Nous vous l’annoncions en début d’année : l’exercice 2023 sera, pour la CNIL, celui du mobile.

Conformément au plan d’action annoncé, la Commission a donc publié le 21 juillet 2023 un projet de recommandation relative aux applications mobiles.

Cette version n’est pas définitive : soumise à consultation publique jusqu’au 8 octobre, elle sera ensuite amendée avant sa publication finale.

Quels sont les acteurs concernés par la recommandation ?

Cette recommandation s’adresse à tous les professionnels du secteur mobile.

En premier lieu, les développeurs et éditeurs, qui respectivement écrivent le code et mettent à disposition des consommateurs les applications ; ces rôles peuvent être endossés par des entités séparés ou une organisation unique.

Font également l’objet d’important développements les fournisseurs de kits de développements, ou SDK ; en construisant des infrastructures « clés en main » intégrées dans les applications, ils peuvent avoir un impact important sur les traitements de données opérés par ces dernières (publicité ciblée, mesure d’audience…).

Les fournisseurs de systèmes d’exploitation sont également mentionnés, ainsi que les fournisseurs des magasins d’applications permettant de les mettre à disposition des utilisateurs.

La structure du projet de recommandation reflète d’ailleurs cette approche par les acteurs. Ainsi, si les conditions d’applications des textes législatifs concernés (RGPD et directive e-privacy) sont d’abord mentionnés, c’est ensuite directement la question du partage des rôles et des responsabilités des différents professionnels qui est évoquée.

Le projet énumère ensuite, dans 5 chapitres distincts,  les recommandations  pratiques destinées à chacun de ces acteurs.

Quels sujets sont abordés par la recommandation ?

Le projet de recommandation se focalise en premier lieu sur une clarification du rôle de chacun des acteurs susmentionnés, ainsi que les responsabilités qui en découlent. Par exemple, le développeur sera dans la majorité des cas considéré comme un sous-traitant de l’éditeur.

La CNIL délivre en outre de nombreux conseils quant aux obligations de transparence et de recueil du consentement qui concernent régulièrement les applications mobiles, terrain privilégié du profilage des utilisateurs. L’autorité note sur ce point les mécanismes d’autorisation et de gestion de la vie privée désormais régulièrement implémentés au sein des systèmes d’exploitation de nos smartphones, notamment en ce qui concerne les fonctionnalités plus sensibles comme la géolocalisation. Elle insiste sur la nécessaire articulation entre demandes de permissions effectuées par les applications, et recueil d’un consentement valable au regard des critères établis par le RGPD.

Par ailleurs, la CNIL liste une variété de bonnes pratiques à l’attention des 2 acteurs majeurs que sont les fournisseurs d’OS et les magasins d’applications. Ces véritables gardiens du temple, qui conditionnent l’accès à l’immense majorité des applications mobiles, sont encouragés à améliorer les informations qu’ils mettent à disposition de l’utilisateur sur ces dernières, ainsi que leur contrôle des traitements réalisés par les applications.

Enfin, le projet de recommandation encourage la création d’applications qui, loin de l’hyperconnectivité souvent recherchée aujourd’hui, se comportent davantage comme des logiciels standards, sans collecte ou traitement de données personnelles. Pour des raisons évidentes, ces applications sont plus respectueuses de la vie privée – la question de leur rentabilité et de leur modèle économique reste toutefois ouverte.

Pour conclure, la CNIL invite tous les acteurs concernés à participer à la consultation publique sur ce projet – et en premier lieu, les 5 catégories de professionnels qui en sont l’objet. Ces contributions peuvent être transmises, jusqu’au 8 octobre, à l’adresse suivante.

Le Pôle Contrats informatiques, Données et Conformité accompagne les responsables de traitement dans la définition et le suivi de leur politique de traitement des données personnelles, ainsi que dans la gestion des contentieux y-relatifs.

Pour toute question, n’hésitez pas à nous contacter.