Par Marine Vanhoucke, associée.
La Cnil a récemment publié ses recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée de leurs utilisateurs et annonce que dès 2025 elle déploiera une campagne spécifique de contrôle.
A qui s’adresse-t-on?
Les professionnels de l'écosystème mobile, les éditeurs d’applications, développeurs, fournisseurs de systèmes d’exploitation, et de kits de développement (SDK), les magasins d’applications doivent s'assurer de la conformité de leurs activités à la réglementation relative à la protection des données personnelles. Dans ce cadre, il est essentiel que chaque acteur identifie son rôle au sens du RGPD (responsable du traitement, sous-traitant, ou co-responsable) et encadre contractuellement les relations entre ces acteurs.
Quels sont les points d’insistance ?
- L’information des personnes concernées : L’objectif est d’améliorer la compréhension des utilisateurs de l’utilisation de leurs données grâce à une information claire, accessible et visible au moment pertinent. Les utilisateurs doivent notamment être en mesure de différencier les situations dans lesquelles les permissions demandées sont réellement nécessaires au fonctionnement de l’application (articles 13 et 14 du RGPD).
- Le consentement : les applications mobiles doivent impérativement garantir une gestion claire et transparente du consentement des utilisateur (articles 4 et 7 du RGPD).
- La sécurité et la protection dès la conception ("privacy by design) : cela impose aux professionnels d’intégrer la protection des données dès la conception des applications notamment à travers la minimisation des données collectées et la mise en place de mesures de sécurité robustes garantissant la confidentialité des données(article 25 RGPD).
Les principales obligations ?
Rôle | Responsabilités |
---|---|
Editeurs d’applications | Ils sont responsables des données collectées via leurs applications (données d'utilisateur, coordonnées, informations bancaires…). Ils doivent notamment correctement définir les finalités des traitements mis en œuvre et les durées de conservation des données. Ils doivent obtenir le consentement valide des utilisateurs, s’assurer que les données sont collectées de manière transparente et sécurisée. Ils doivent aussi cartographier leurs partenaires et identifier les éventuelles opérations de traitement réalisées par des tiers. |
Développeurs | S'ils interviennent pour le compte d’un éditeur, les développeurs doivent être considérés comme sous-traitants. Ils doivent notamment formaliser leur relation avec l'éditeur, assumer leur rôle de conseil envers l'éditeur et la sécurité de l'application. |
Fournisseurs de SDK et d’OS | Ils doivent veiller à ce que leurs outils permettent la conformité à la réglementation relative à la protection des données. Le fournisseur SDK veille notamment au bon exercice des droits des utilisateurs, permet la réalisation d’audits, identifie les informations à fournir sur l’usage de traceurs, etc. Le fournisseur d’OS doit s’assurer de fournir une plateforme sécurisée, assure la bonne information de ses partenaires, notamment sur ses propres traitements qu’il met en œuvre. |
Les professionnels visés doivent donc rapidement se mettre en conformité sous peine de sanctions annoncées dès 2025.
Marine Vanhoucke
Associée
Marine Vanhoucke conseille les entreprises en matière de Propriété Intellectuelle et les accompagne sur leurs sujets de Conformité.
Responsable du bureau de Hong Kong, elle assiste les sociétés françaises dans leur implantation et croissance en Asie et a construit une expertise des questions juridiques de droit international, mêlant notamment des intérêts français et asiatiques.