La Commission Nationale Informatique et Libertés (CNIL) publie chaque année les thématiques en matière de protection des données sur lesquelles elle portera particulièrement son contrôle. En 2022, ces thématiques étaient la prospection commerciale, le cloud, et la surveillance du télétravail.

Si les thématiques de contrôle 2023 n’ont pas encore été dévoilées, l’autorité de contrôle a toutefois clairement marqué son intention de faire de cette année un exercice focalisé sur le milieu foisonnant des applications mobiles.

Un plan d’action en 3 étapes

La CNIL justifiait ainsi de cette attention particulière dans un plan d’action publié le 24 novembre 2022.

L’autorité constate dans cette publication l’importance foisonnante du marché mobile, qui fait du smartphone « le premier vecteur d’accès au numérique ». Elle déplore que ses désormais nombreuses recommandations destinées aux opérateurs de sites web se traduisent parfois difficilement au monde des applications.

La CNIL note en outre l’urgence d’une présence accrue du régulateur sur ce marché, en raison des données très intrusives que peut collecter un smartphone via ses nombreux capteurs, et de l’opacité des traitements opérés (collectes à l’insu de l’utilisateur, autorisations recueillies de manière peu claire…).

L’autorité compte rythmer par 3 étapes son intervention dans ce domaine en 2023.

Elle assurera d’abord sa compréhension du marché mobile par des rencontres avec les acteurs concernés, afin de compléter les ressources déjà à sa disposition, incluant notamment son étude sur les données de géolocalisation obtenues via les applications mobiles.

La CNIL entend ensuite, sur la base de ces travaux, publier des ressources sur le sujet à destination des éditeurs d’application mais également des utilisateurs : recommandations, guides pratiques…

Enfin, la CNIL annonce la mise en place « d’un plan de contrôle de grande ampleur », comme elle l’avait fait sur le sujet des cookies. Si ces contrôles venaient à faire émerger des manquements aux obligations crées par le Règlement général sur la protection des données (RGPD), des sanctions pécuniaires seraient alors appliquées en conséquence. Rappelons sur ce point que le règlement prévoit que de telles sanctions peuvent atteindre jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Des premières actions en janvier 2023

La CNIL n’aura pas attendu longtemps pour mettre en vigueur son plan d’action, tant sur le plan pédagogique que répressif.

Elle a ainsi lancé ce 18 janvier une consultation publique sur les enjeux économiques de la collecte de données dans les applications mobiles. Cette dernière est ouverte jusqu’au 10 février 2023. Le questionnaire porte sur des aspects variés de l’économie des applications et les liens existants avec les données collectées. Il en ressort un intérêt certain du régulateur pour les différents modèles économiques utilisés dans la commercialisation d’applications (achat, publicité, gratuit avec achats in-app, abonnement…).

Suite à cette étude, la CNIL publiera au second semestre un projet de recommandation, qui fera également l’objet d’une consultation publique.

Ce début d’année 2023 aura également été l’occasion d’une première sanction publique d’un éditeur mobile par la CNIL. Cette délibération du 29 décembre 2022 et publiée le 17 janvier 2023 est particulièrement intéressante, en cela que les faits concernent directement les spécificités de la collecte de données via un smartphone.

La délibération concerne la société VOODOO. Cette licorne française se revendiquait en 2022 comme l’éditeur de jeux mobiles le plus téléchargé au monde, avec plus de 6 milliards de téléchargements.  Elle a atteint ce succès en proposant une quantité impressionnante de jeux peu complexes, répétitifs, et destinés à des sessions de quelques minutes, dits « hyper casual ».

La CNIL reproche à Voodoo de violer l’article 82 de la loi informatique et libertés en procédant à un suivi publicitaire des utilisateurs de ses applications, sans leur consentement.

Le régulateur indique ainsi que lors de la première ouverture d’un jeu Voodoo sur iPhone, une première fenêtre conçue par Apple pose à l’utilisateur la question du suivi de ses activités par l’application.

En cas de refus, une seconde fenêtre, cette fois prévue par VOODOO, demande l’acceptation de la politique de données et indique que seules des publicités non-ciblées seront proposées. Aucun refus n’est possible.

La CNIL a toutefois constaté en contrôlant les jeux VOODOO que, loin de respecter cet engagement, la société utilisait l’identifiant unique de l’appareil fourni par Apple pour collecter des données dans un but publicitaire (habitudes de navigation, modèle de l’appareil, niveau de batterie…).

L’autorité condamne ce suivi publicitaire sans consentement. Elle reproche en particulier le caractère trompeur de cette collecte, réalisée après que deux fenêtres distinctes (l’une fournie par le constructeur du téléphone, et l’autre par l’éditeur du jeu) soient venues assurer l’utilisateur qu’un tel traitement n’aurait pas lieu.

La CNIL condamne par conséquent VOODOO au versement d’une amende de 3 millions d’euros, et rend publique cette décision.

Cette délibération marque donc la première sanction d’un traitement de données illicite réalisé via une application mobile en 2023 :  les éditeurs de ces applications sont prévenus.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de votre conformité avec la réglementation applicable en matière de données personnelles, y compris au regard de votre recours à des applications mobiles.

Pour toute question, n’hésitez pas à nous contacter.