Articles
Actus Privacy
Applications Mobiles : Comprendre les recommandations de la CNIL (2024)
Actus Privacy
new

Applications Mobiles : Comprendre les recommandations de la CNIL (2024)

Publié  

10/24/2024

par 

Sebastien Gantou

9
min lecture

Published  

October 24, 2024

by 

Sebastien Gantou

10 min read
Sommaire

Le 24 septembre dernier et suite à une consultation publique, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié ses recommandations adressées aux acteurs du marché des applications mobiles. Son sujet est de leur rappeler les principes fixés par les textes et de les aider à concevoir des applications respectueuses de la protection des données et de la vie privée des utilisateurs.

Ces recommandations seront accompagnées d’une campagne de contrôles dès le printemps 2025, soulignant l’importance de les comprendre, d’évaluer le niveau d’exposition de votre entreprise et de déterminer la réaction à mettre en œuvre.

Je suis Sébastien Gantou, DPO externe chez Didomi, animateur de groupes de travail d’experts en protection des données, et CEO de l’entreprise Digital DPO. Je mets mon expertise, mes compétences et savoir-faire au service de mon réseau et de mes clients, notamment dans les secteurs des médias et de la publicité en ligne. Je participe fréquemment aux consultations préalables de l’EDPB ou de la CNIL sur ces thématiques. 

Dans cet article, après une analyse attentive des 98 (!) pages des récentes recommandations de la CNIL, je mets en exergue les principaux éléments à retenir pour bien appréhender la suite.

Si vous ne devez en retenir que l’essence, la CNIL met en place une doctrine de conformité par catégorie d’acteurs, elle y détaille les obligations, conseils et bonnes pratiques qu’elle souhaite voir appliquer par chacun.

Pour y arriver, elle précise le périmètre des traitements dans lesquels son action se place et identifie les mesures permettant à chaque acteur de respecter les règles et de les faire respecter aux autres dans une démarche privacy by design. Allant parfois dans un niveau de détail qui créera des contraintes fortes en termes de compliance pour la suite.

Les acteurs devront ainsi clarifier leur rôle et encadrer leur relations, veiller à améliorer l'information des utilisateurs, notamment au travers des permissions demandées et s’assurer que le consentement est libre et éclairé.

Sur ce dernier point, je note qu’elle vise particulièrement les traitements de publicité ou l’utilisation des données des applications à des fins de ciblage publicitaire ou comportemental ultérieur. Les CMP in app se voient donc confirmer officiellement, s’il en était besoin, leur rôle d’outil d’obtention et de conservation de preuves de la conformité réglementaire. Bonne lecture…

Les recommandations de la CNIL relatives aux applications mobiles dans les grandes lignes

La CNIL a initié ce projet de recommandations en 2023, en lançant un appel à contribution sur le sujet aux acteurs de l'écosystème des applications mobiles, dont l’organisme a partagé une synthèse par la suite. Après consultation publique, la CNIL a publié ses recommandations finales à destination des acteurs du marché.

La taille et la densité du document peuvent le rendre difficile à synthétiser et/ou digérer pour beaucoup d’entreprises. Ici, et ensuite au cours de plusieurs événements, nous tâcherons de mettre en avant les éléments les plus importants, et d’identifier des conseils pratiques, avant de partager notre interprétation.

En quoi est-ce important pour la CNIL ?

Aujourd’hui, les applications mobiles jouent un rôle central dans la vie numérique des Français, que ce soit pour communiquer, se divertir, s’orienter, ou encore faire ses achats. En 2023, les utilisateurs ont téléchargé en moyenne 30 applications et passent 3h30 par jour sur leur téléphone (source : data.ai).

Les applications accèdent à des informations sensibles comme la localisation en temps réel, les photos ou les données de santé, et demandent souvent de nombreuses permissions (microphone, contacts, etc.). De plus, plusieurs acteurs interviennent dans le fonctionnement d’une application, augmentant ainsi les risques de collecte ou de partage de données personnelles.

La CNIL, dans ses recommandations, rappelle l’importance de concevoir des applications respectueuses de la vie privée et souligne que “l’environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.”

Cette préoccupation a récemment été réaffirmée par la Présidente de la CNIL lors d’une allocution auprès des éditeurs de contenus en ligne (GESTE).

Quelle portée juridique ?

L’objectif général de la CNIL est d’établir des recommandations pour une meilleure conformité au RGPD. Retenons que la recommandation à une vocation large, elle complète la doctrine de 2020 sur les “Cookies et autres traceurs” : elle ne cible donc pas spécifiquement les médias et les commerçants et le secteur de la publicité digitale, mais aussi les applications servicielles, les applications de jeux, les réseaux sociaux, ...

Publiée sur Legifrance, les conseils et bonnes pratiques constituent - quoique certains en disent - un socle de dispositions que l’autorité s'attend à retrouver en cas de contrôle à partir de l’année prochaine. La publication est un acte de droit souple.

Cette doctrine s’inscrit également dans les travaux de l’EDPB sur les conditions d’application de l’article 5.3 de la directive ePrivacy (consultation au niveau européen ouverte également en 2024).

