La thématique des applications mobiles a largement été évoquée par la Commission nationale de l’informatique et des libertés ces derniers mois. Après l’annonce d’un plan d’action en novembre 2022 puis d’une consultation publique sur le traitement des données liées à ces applications en janvier dernier, la CNIL publie aujourd’hui un projet de recommandation qu’elle soumet à consultation publique. L’objet : clarifier les obligations des différents acteurs de cet écosystème, faciliter leur mise en conformité et promouvoir la mise en place de bonnes pratiques. Afin de construire son projet de recommandation, l’autorité administrative a donc sondé les différents acteurs opérant dans la sphère des apps mobiles. Cela inclut les éditeurs d’applications, les développeurs, les fournisseurs de kits de développement logiciel (SDK en anglais), les fournisseurs de systèmes d’exploitation (OS) et/ou de magasins d’applications, ou encore les acteurs institutionnels ainsi que plusieurs représentants de la société civile.

En parallèle, pour mieux comprendre les enjeux économiques associés à la collecte de données dans les univers mobiles, l'organisme a lancé un appel à contributions qui a alimenté ses réflexions. Le fruit de tout ce travail est aujourd’hui présenté sous forme de projet de recommandation. Il s’adresse à cinq catégories principales d’acteurs intervenant dans l’écosystème des applications mobiles cités précédemment. La Cnil précise qu’« au sein de chacune de ces catégories d’acteurs, le contenu de la recommandation s’adresse plus particulièrement aux délégués à la protection des données et aux équipes techniques et juridiques ». Rappelons également que le projet est soumis à consultation publique jusqu’au 8 octobre prochain. À l’issue de cette période, la Cnil examinera et adoptera une version définitive de la recommandation.

Rappeler à chaque partie prenante son rôle et ses responsabilités

Dans le détail, le projet comporte une partie dédiée à chaque acteur afin que chacun puisse identifier les propositions qui le concerne directement. « Il peut aussi, dans cette logique, identifier facilement les parties qui concernent ses partenaires pour les inciter à se mettre en conformité » précise la Commission. Ainsi, les parties 1 et 2 introduisent la recommandation et définissent son périmètre. La partie 3 rappelle les conditions d’application de la réglementation relative à la protection des données à caractère personnel aux applications mobiles.

La partie 4 analyse la question des partages des rôles et des responsabilités des différents acteurs dans la fourniture d’une application mobile au sens du règlement général sur la protection des données (RGPD). Enfin, les parties 5 à 9 regroupent les recommandations pratiques et ciblées pour chacune des cinq catégories d’acteurs concernées.

Chaque acteur a sa part de responsabilités

S’appuyant sur cette recommandation, la Cnil veut éclaircir le partage des responsabilités entre chaque partie constituant l’écosystème mobile et leurs obligations respectives. Cela répond, selon elle, à une demande forte issue de la concertation. Chaque acteur doit ainsi identifier, pour chaque traitement de données personnelles s’il est, au sens du RGPD, responsable ou co-responsable de traitement, sous-traitant ou s’il ne relève d’aucune de ces qualifications. Le projet doit par ailleurs aider dans la clarification et l’amélioration de la gestion du recueil du consentement des utilisateurs, autant pour encourager la transparence que pour assurer la conformité juridique des professionnels concernés. Certaines ressources qualifiées de « sensibles » selon la Cnil - à savoir géolocalisation, carnet de contacts, appareils photo, bloc note, documents médias, etc – permettent de participer à ce recueil de consentement dans certains cas. Cependant, les permissions doivent être conçues et utilisées de manière à protéger les droits des personnes, en leur fournissant notamment une information suffisamment claire. Pour cela, le régulateur recommande une articulation entre les demandes de permissions effectuées par les applications pour permettre certaines fonctionnalités et le recueil d’un consentement valable.

Enfin, le projet doit favoriser les bonnes pratiques de la part des fournisseurs d’OS et des magasins d’application au bénéfice des utilisateurs. Est également mis en avant dans cette recommandation la mise en œuvre d’architectures dans lesquelles les applications mobiles sont de simples logiciels qui fonctionnent hors connexion, sans collecte ou traitement de données personnelles. Si de telles applications sont promues c’est notamment parce qu’elles sont par nature plus protectrices de la vie privée de leurs utilisateurs, et ne sont parfois plus soumises au RGPD…