constructeurs de terminaux mobiles (Apple, Samsung, Huawei, Google…).

4. Magasins d’applications (stores) :

    1. IOS (système d’exploitation mobile Apple)
    2. Android (système d’exploitation mobile Google)

Quelles règlementations s’appliquent ?

Trois règlementations s’appliquent concomitamment aux applis mobiles:

  • le RGPD sur les données personnelles

La recommandation explicite la manière dont les obligations du RGPD se transcrivent en matière d’applications mobiles.

L’accent est mis sur les systèmes de permissions en ciblant les permissions dites « techniques », conçues par les fournisseurs d’OS, qui permettent à l’utilisateur de donner ou de bloquer l’accès à certaines informations (carnet de contact, géolocalisation, micro, appareil photo, etc.), indépendamment des finalités pour lesquelles ces informations pourraient être utilisées.

  • la directive eprivacy sur les opérations de lecture et réécriture sur un terminal mobile

La Directive eprivacy fixe les conditions de licéité liées au stockage et à l’accès de l’information présente sur le terminal mobile. La Directive s’applique quel que soit le type d’information, pas nécessairement des données personnelles et le consentement requis par la Directive est soumis aux mêmes conditions de validité que celles posées par le RGPD

A noter 2 exceptions au recueil du consentement selon l’art. 5.3 de la Directive:

    • le stockage visant exclusivement à effectuer la transmission d’une communication électronique
    • les opérations strictement nécessaires à la fourniture d’un service de la société de l’information, expressément demandé par l’utilisateur.
  • le reglement sur les marchés numériques (Digital Market Act ou DMA)

Le DMA est un règlement européen entré en vigueur le 6 mars 2024, qui vise les grandes plateformes numériques, qualifiées de gatekeepers ou gardiens d’accès. Cela inclut les entreprises technologiques avec une forte influence sur le marché, telles que Google, Apple, Meta, Amazon, et Microsoft. Son objectif est de lutter contre les pratiques anticoncurrentielles des géants d’internet sur le marché numérique européen au travers notamment de regles strictes sur l’accès aux données, la transparence et l’interopérabilité.

Quelle qualification pour les acteurs au regard du RGPD ?

La qualification des acteurs est à déterminer au cas par cas :

  1. L’éditeur d’une application peut être responsable du traitement des données dès lors qu’il participe à son fonctionnement. Toutefois il n’est pas responsable des traitements effectués par des tiers pour leur propre compte sur les données issues d’opérations réalisées à travers l’application.
  2. Le fournisseur de SDK est sous-traitant de l’éditeur lorsqu’il traite des données pour le compte de celui-ci, mais peut être responsable de traitement lorsqu’il réalise des traitements pour son propre compte.
  3. Le fournisseur du système d’exploitation est responsable des traitements du terminal

Quels impacts pour les professionnels du secteur ?

Une liste des bonnes pratiques à mettre en œuvre pour chaque type d’acteur est fournie par la CNIL.

Certaines sont identifiées par la CNIl dans sa recommandation comme de nouvelles obligations.

Quelques exemples:

Editeur

  • assurer une conformité lors de la conception et durant le cycle de vie de l’application
  • définir une finalité pour chaque traitement, identifier une base légale, y associer une durée de conservation
  • identifier les opérations de lecture/écriture sur les terminaux des personnes au sens de l’article 82 de la LIL (transposition de la directive eprivacy). Fournir des instructions précises au développeur pour identifier quels traceurs et quels accès au terminal doicent être soumis à consentement
  • lorsque le consentement est requis, s’assurer que celui-ci est recueilli dans des conditions valables

Développeur

  • formaliser son interaction avec l’éditeur et assumer envers ce dernier un rôle de conseil ;
  • sélectionner et auditer le fournisseur de SDK ;

Fournisseur de SDK

  • documenter les informations sur les traitements de données résultant du SDK et les fournir à ses partenaires dans un format accessible, par exemple sous forme de registre détaillé ;
  • concevoir des dispositifs facilitant le recueil du consentement.

Cas d’usage : les bonnes pratiques recommandées à l’éditeur pour la gestion des autorisations de géolocalisation, contact, micro et appareil photo

  • Géolocalisation : l’éditeur doit privilégier les permissions minimales (localisation approximative) ; lorsque c’est possible, l’éditeur doit proposer une alternative à l’usage de cette permission, par exemple l’entrée manuelle par l’utilisateur d’un code postal ou d’une adresse.
  • Contacts : l’accès aux contacts doit être justifié, avec des permissions minimales et un consentement explicite, surtout pour le partage des contacts avec d’autres utilisateurs. Ainsi, si certaines permissions d’accès nécessitent la mise en commun de données de contacts entre plusieurs utilisateurs de l’application (par exemple, la découverte de contacts inscrit à une messagerie), il est indispensable de collecter un consentement pour la lecture de ces données de contact sur le terminal de l’utilisateur et d’assurer l’information de l’ensemble des personnes susceptibles d’être concernées.
  • Micro: l’accès doit être ponctuel et justifié, avec des alternatives locales (ex. saisie manuelle par l’utilisateur).
  • Appareil photo : l’accès aux permissions nécessaires doit être limité. Le consentement est requis pour la collecte distante des images.

D’autres recommandations sont fournies pour chaque catégorie de professionnels.

Le cabinet bénéficie d’une expertise spécifique et accompagne les acteurs évoluant dans l’environnement des applis mobiles.
Contactez Maître Florence Ivanier pour toute question : .