Le 24 septembre 2024, la CNIL a publié une recommandation visant à aider les professionnels à développer et mettre en place des applications mobiles respectueuses de la vie privée et conformes à la réglementation relative aux données personnelles.
En effet, les applications mobiles sont devenues un outil quotidien pour des millions de Français. Cependant, elles présentent des risques importants en matière de protection des données, car elles accèdent souvent, à l’insu des utilisateurs, à des informations sensibles telles que la localisation en temps réel, les photos ou encore les données de santé.
Face à l’ampleur de la situation, il est apparu nécessaire à la CNIL de rappeler les obligations pesant sur les différents acteurs du marché et de (re)mettre l’accent sur des obligations trop souvent oubliées.
I/ Objectif des recommandations : Encadrement des acteurs et transparence pour les utilisateurs
Ces recommandations visent à clarifier et encadrer le rôle des différents acteurs impliqués dans le développement des applications mobiles et à garantir une transparence accrue vis-à-vis des utilisateurs concernant l’utilisation de leurs données. Elles ont également pour objectif de s’assurer que le consentement des utilisateurs est éclairé et obtenu sans contrainte.
Des recommandations spécifiques s’adressent à chaque acteur du secteur.
1. Les mesures pesant sur l’éditeur de l’application :L’éditeur est responsable de la mise à disposition de l’application via des plateformes comme les magasins d’applications, et doit s’assurer que son produit respecte les règles de protection des données.
L’éditeur est tenu :
- Identifier les traitements de données personnelles effectués ; - Assurer la conformité de ces traitements au RGPD et à la loi Informatique et Libertés ; - Intégrer la protection des données dès la conception de l’application (privacy by design) ; - Cartographier ses partenaires ; - Gérer le consentement et le droit des utilisateurs : à ce titre, des conseils pratiques sont donnés par la CNIL sur la manière d’informer l’utilisateur, de recueillir son consentement et de lui permettre d’exercer ses droits ; - Maintenir la conformité de l’application tout au long de son cycle de vie ; - Mettre en place un contrôle des permissions d’usage (par exemple, l’accès à la localisation, au microphone, etc.). 2. Les recommandations à destination des développeurs :Le développeur, responsable de la création de l’application, doit :
- Développer des applications respectueuses des droits des utilisateurs ; - S’assurer que le principe de minimisation des données (recueillir uniquement ce qui est nécessaire) soit respecté ; - Intégrer des processus de recueil du consentement des utilisateurs ; - Garantir la sécurité de l’application. 3. Les recommandations à destination fournisseur de kit de développement logiciel (SDK) :Le fournisseur de SDK, qui propose des composants logiciels intégrés dans l’application, devra dès à présent :
- Appliquer les principes de protection des données dès la conception et par défaut ; - Mettre à disposition des informations claires sur les traitements de données liés à l’utilisation du SDK ; - Faciliter l’exercice des droits des personnes, en collaborant avec l’éditeur pour mettre en place des mécanismes efficaces de recueil du consentement ; - Fournir des SDK sécurisés. 4. Les recommandations s’appliquant au fournisseur du système d’exploitation :Le fournisseur de système d’exploitation (personne mettant à disposition le système d’exploitation spécialement configuré et installé sur le terminal mobile de l’utilisateur, environnement dans lequel l’application sera par la suite exécutée) doit :
- Appliquer les principes de protection des données dès la conception, en minimisant les données traitées par l’OS ; - Informer ses partenaires et les tiers des traitements propres à l'OS ; - Fournir des systèmes de permissions respectant le principe de protection des données dès la conception ; - Protéger les utilisateurs mineurs, notamment en intégrant des outils de contrôle parental ; - Garantir la sécurité des plateformes (chiffrement des connexions, des sauvegardes, etc.). 5. Les recommandations applicables au fournisseur de magasin d’applications :Les fournisseurs de magasins d’applications (personne en charge des plateformes de distribution en ligne des applications – tels que l’App Store ou Google Play Store) devront notamment :
- Analyser les applications soumises par les éditeurs pour détecter des failles de sécurité ; - Informer les utilisateurs (notamment sur la liste des SDK tiers utilisés par chaque application) ; - Fournir des outils de signalement et des modalités claires pour l’exercice des droits des utilisateurs.
II/ Échéances de mise en conformité et sanctions prévues
Les acteurs du secteur des applications mobiles ont jusqu’à mars 2025 pour se conformer à ces nouvelles règles
En effet, la CNIL a annoncé déployer à partir du début du printemps 2025 une importante campagne de contrôle des applications mobiles pour s’assurer du respect des règles applicables et de la mise en œuvre de ses recommandations.
Dans le cadre de ces contrôles, la CNIL est habilitée à prendre les mesures correctrices suivantes ;
- un rappel à l’ordre ; - une injonction de mettre en conformité le traitement avec les obligations prévues par les textes ou une injonction de satisfaire aux demandes d’exercice des droits des personnes. Cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard ; - une limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation ; - le retrait d’une certification ; - la suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ; - une suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes ; - une amende administrative pouvant s’élever jusqu’ a jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial en cas de non-respect des principes fondamentaux du RGPDConclusion :
Avec ces recommandations, la CNIL impose un cadre strict aux acteurs du marché des applications mobiles pour renforcer la protection de la vie privée des utilisateurs. C’est toute la chaine de production et de vente qui est impactée.
Les professionnels du secteur devront agir rapidement pour se conformer avant mars 2025, sous peine de sanctions.
La CNIL a accompagné cette recommandation de conseils à l’attention d’utilisateurs d’application mobile afin de les informer de leurs droits et de la manière dont les protéger.
