Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée

24 septembre 2024

À l’issue d’une consultation publique, la CNIL publie la version finale de ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. Elle s’assurera, dès 2025, que celles-ci sont bien prises en compte par une campagne spécifique de contrôles.

Communiquer, se divertir, s’orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d’exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai).  

Or, l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.

Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d’une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.

Dans ses recommandations, la CNIL rappelle les principes fixés par les textes et donne des conseils pour aider les professionnels à concevoir des applications respectueuses de la vie privée.

Des recommandations pour une meilleure conformité au RGPD

Des ressources pour tous les acteurs de l’application mobile

La recommandation de la CNIL vise l'ensemble des acteurs impliqués dans le développement et la mise à disposition des applications mobiles, afin d'assurer une protection renforcée des données personnelles à chaque étape :

  • Les éditeurs d’applications mobiles, qui mettent des applications mobiles à disposition des utilisateurs.
  • Les développeurs d’applications mobiles, qui écrivent le code informatique composant une application mobile.
  • Les fournisseurs de kits de développement logiciel (SDK ou software development kit), qui développent des fonctionnalités « prêtes à l’emploi » pouvant être directement intégrées par les développeurs dans une application mobile (mesure d’audience, ciblage publicitaire, etc.).
  • Les fournisseurs de systèmes d’exploitation, qui mettent à disposition des systèmes d’exploitation (par exemple iOS ou Android) sur lesquels les applications mobiles seront exécutées.
  • Les fournisseurs de magasins d’applications qui mettent à disposition des plateformes permettant le téléchargement de nouvelles applications.

Les objectifs de la recommandation

  1. Clarifier et encadrer le rôle de chaque acteur

Les recommandations précisent le partage des responsabilités entre les acteurs de l’écosystème mobile et clarifient leurs obligations respectives afin d’apporter de la sécurité juridique. Elles fournissent des conseils pratiques pour encadrer leurs relations.

  1. Améliorer l’information des utilisateurs sur l’utilisation de leurs données

Les recommandations visent à améliorer l'information des utilisateurs sur l’utilisation de leurs données. Cette information doit toujours être claire, accessible et présentée au bon moment dans l’application.

Elles offrent des conseils et bonnes pratiques aux acteurs notamment pour garantir que les utilisateurs comprennent si les permissions demandées sont réellement nécessaires au fonctionnement de l’application.

  1. S’assurer que le consentement est éclairé et n’est pas contraint

Les recommandations rappellent que les applications doivent obtenir le consentement pour traiter des données qui ne sont pas nécessaires à leur fonctionnement, par exemple à des fins de ciblage publicitaire

Elles précisent les conditions dans lesquelles ce consentement doit être demandé, et notamment qu’il ne doit pas être contraint. Il faut permettre à l’utilisateur de pouvoir refuser de consentir, ou retirer son consentement s’il change d'avis, aussi simplement qu’il lui est proposé de le donner. Elles indiquent enfin la manière dont le recueil du consentement peut s’articuler avec le système des permissions techniques.

 

Lire la recommandation

 

Des recommandations élaborées en concertation avec les acteurs de l’écosystème

Des contributions riches d’acteurs variés

Sur le modèle de ses travaux sur les cookies, la CNIL a conduit une concertation avec différents acteurs représentatifs de l’écosystème des applications mobiles, permettant de mieux appréhender l’ensemble des enjeux de ce secteur complexe. Par ailleurs, les travaux de la CNIL ont également été alimentés par une réflexion sur les enjeux économiques associés à la collecte de données dans les univers mobiles. L’appel à contributions a donné lieu à une première synthèse publiée sur son site web.

Le projet de recommandation issu de ces travaux a ensuite été soumis à consultation publique, en juillet 2023, pour recueillir les avis de l'ensemble des parties prenantes, qu'elles soient issues du secteur associatif, du grand public ou des milieux professionnels.

La CNIL a ainsi reçu des contributions émanant d’acteurs variés de l’écosystème des applications mobiles.

L’avis de l’Autorité de la concurrence, une première concrétisation de la déclaration conjointe ADLC-CNIL

Pour la première fois, ces travaux ont conduit la CNIL à saisir formellement l’Autorité de la concurrence en raison des interactions croissantes entre la protection des données personnelles et le droit de la concurrence. L’Autorité a rendu son avis le 4 décembre 2023.

La saisine de l’Autorité de la concurrence, qui s’inscrit dans la continuité de la déclaration conjointe que les deux autorités ont signée en décembre 2023, constitue une première concrétisation des engagements pris par les deux institutions. Elles réaffirment ainsi leur volonté commune de développer et d’exploiter les synergies de leurs régulations, au service d’un numérique responsable et équitable.

Les nouvelles clarifications de la CNIL

Les contributions reçues lors de la consultation publique et l’avis de l’Autorité de la concurrence ont permis d’enrichir et de consolider les recommandations, publiées dans leur version finalisée.

Ainsi, la CNIL a clarifié, sur la forme comme sur le fond, sa recommandation sur plusieurs points :  

  • La CNIL a notamment mieux distingué ce qui relève de l’obligation – et qui s’applique à tous – de ce qui relève de la recommandation ou encore de la bonne pratique afin d’apporter plus de sécurité juridique.

    Elle a également explicité les interactions entre ses recommandations et la prise en compte des enjeux concurrentiels. Elle rappelle que la recommandation doit s’appliquer dans le respect du droit de la concurrence et du règlement sur les marchés numériques (Digital Market Act ou DMA).
     
  • Enfin, la CNIL a recentré ses recommandations sur les systèmes de permissions en ciblant les permissions dites « techniques », conçues par les fournisseurs d’OS, qui permettent à l’utilisateur de donner ou de bloquer l’accès à certaines informations (carnet de contact, géolocalisation, micro, appareil photo, etc.), indépendamment des finalités pour lesquelles elles pourraient être utilisées (publicitaires, statistiques, techniques, etc.).

Les prochaines étapes

La CNIL accompagnera ces prochains mois les acteurs professionnels, notamment à travers des webinaires. L’objectif est qu’ils s’approprient au mieux les règles et garanties précisées dans la recommandation et qu’ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.

À partir du début du printemps 2025, la CNIL déploiera une campagne spécifique de contrôle des applications mobiles pour s’assurer du respect des règles applicables. Dans l’intervalle, la CNIL continuera à traiter les plaintes dont elle est saisie, à mener les contrôles qui lui paraîtront nécessaires et à adopter, si nécessaire, les mesures correctrices qui s’imposent pour protéger efficacement la vie privée des utilisateurs d’applications mobiles.

Cette campagne de contrôle viendra compléter les vérifications déjà menées par la CNIL, notamment dans le cadre de ses thématiques prioritaires de contrôle 2023, sur des applications qui tracent les utilisateurs à diverses fins (publicitaires, statistiques, etc.) en l’absence de consentement des utilisateurs.