La CNIL a publié, le 24 septembre 2024, la version finale de ses recommandations afin d’aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée des utilisateurs.
Avec une utilisation croissante des applications mobiles (en 2023 les utilisateurs ont téléchargé en moyenne 30 applications pour une utilisation moyenne de leur smartphone de 3h30 par jour), les risques en matière de confidentialité et de sécurité des données se multiplient.
A ce titre, la CNIL a identifié plusieurs risques rendant l’environnement mobile moins protecteur que le web.
Les applications ont en effet accès à un large éventail de données dont des données sensibles telles que la localisation en temps réel, les photographies ou encore des données de santé.
La deuxième source de risque identifiée par l’autorité est la multitude de permissions demandées aux utilisateurs pour accéder aux fonctionnalités (accès au microphone, accès aux contacts, accès à la galerie photos, etc.).
Le dernier risque exposé est celui relatif au grand nombre d’acteurs impliqués dans le fonctionnement d’une application. Autant d’acteurs sont donc susceptibles d’accéder, de collecter et de partager les données des utilisateurs.
La recommandation de la CNIL s’adresse donc à l’ensemble de la chaîne d’acteurs impliqués dans le développement et le fonctionnement des applications mobiles et notamment :
A la suite d’une concertation réunissant les différents acteurs de l’écosystème, une consultation publique a été lancée par la CNIL en juillet 2023. Les contributions ont révélé un besoin de clarifier la portée juridique des dispositions existantes et en particulier de mieux identifier les dispositions relevant d’obligations légales des autres obligations. La CNIL a donc tenu compte de ces remarques dans la version de la recommandation publiée ce jour en différenciant les obligations légales et réglementaires, des recommandations et autres bonnes pratiques.
Après avoir défini ce qu’était une application mobile, et rappelé la réglementation lui étant applicable, la CNIL clarifie les rôles et responsabilités de chacun des acteurs du secteurs.
Une application mobile désigne « les logiciels applicatifs distribués dans l’environnement des smartphones et tablettes (les terminaux individuels et portatifs) permettant un accès au réseau Internet ainsi que, le plus souvent, au réseau téléphonique, et pouvant permettre l’installation et l’exécution d’applications tierces en leur sein ». La recommandation s’applique à l’ensemble des typologies d’applications qu’elles soient « natives [1] », « hybrides [2] » ou « web progressives [3] ».
La CNIL précise que si la recommandation n’est pas en tant que telle applicable aux autres environnements connectés (montres connectées, tableaux de bord automobiles connectés, dispositifs médicaux personnels connectés, etc.) les acteurs sont invités à prendre connaissance de celle-ci pour transposer les éléments applicables à leurs situations.
La recommandation est donc applicable aux acteurs concernés dès lors qu’ils mettent en œuvre des opérations par l’intermédiaire d’une application. Ces opérateurs dites de « lecture et d’écriture [4] » sont susceptibles de contenir des données à caractère personnel rendant applicable la Règlementation [5] en la matière.
Par application de cette Règlementation, les utilisateurs doivent être informés et donner leur consentement préalable à ces opérations de lecture et/ou d’écriture (sauf à ce que ces actions soient strictement nécessaire ou ont pour finalité exclusive de permettre ou de faciliter une communication électronique [6] ). La CNIL rappelle à ce titre que l’utilisateur doit pouvoir refuser de consentir ou retirer son consentement à tout moment et aussi simplement que lorsqu’il donne son consentement. La manière dont le recueil du consentement peut s’articuler avec le système des permissions techniques [7] .
Enfin, la CNIL proposera un accompagnement des professionnels du secteur concerné par le biais de webinaires puis contrôlera les applications concernées à compter du printemps 2025.
[1] Une application native est une application développée dans le langage de programmation propre au système d’exploitation dans lequel elle est exécutée (Kotlin, Java pour Android par exemple).
[2] Une application hybride est une application développée avec des langages et technologies issues de la programmation web puis transformée en application au moyen d’outils spécifiques.
[3] Une application web progressive est une page web dynamique présentée à l’utilisateur sous forme d’application.
[4] Au sens de l’article 82 de la loi Informatique et Libertés en application de la Directive 2002/58/CE
[5] Par « Règlementation » il convient d’entendre la Directive 2002/58/CE, le Règlement (UE) 2016/679 du 27 avril 2016 dit RGPD ; la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[7] « Les permissions techniques visent ainsi à donner ou bloquer l’accès à certaines ressources protégées, indépendamment des finalités pour lesquelles l’accès à ces ressources est demandé » p. 98 de la recommandation.