Les applications mobiles sont un écosystème particulier, avec leurs propres systèmes d’exploitation et des règles de fonctionnement spécifiques. Elles ont également accès à de nombreuses données personnelles relatives à leurs utilisateurs. Données qu’il convient de traiter correctement.
C’est pour ces raisons que la CNIL a entamé en 2023 un premier travail de concertation avec des acteurs du secteur. L’idée ? Identifier les enjeux liés à l’application dans cet écosystème des réglementations en vigueur sur la protection des données personnelles.
Après une phase de concertation publique, la CNIL a donc publié hier ses recommandations.
Répondre aux questions selon les acteurs
Il s’agit d’un document d’environ 100 pages. Il liste et développe les obligations incombant à chaque type d’acteur de l’écosystème des applications mobiles. On retrouve ainsi :
- Un chapitre dédié aux éditeurs d’applications
- Un autre réservé aux développeurs
- Un autre aux fournisseurs de kits de développement, de système d’exploitation
- Et enfin un dernier chapitre dédié aux fournisseurs de magasins d’applications
Chaque chapitre détaille en plusieurs étapes les différents points d’attentions et questions à prendre en compte pour s’assurer de sa conformité avec les différents règlements en place. Le RGPD bien sûr, mais aussi la directive ePrivacy, transposée en France dans le cadre de la loi Informatique et libertés.
Cette publication répond à trois objectifs :
- Clarifier et encadrer le rôle des différents types d’acteurs
- Favoriser une meilleure information des usagers sur l’utilisation de leurs données
- Clarifier le recueil du consentement « éclairé » des utilisateurs par les applications
Clarifier et punir
La Commission a par le passé prononcé plusieurs sanctions envers des applications n’ayant pas recueilli le consentement des utilisateurs de manière loyale.
Elle publie régulièrement des études sur le phénomène des « dark patterns », ces techniques d’affichage trompeuses qui visent à pousser l’utilisateur à donner son consentement sans lui expliquer clairement à quoi il s’expose.
La CNIL explique avoir porté une attention particulière à distinguer ce qui relève de l’obligation de la simple recommandation.
Les développeurs et éditeurs qui souhaitent donc vérifier leur conformité peuvent donc se plonger dans la lecture du rapport de la CNIL, qui a profité de cette annonce pour détailler un peu son calendrier.
Si dans un premier temps, la Commission cherchera à accompagner les entreprises pour les aider à mieux comprendre ces recommandations, elle explique préparer une campagne spécifique de contrôle des applications mobiles pour l’année 2025. Mieux vaut donc s’être assuré de sa conformité avant la fin de l’année.