Le 24 septembre 2024, les dernières recommandations de la CNIL ont été ajoutées au corpus juridique de « droit souple » de l’institution. Ces textes, en principe non contraignants, sont en pratique sources d’obligations pour les entreprises, sauf pour les simples bonnes pratiques qu’ils énoncent.
Objectifs et contexte
Les terminaux mobiles (smartphones et tablettes) ont accès à une grande quantité d’informations via les capteurs embarqués dans les appareils. Toutefois, les utilisateurs sont encore insuffisamment informés de la manière dont les données sont collectées par leur terminal.
A cet égard, les recommandations de la CNIL ont pour but de :
- Clarifier et encadrer le rôle de chaque acteur, sa responsabilité ainsi que ses obligations.
- Améliorer l’information des utilisateurs sur l’utilisation de leurs données.
- S’assurer que le consentement est éclairé et n’est pas contraint.
- Encourager les architectures d’application respectueuses de la vie privée des utilisateurs.
Ce document est adressé à cinq acteurs présents dans ce secteur :
- L’éditeur d’application : il définit le modèle économique d’une application et la met à disposition des utilisateurs, le plus souvent via un magasin d’applications.
- Le développeur d’application : il contribue à définir l’architecture de l’application.
- Le fournisseur de kits de développement logiciel (Software Development Kits ou SDK) : il met à disposition une brique logicielle tierce intégrée à l’application qui assure une fonction définie (exemple: paiement).
- Le fournisseur de systèmes d’exploitation (OS) : il met à disposition le système d’exploitation installé sur l’appareil qui permettra aux applications d’utiliser les fonctions du terminal.
- Le fournisseur de magasins d’applications : il tient la plateforme de distribution en ligne des applications.
Dans ce document, la CNIL commence par rappeler la réglementation applicable au secteur, puis clarifie les règles de partage des responsabilités des acteurs au sens du RGPD et poursuit en détaillant les obligations et les bonnes pratiques pour chacun des acteurs qu’elle a identifiés.
La réglementation applicable
- Le Règlement général sur la protection des données (RGPD) : ce texte s’applique aux traitements des données personnelles réalisés au sein de l’application, dans les limites prévues à ses articles 2 et 3.
- La Directive e-Privacy, telle que transposée dans la Loi informatique et Liberté, dans la mesure où des opérations de lecture et/ou d’écriture via un réseau sont menées sur le terminal de l’utilisateur.
- Le Règlement sur les marchés numériques (Digital Market Act ou DMA) : lorsqu’une entreprise qualifiée de « contrôleur d’accès » est impliquée.
La qualification des acteurs
Dans l’écosystème des applications mobiles, un acteur peut endosser plusieurs qualifications en sens du RGPD. Par exemple, le développeur d’application est sous-traitant quand il assure la maintenance de l’application pour l’éditeur, mais devient responsable du traitement s’il utilise les données collectées pour améliorer ses propres services.
Les recommandations spécifiques à chacun des acteurs
- L’éditeur d’application :
- doit concevoir une application conforme au RGPD, intégrant la protection des données dès sa conception (privacy by design), assurer son suivi continu et documenter chaque étape de l’analyse ;
- doit encadrer ses relations avec des tiers afin d’assurer la conformité du traitement dont il est responsable;
- doit recueillir le consentement des utilisateurs et faciliter l’exercice de leurs droits.
- Le développeur d’application sous-traitant :
-
- doit respecter les obligations issues de l’article 28 du RGPD (transparence et traçabilité, assistance et conseil au responsable du traitement, garantie de la sécurité des données) ;
- doit tenir un registre des traitements (art. 30.3 du RGPD) ;
- doit privilégier des solutions plus protectrices des données, notamment dans le choix des SDK (exemple : limiter les transferts de données aux tiers fournisseurs d’OS ou de SDK, gérer le consentement des utilisateurs).
- Le fournisseur de SDK :
- doit informer ses partenaires des traitements effectués par ses SDK ;
- doit informer les utilisateurs et recueillir leur consentement préalablement à la collecte des données par son SDK.
- Le fournisseur d’OS, en tenant compte de sa situation :
- doit minimiser les données traitées par l’OS et appliquer les principes de protection dès la conception et par défaut;
- doit informer les tiers des détails des traitements propres à l’OS et est invité à fournir une documentation exhaustive sur le plan technique ;
- est invité à fournir un système de permission offrant le degré de contrôle le plus fin possible à l’utilisateur;
- est invité à fournir des outils pour protéger les mineurs (ex : contrôle parental) ;
- fournir des outils pour permettre le respect des droits et du consentement des utilisateurs (système de permission détaillé, suivi du traitement…) ;
- est invité au titre de bonnes pratiques à assurer la sécurité de l’OS (cloisonnement des applications, outils d’audit…).
- Le fournisseur de magasin d’applications :
-
- est invité à analyser les applications soumises par les éditeurs pour les inciter à privilégier des pratiques moins intrusives et assurer la sécurité des applications ;
- est invité à informer les utilisateurs sur la conformité des applications ;
- doit leur fournir des outils de signalement et d’exercice des droits au titre l’article 16 du règlement sur les services numériques (DSA).
Contrôle de la CNIL
Les entreprises ont jusqu’au printemps 2025 pour appliquer ces nouvelles recommandations, avant le lancement d’une campagne de contrôle par la CNIL. D’ici là, l’institution les accompagnera dans leur mise en conformité, à commencer par un premier webinaire le 3 décembre 2024.
Sources
https://www.cnil.fr/fr/applications-mobiles-votre-vie-privee-devra-etre-mieux-protegee
