Applications mobiles : Analyse des recommandations de la CNIL pour mieux protéger la vie privée

La première étape pour un éditeur consiste à identifier tous les traitements de données personnelles qui seront mis en œuvre dans le cadre de l’utilisation de l’application. Cette analyse permet de définir les finalités de chaque traitement et d’identifier la base légale appropriée. La CNIL rappelle qu’en matière de traitement de données à des fins publicitaires ou de recommandation de contenus, le consentement explicite de l’utilisateur est requis, notamment lorsqu’il s’agit d'opérations de lecture ou d'écriture sur son terminal. En revanche, aucune collecte de consentement n’est nécessaire pour les traitements strictement nécessaires à la fourniture d’un service de communication en ligne demandé expressément par l’utilisateur.

Plusieurs principes clés doivent guider l’éditeur dans la phase de conception de l’application (minimisation des données, durée de conservation limitée etc.). En outre, en application du concept de privacy by design, les éditeurs doivent configurer les paramètres par défaut de l’application de manière à être les moins intrusifs possible. Par ailleurs, la documentation et la justification de ces choix sont indispensables pour respecter le principe d’accountability.

Les éditeurs doivent également encadrer les relations avec leurs partenaires, en particulier avec les développeurs, qui agissent en tant que sous-traitants. Un accord de sous-traitance doit être mis en place pour encadrer les responsabilités respectives de l’éditeur et du développeur et garantir la conformité des traitements.

En outre, la CNIL insiste sur l’importance de bien gérer les permissions d’accès aux ressources du téléphone (localisation, liste de contacts, appareil photo, etc.). L’utilisateur doit toujours être en mesure de contrôler ces accès et de donner son autorisation explicite via le système d’exploitation de son terminal.

Lors du développement de l’application, l’éditeur doit mener une analyse rigoureuse pour déterminer :

• Si l’accès à certaines données est strictement nécessaire au fonctionnement de l’application.
• Si une alternative existe pour éviter l’utilisation de certaines permissions.
• Si les données peuvent être stockées localement sur le terminal, sans nécessiter de transfert vers des serveurs externes.

Seules les permissions strictement nécessaires doivent être demandées, en accord avec le principe de minimisation des données. Chaque demande de permission doit être justifiée et proportionnée aux objectifs poursuivis par l'application. L’éditeur doit également s’assurer que l’utilisateur est pleinement informé des raisons pour lesquelles ces données sont collectées et du type de traitement qui en découle.

Cette information peut par exemple être effectuée par le biais d’une politique de confidentialité claire et accessible avant même le téléchargement de l’application.

Enfin, pour faciliter l’exercice des droits d’accès, de rectification, de suppression, etc., la CNIL recommande de mettre en place un centre de gestion des droits au sein de l’application. Elle suggère également, à titre de bonne pratique, de proposer un système automatisé pour répondre rapidement aux demandes des utilisateurs, par exemple via une API dédiée.

Bien que le développeur agisse en tant que sous-traitant de l’éditeur dans le cadre de la création de l’application, il adopte un rôle de conseil envers ce dernier pour garantir que les obligations relatives à la protection des données personnelles sont intégrées dès la phase de conception de l’application. Il s’agit ainsi de conseiller l’éditeur sur la manière de concevoir l’application afin de minimiser son impact sur la vie privée des utilisateurs, et de mettre en œuvre les mécanismes adéquats pour recueillir un consentement valide des utilisateurs lorsque cela est nécessaire.

Le développeur doit également s’assurer que l’éditeur prend les bonnes décisions concernant les fonctionnalités de l'application, notamment en proposant des outils techniques (tels que les SDK). Bien que le choix final des SDK revienne à l’éditeur, en tant que responsable de traitement, le développeur doit veiller à proposer des solutions respectueuses des exigences du RGPD. Le développeur ne peut en aucun cas engager de sous-traitant pour des traitements de données sans l’approbation écrite préalable de l’éditeur.

Les fournisseurs de SDK (Software Development Kit) fournissent aux développeurs et éditeurs des outils essentiels pour l’intégration de fonctionnalités avancées au sein des applications. La CNIL précise que ces fournisseurs peuvent être considérés comme responsables de traitement, co-responsables ou sous-traitants en fonction de la nature et de l'étendue des traitements qu'ils effectuent.

La conception d’un SDK doit intégrer dès le départ les principes fondamentaux du RGPD. Le fournisseur de SDK a également un rôle de conseiller auprès des éditeurs et développeurs, en leur fournissant une documentation technique et juridique claire sur la manière dont le SDK traite les données. Cette documentation doit inclure les informations nécessaires pour que les éditeurs et développeurs puissent eux-mêmes démontrer leur conformité aux exigences du RGPD, notamment en matière de détermination des finalités, de fixation des durées de conservation et de sécurité des données.

