Recommandations de la CNIL sur les applications mobiles
Des contrôles sont prévus dès mars 2025, avec de possibles sanctions en cas de non-conformité.
Quel est l’objet de ces recommandations ? Qui sont les acteurs concernés ? Comment se mettre en conformité ?
Quel est l’objet de ces recommandations ?
Les recommandations clarifient l’application des règles de protection des données personnelles, dans l’écosystème mobile. Elles précisent comment les acteurs impliqués dans la mise à disposition de ces applications mobiles peuvent utiliser ou partager les données personnelles des utilisateurs.
Bien que techniques, ces recommandations définissent clairement les rôles et obligations des acteurs, facilitant ainsi leur mise en conformité et l’encadrement de leurs relations contractuelles.
Précisons que ces recommandations couvrent toutes les applications mobiles, qu’elles soient destinées à un usage privé ou professionnel.
Quels acteurs sont concernés ?
Les recommandations s’adressent à plusieurs catégories d’acteurs.
Elles concernent d’abord les éditeurs d’application, c’est-à-dire ceux qui proposent des produits ou des services via des applications.
Elles concernent ensuite les développeurs, c’est-à-dire les concepteurs du code informatique des applications.
Elles s’appliquent également aux fournisseurs de SDK. Les SDK ou Software Development Kits sont des kits de développement logiciel permettant d’intégrer des briques logicielles dans des applications, souvent à des fins publicitaires.
Les recommandations de la CNIL s’appliquent aussi aux magasins d’application qui distribuent ces applications, comme l’Apple store.
Enfin, elles concernent les fournisseurs de systèmes d’exploitation, tel qu’Apple pour IOS.
Ces acteurs peuvent traiter, et parfois se transmettent entre eux, de nombreuses données personnelles. Il peut s’agir, par exemple, de données de localisation, de données de santé. Il peut aussi s’agir encore de données relatives aux comportements des utilisateurs sur une application mobile qui seront utilisées à des fins de profilage publicitaires ou de monétisation des espaces publicitaires.
Comment se mettre en conformité ?
Pour se mettre en conformité, les acteurs concernés peuvent suivre les étapes suivantes.
Premièrement, ils doivent cartographier leurs traitements de données personnelles, en identifiant notamment la nature des données traitées et la finalité des traitements.
Deuxièmement, ils doivent qualifier leur rôle, c’est-à-dire déterminer s’ils sont responsables de traitement ou sous-traitants.
Enfin, troisièmement, ils doivent identifier leurs obligations au regard de cette qualification.
Dans cette mise en conformité, deux points doivent faire l’objet d’une attention particulière.
Tout d’abord, vérifiez si l’utilisation envisagée des données personnelles nécessite le consentement de l’utilisateur, ce qui est souvent le cas pour le ciblage publicitaire. Veillez alors à recueillir ce consentement préalablement et dans des conditions conformes.
Ensuite, pensez à informer les utilisateurs de manière claire et accessible sur l’utilisation de leurs données.
La violation de ces recommandations expose à une amende pouvant atteindre 4% du chiffre d’affaires mondial, avec des répercussions sur la réputation, et donc, sur les performances économiques. Elle expose également au risque d’être écarté de l’écosystème.
En effet, la CNIL recommande aux développeurs d’obtenir de leurs fournisseurs de SDK des informations claires sur les traitements de données impliqués par l’intégration du SDK dans leurs applications. En cas de refus, les développeurs sont invités à changer de fournisseurs de SDK.
Par ailleurs, la CNIL invite les magasins d’application à refuser de distribuer des applications qui ne sont pas en mesure de fournir les éléments d’information requis par le RGPD, tels que l’identité du responsable de traitement ou encore la finalité de l’utilisation des données personnelles.
Il est donc clair que la conformité peut devenir un avantage concurrentiel, et un argument commercial supplémentaire, auprès des utilisateurs, mais aussi des clients, comme le sont les éditeurs pour les développeurs par exemple.
Que retenir pour les entreprises ?
Les acteurs visés par ces recommandations doivent engager leur mise en conformité sans attendre.
Cela leur permettra d’éviter des sanctions, de préserver leur place sur le marché, mais aussi de se distinguer auprès des utilisateurs ou des clients.
Si des doutes subsistent, consultez votre juriste ou votre avocat.