La Commission nationale de l’informatique et des libertés (CNIL) a adopté, le 18 juillet 2024, la Délibération n° 2024-061, portant sur une recommandation relative aux bonnes pratiques en matière d’applications mobiles. Cette décision vise à protéger les utilisateurs de téléphones mobiles, dont les données personnelles sont souvent collectées et utilisées par diverses applications. Ce document explicite les principes à suivre pour les développeurs, les éditeurs et autres acteurs de l’écosystème mobile.

Les applications mobiles : un accès privilégié à des données personnelles

Les applications mobiles sont aujourd’hui l’un des principaux moyens d’accéder à du contenu et des services numériques. Le téléphone mobile multifonctions, ou smartphone, est un terminal personnel qui fait partie intégrante de la sphère privée de ses utilisateurs. Toutefois, la collecte de données via ces applications peut souvent être opaque et mal comprise par les utilisateurs.

La collecte de données : une pratique souvent intrusive

Les capteurs présents dans les smartphones (caméra, GPS, contacts, etc.) permettent aux applications d’accéder à des informations très sensibles. Cette collecte peut s’avérer intrusive, notamment lorsque les autorisations demandées par les applications ne sont pas clairement expliquées. L’utilisateur peut alors rencontrer des difficultés pour comprendre la nature et l’objectif des données collectées, ce qui complique ses choix en matière de confidentialité.

Acteurs de l’écosystème mobile et responsabilités

L’écosystème des applications mobiles est composé de plusieurs acteurs ayant des responsabilités en matière de protection des données personnelles. Les principaux concernés sont :

• Les développeurs d’applications qui peuvent échanger des données entre leurs créations.
• Les fournisseurs de systèmes d’exploitation qui permettent l’exécution des applications sur les terminaux mobiles.
• Les gestionnaires de magasins d’applications qui mettent à disposition les applications.
• Les éditeurs de kits de développement logiciel (SDK) qui facilitent l’intégration de fonctionnalités tierces dans les applications.

Clarification des obligations légales

Si les principes de protection des données sont bien connus dans le domaine des sites web, leur application au sein des applications mobiles reste plus complexe. La recommandation de la CNIL a pour but de clarifier ces règles et d’aider les acteurs à mieux comprendre leurs obligations légales en vertu du Règlement Général sur la Protection des Données (RGPD).

Définition des applications mobiles

Une application mobile désigne un logiciel distribué sur les téléphones mobiles multifonctions et tablettes, permettant l’accès à Internet et à des services téléphoniques. Elle peut être native (développée spécifiquement pour un système d’exploitation comme Android ou iOS), hybride (utilisant des technologies web comme React Native), ou web progressive (PWA). Ces applications peuvent accéder à diverses fonctionnalités et données du système via des interfaces API fournies par les systèmes d’exploitation.

Environnements similaires aux mobiles multifonctions

Outre les téléphones mobiles, d’autres environnements connectés peuvent être concernés par cette recommandation, comme les montres connectées, les tableaux de bord automobiles, ou les dispositifs médicaux connectés. Les recommandations peuvent s’appliquer, sous certaines adaptations, à ces environnements.

Les acteurs du secteur des applications mobiles

Le traitement des données personnelles dans les applications mobiles implique une interconnexion complexe entre plusieurs acteurs :

• Fournisseurs de systèmes d’exploitation (OS) : Ils fournissent les environnements où les applications s’exécutent et définissent les interactions possibles entre l’utilisateur, les applications et le terminal.
• Gestionnaires de magasins d’applications : Ils mettent à disposition les plateformes de téléchargement des applications et peuvent traiter des données personnelles comme des identifiants utilisateur pour des mises à jour ou autres services.
• Éditeurs d’applications : Ils proposent des produits ou services via des applications mobiles et traitent des données personnelles liées à l’utilisation de celles-ci.
• Développeurs d’applications : Ils peuvent être en interne ou externes à l’éditeur et participent à la configuration et au maintien des traitements de données.
• Fournisseurs de SDK : Ces kits facilitent le développement des applications et permettent, dans certains cas, la collecte de données personnelles via les applications utilisant leurs services.