Quels sont les acteurs concernés par les recommandations ?

L'ensemble des acteurs du développement et de la mise à disposition des applications mobiles est visé. En résulte un document parfois très (trop ?) détaillé, mais qui concerne :

  • Les éditeurs mettent des apps mobiles à disposition des utilisateurs.
  • Les développeurs écrivent le code informatique de l’app mobile.
  • Les fournisseurs de SDK développent des fonctionnalités intégrées par les développeurs.
  • Les fournisseurs de systèmes d’exploitation mettent à disposition l’environnement sur lequel les applications mobiles seront exécutées.
  • Les fournisseurs de magasins d’applications mettent à disposition des plateformes de téléchargement.

Quels sont les objectifs poursuivis par la CNIL dans cette recommandation ?

Les 3 objectifs poursuivis et affichés par l’autorité :

  • Clarifier et encadrer le rôle de chaque acteur
  • Améliorer l’information des utilisateurs sur l’utilisation de leurs données
  • S’assurer que le consentement est éclairé et n’est pas contraint

Dans la droite ligne du RGPD, l’utilisateur se voit placé au centre d’une information complétée, afin de collecter un consentement optionnel aux traitements non strictement nécessaires aux services souscrits, le tout dans un écosystème clarifié - il faut le dire également à la demande de certains professionnels éditeurs d’application qui jugent ne pas disposer d’assez d’information en négociation initiale ou ne pas pouvoir exercer des marges de manoeuvre au cours de l’implantation de certains SDK.

Observons chaque objectif poursuivi en détail.

Clarifier et encadrer le rôle de chaque acteur

L’analyse de la CNIL sur le sujet apparaît comme fouillée et étayée. Après avoir identifié les acteurs, leur rôle, elle décrit leur(s) qualification(s) en vertu du RGPD avec des cas d’usage concrets. L’autorité de protection des données définit ainsi une matrice de détermination et de partage des responsabilités entre les acteurs de l’écosystème mobile. S’en suivent, tout au long des recommandations, les conséquences de cette analyse initiale, matérialisant les obligations respectives des parties pour apporter de la sécurité juridique aux professionnels. Ces obligations devant pour la plupart faire l’objet d’actes juridiques contractuels, ou d’informations à transmettre préalablement à la mise en œuvre des traitements.

Je note que la CNIL affiche le niveau de conformité et de diligence attendu dans ses recommandations, et comme elles sont publiées sur Légifrance en détail cela lui permettra ensuite d’instruire ses contrôles ponctuels et son programme de travail 2025.

Améliorer l’information des utilisateurs sur l’utilisation de leurs données

C’est maintenant un exercice habituel dans le cadre de la mise en œuvre progressive de sa doctrine sur le RGPD : la CNIL préconise d’améliorer l'information des utilisateurs sur les usages de leurs données.

On peut ainsi noter que le travail comprend 3 actions principales, la première est de constituer l’information selon le format d’un registre de traitement qu’il convient ensuite de restituer dans des mentions et politiques d’information claires, accessibles et présentées au bon moment dans l’application mobile - la dernière étant de s’organiser afin que l’information soit ensuite mise à jour préalablement aux changements et fasse l’objet, le cas échéant, à l’obtention de nouvelles demandes de consentement. 

A ce stade, il faut noter 2 points principaux.

Tout d’abord, la CNIL ne mentionne plus le “Continuer sans accepter” consacré par les recommandations “Cookies et traceurs” en 2020, et adopté par une grande partie des sites et applications en ligne.

Ensuite, les permissions sont particulièrement visées, un régime juridique d’acceptation de fonctionnalités techniques est consacré. Ainsi, l’articulation entre les permissions techniques et les consentements est précisée, notamment quand elles s’avèrent contradictoires. La CNIL ne dit pas comment un éditeur pourrait obtenir une voie de retour auprès de l’OS afin de faire respecter les choix des utilisateurs via un repop des réglages, mais le sujet se posera certainement dans les mois à venir.

A ce sujet, la CNIL veut que ces informations permettent aux utilisateurs de comprendre si les permissions demandées sont réellement nécessaires au fonctionnement de l’application.

La CNIL précise son attente : il faudra documenter les décisions prises et les raisons qui ont conduit à les prendre.

S’assurer que le consentement est éclairé et n’est pas contraint

Ce n’est pas une nouveauté pour les clients de Didomi, mais attention à ceux qui n’affichent pas encore de CMP dans leurs applications mobiles. La CNIL rappelle l’obligation d’obtenir le consentement pour traiter des données qui ne sont pas nécessaires au fonctionnement des apps, par exemple à des fins de ciblage publicitaire (à nouveau ciblé pour la quantité de données et d’acteurs intervenant). 

