Les applications mobiles constituent aujourd’hui l’un des principaux moyens d’accès aux contenus et services numériques. Elles ont quasi systématiquement accès à de nombreuses informations à caractère personnel, parfois considérées comme sensibles.
Elles sont donc soumises au RGPD.
Par où commencer ?
La CNIL, autorité de protection des données française, a publié des recommandations pour aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée.
Il est donc important de vérifier si votre pratique répond à ces bonnes pratiques.
Quels sont les profils visés par ces recommandations ?
De nombreux intervenants participent au bon fonctionnement des applications, ce qui peut entraîner l’échange de données à caractère personnel.
Etes-vous concerné ?
- Editeur d’applications mobiles : vous mettez des applications mobiles à disposition des utilisateurs.
- Développeur d’applications mobiles : vous écrivez le code informatique composant une application mobile.
- Fournisseur de kits de développement logiciel (software development kit) : vous développez des fonctionnalités « prêtes à l’emploi » pouvant être directement intégrées par les développeurs dans une application mobile (mesure d’audience, ciblage publicitaire, etc.).
- Fournisseur de systèmes d’exploitation : vous mettez à disposition des systèmes d’exploitation (par exemple iOS ou Android) sur lesquels les applications mobiles seront exécutées.
- Fournisseur de magasins d’applications : vous mettez à disposition des plateformes permettant le téléchargement de nouvelles applications.
Quelques conseils transversaux :
- Identifier l’existence de traitements de données à caractère personnel et s’assurer de la conformité de ces traitements. Il faut par exemple, définir correctement la ou les finalités des traitements, identifier une base de licéité pour chaque finalité ou encore limiter les traitements à ce qui est nécessaire pour les finalités poursuivies.
- Concevoir des applications respectueuses de la vie privée dès la conception :Il est important d’intégrer les principes de protection des données dès la phase de conception des applications. Cela inclut la minimisation des données collectées, l’usage de permissions adaptées et la mise en place de mesures de sécurité robustes.
- Informer et obtenir/gérer le consentement des utilisateurs (ou participer à sa conformité lors de son obtention) :Les utilisateurs doivent être clairement informés des données collectées et des finalités des traitements. Lorsque le consentement est demandé à un utilisateur, il doit être obtenu valablement avant tout traitement.
- Gérer ou aider au bon respect des droits des utilisateurs (en fonction de son rôle) :Les applications doivent permettre aux utilisateurs d’exercer facilement leurs droits, tels que l’accès, la rectification et la suppression de leurs données.
- Sécuriser les données tout au long du cycle de vie de l’application et assurer la sécurité de l’application :La sécurité des données doit être assurée à chaque étape, de la collecte à la suppression. Cela inclut la mise à jour régulière des applications pour détecter et corriger les vulnérabilités.
Our advice:
En tant que prestataire, ces recommandations vous permettent de distinguer vis-à-vis de vos cocontractants d’une part ce qui relève de l’obligation et d’autre part ce qui relève de la recommandation ou encore de la bonne pratique.
Ces recommandations vous aideront à remplir votre devoir de conseil.
Veillez à ce que vos contrats, tout particulièrement pour un projet Agile, précisent bien les contours de votre responsabilité à cet égard, afin d’éviter tout malentendu lors des développements.