Les fournisseurs de systèmes d’exploitation (OS) fournissent la plateforme de base sur laquelle les applications sont installées et fonctionnent. À ce titre, ils sont responsables d'intégrer des mécanismes de protection des données dans leur système dès sa conception, tout en offrant des fonctionnalités aux éditeurs et développeurs leur permettant d’atteindre les niveaux de conformité requis par le RGPD.

A ce titre, le fournisseur de système d’exploitation conçoit le système de gestion des permissions du téléphone, qui permet aux utilisateurs de gérer l’accès de chaque application aux différentes fonctionnalités et données du terminal. La CNIL insiste sur l'importance de fournir un contrôle granulaire des permissions pour offrir la plus grande maîtrise possible aux utilisateurs sur leurs informations personnelles. Ainsi, les permissions doivent pouvoir restreindre l'accès aux capteurs du terminal (appareil photo, microphone, GPS), aux fonctionnalités réseau (Bluetooth, Wi-Fi) et au stockage (galerie photos, contacts). La CNIL préconise aux fournisseurs d’OS d’offrir un choix granulaire sur chaque permission, permettant aux utilisateurs de conserver un contrôle sur l’accès à leurs données personnelles.

En outre, la CNIL recommande aux fournisseurs de systèmes d’exploitation de prévoir des dispositifs de contrôle parental permettant d'adapter les permissions et les contenus en fonction de la tranche d’âge de l’utilisateur. Ce contrôle parental, qui devrait dans l’idéal être stocké localement, offre la possibilité aux parents de restreindre l’accès à certaines applications ou fonctionnalités.

Les fournisseurs de magasins d’applications jouent un rôle d’intermédiaires dans l’écosystème des applications mobiles, offrant aux éditeurs une plateforme de diffusion et aux utilisateurs un espace de téléchargement des applications. Bien que le magasin d’applications ne soit pas responsable des traitements mis en œuvre au sein des applications elles-mêmes, il exerce un contrôle indirect important en raison de sa capacité à accepter ou refuser la publication des applications sur son magasin en fonction de critères qu’il définit. Ce contrôle, combiné aux critères de classement et de présentation des applications, confère au magasin une influence notable sur les choix des utilisateurs et, par conséquent, un impact indirect sur leurs droits et libertés.

Pour cette raison, la CNIL avait initialement envisagé un rôle de contrôle renforcé pour les magasins d’applications, vis-à-vis de la conformité des applications. Cependant, l’ADLC a recommandé de limiter ce rôle, afin de garantir que les plateformes dominantes ne profitent pas de cet accès privilégié aux informations commerciales des éditeurs (par exemple, les finalités de traitement spécifiques ou les modèles économiques). Elle souligne que ce contrôle de conformité doit rester neutre et ne pas conditionner ou retarder l’accès des éditeurs tiers au marché.

Suite à l’avis de l’ADLC, la CNIL a ajusté ses recommandations concernant la mise en place d’un score de protection de la vie privée pour chaque application. Bien que ce score puisse contribuer à une meilleure transparence pour les utilisateurs, l’ADLC a mis en garde contre les conflits d’intérêts potentiels lorsque le score est développé et appliqué par des plateformes dominantes comme Google et Apple. Ces plateformes pourraient favoriser leurs propres applications, compromettant ainsi l’impartialité du score.

Pour atténuer ce risque, l’ADLC recommande que le score soit élaboré par un régulateur, un organisme public, ou un tiers indépendant, en suivant des critères de transparence, d’objectivité et de proportionnalité. Les plateformes qualifiées de contrôleurs d’accès doivent également respecter les articles 6(2), 6(5) et 6(12) du DMA, qui imposent des conditions d’accès équitables, raisonnables et non discriminatoires. Dans ses recommandations finales, la CNIL insiste désormais sur le fait qu’un tel score devrait être défini par une méthodologie impartiale et transparente, élaborée en collaboration avec diverses parties prenantes, et en excluant les fournisseurs de magasins d’applications de la conception directe du score. La CNIL précise également que, pour les entreprises qui cumulent plusieurs rôles (éditeur, fournisseur d'OS, gestionnaire de magasin d'applications), ce processus de revue ne doit pas être plus complexe pour les applications tierces que pour leurs propres applications, en conformité avec le DMA.

Enfin, à titre de bonne pratique, la CNIL recommande que les magasins d’applications mettent à disposition des utilisateurs toutes les informations relatives aux traitements de données personnelles directement sur la page de chaque application. Bien qu’il appartienne à l’éditeur de renseigner et de mettre à jour ces informations, le magasin d’applications peut fournir une fonctionnalité permettant de centraliser ces données pour améliorer la transparence vis-à-vis des utilisateurs. De plus, les magasins d’applications doivent offrir des outils de signalement et faciliter l’exercice des droits des utilisateurs (droit d’accès, de rectification, de suppression, etc.).