On retrouve donc sans surprise les conditions de validité du consentement, l’impératif de mettre en place une CMP pour la publicité en ligne et donc de loguer les consentements obtenus ou non auprès des utilisateurs et de conserver les preuves de leur validité. Je rappelle ici les fondements du consentement qui sont dans l’ADN de la CMP de Didomi : le consentement doit être éclairé, libre, spécifique, univoque, retirable aussi facilement qu’il a été donné, mais aussi prouvable dans dans son expression que dans les conditions de validité de celle-ci.

Toutes les données traitées dans une application sont-elles concernées ?

Non, et il est important de le préciser : les traitements de données concernés sont ceux soumis au Règlement Général sur la Protection des Données ou à la Directive ePrivacy. Ainsi, les traitements qui opèrent des données au sein du terminal de l’utilisateur sans accès extérieur et à la demande de l’utilisateur ne sont pas concernés par la recommandation de la CNIL.

Florilège des impacts principaux

Les éditeurs d’application devront rédiger une documentation interne renforcée (registres de traitements spécifiques, mentions d’information, politiques de confidentialité, contrats et justification des qualifications) et mettre en place les procédures (gouvernance des traitements de données, articulation des permissions, gestion des évolutions, mise à jour des analyses d’impacts).

Cela les conduira à effectuer des due diligences (registres de traitement, questionnaires, informations à obtenir des SDK) et à renforcer encore le processus de contractualisation pour les choix des partenaires, entraînant de facto une responsabilisation des développeurs et la nécessité de tracer les instructions que ceux-ci reçoivent et les engagements des SDK en terme de chaîne de traitement et de respect des demandes d’exercice de droit.

Mon interprétation : que doit-on attendre de cette recommandation ?

Ces recommandations étaient attendues par une partie des éditeurs du secteur afin de créer les conditions d’une meilleure sécurité juridique entre les acteurs.

La complexité du document et son caractère très détaillé entraîne un risque de mauvaise interprétation, d’où la nécessité d’une prise en charge au bon niveau par les DPO des entreprises concernées. Car il s’agit maintenant de mettre en œuvre. Cette opinion est partagée par Thomas Adhumeau, le Chief Privacy Officer de Didomi, qui l’a evoqué lors d’une intervention pour Mind Media :

“Le projet est très détaillé. Mais paradoxalement, plus on s’éloigne du général, plus il y a un risque de ne pas être complet, et de favoriser de potentielles incompréhensions.”

- Thomas Adhumeau, Chief Privacy Officer à Didomi (source: Mind Media)

On peut s’attendre à une mobilisation des acteurs les plus concernés : les mass media et grands acteurs du ecommerce d’abord, accompagnés par les sociétés adtechs oeuvrant en France dans la publicité ciblée, et quelques entreprises / secteurs en cours de contrôle par la CNIL selon ses priorités 2023.

La CNIL positionnera les applications mobiles dans son calendrier d’actions propriétaires en 2025 avec une vague de contrôle sectoriel.

Petit à petit, sous la pression des contrôles, des grands acteurs et le travail des DPO, par capillarité, les recommandations diffuseront et alimenteront les discussions sur l’encadrement contractuel des prestations des acteurs entre eux.

Je note quatre limites majeurs à ce stade :

  • Document en français, alors que les interlocuteurs, notamment SDK, agences, SSP sont majoritairement US ou à tout le moins travaillent en langue anglaise
  • Portée nationale, même si on sait que la CNIL est fréquemment à l'initiative sur ce type de traitement technique innovant au sein de l’EDPB, l’absence de travaux sur un nouveau règlement eprivacy ET le fait que les CNIL ne soient pas toutes en charge des traitement ePrivacy seront un frein.
  • Rôle fort placé sur les développeurs, or, souvent freelance ils n’ont que peu de moyens pour se former et créeront donc un risque pour les éditeurs.
  • En représentant de grands éditeurs, je ne peux que regretter l’absence d’imposition d’une voie de retour sur les permissions qui permettrait à l’éditeur de l’application de faire revenir l’utilisateur sur les choix exprimé dans les réglages après une information claire et transparente, qui le conduirait à faire un choix différent que celui exprimé de manière générale dans le menu de son terminal. 

En termes pratique, qu’en est-il des actions concrètes à prendre pour les entreprises concernées?

Les étapes d’un projet de mise en conformité - à positionner sur les 6 mois à venir

Voici 6 étapes à mettre en place si vous êtes concernés par ces nouvelles recommandations afin de vous mettre en conformité avec celles-ci :

Comment Didomi accompagnera ses clients d’ici mars prochain ?

En tant que fournisseur de SDK, Didomi accompagnera ses clients dans la documentation de leurs traitements liés à la collecte et à la conservation des choix des utilisateurs dans la CMP.

En tant que partenaire de votre conformité, Didomi met à votre disposition les équipes de son support client afin de répondre à vos question ou de vous orienter vers des experts qui vous aideront à adresser vos problématiques.

Sans oublier, le prochain Didomi Breakfast fin novembre dont l’objectif sera d’orienter les clients français dans la meilleure direction pour l’année prochaine. Plus de questions ? Consultez notre page sur la collecte de consentement sur les applications mobile, et contactez nos équipes pour discuter de vos challenges:

{{cmp-for-mobile-apps}}