Applications mobiles : La CNIL publie ses recommandations
Article RGPDMinute RGPD
En septembre 2024, la CNIL (Commission nationale de l’informatique et des libertés) a publié de nouvelles recommandations concernant la protection des données personnelles dans les applications mobiles, en particulier celles liées à la santé. Ce texte, soumis à consultation publique et désormais officialisé, vise à clarifier les responsabilités des différents acteurs du secteur pour mieux protéger les utilisateurs face à des collectes de données souvent jugées trop intrusives.
Un encadrement nécessaire pour les applications mobiles
Avec l’essor des smartphones et la multiplication des capteurs embarqués (GPS, caméra, accéléromètre…), les applications mobiles sont devenues des outils puissants mais également potentiellement invasifs en matière de collecte de données personnelles. C’est pourquoi la CNIL a jugé indispensable de rappeler les règles du RGPD et de la directive ePrivacy pour protéger au mieux la vie privée des utilisateurs.
Les éditeurs d’applications, les développeurs, les fournisseurs de kits de développement logiciel (SDK) et les fournisseurs de systèmes d’exploitation (OS) sont invités à respecter les principes de minimisation des données et de transparence. Ils doivent aussi garantir la sécurité des informations collectées.
Qui doit se conformer à ces recommandations ?
Tous les acteurs impliqués dans l’écosystème mobile sont concernés : éditeurs, développeurs, fournisseurs de SDK et d’OS. La CNIL précise également que ces règles s’appliquent non seulement aux applications mobiles, mais aussi à des environnements similaires comme les objets connectés (IoT) ou les systèmes embarqués, tels que les tableaux de bord automobiles.
Les applications mobiles, qu’elles soient natives, hybrides ou des applications web progressives (PWA), doivent se conformer aux nouvelles recommandations en matière de protection des données. Chaque acteur doit définir son rôle dans le traitement des données personnelles, que ce soit en tant que responsable de traitement, responsable conjoint ou sous-traitant, selon le RGPD.
Des exigences spécifiques pour les applications de santé
Les applications mobiles de santé sont particulièrement visées, car elles traitent des données considérées comme sensibles, telles que les informations médicales des utilisateurs. Selon l’article 9 du RGPD, le traitement de ces données est interdit par défaut, sauf exceptions, comme l’obtention d’un consentement explicite.
Les éditeurs de ces applications doivent donc s’assurer de :
Sécuriser les données sensibles grâce à des mesures techniques et organisationnelles solides.
Informer clairement les utilisateurs sur les données collectées, leur finalité et la manière dont ils peuvent exercer leurs droits (accès, rectification, suppression).
Recueillir le consentement explicite des utilisateurs avant toute collecte ou traitement de données de santé.
Vous avez une application ou vous souhaitez lancer votre application ?
Actecil Academy vous propose des formations Privacy by Design pour la rendre conforme aux exigences du RGPD et garantir la protection des données de vos utilisateurs.
Dans le cas des applications locales qui conservent les données uniquement sur le téléphone de l’utilisateur sans les transférer à un serveur externe, certaines obligations du RGPD peuvent être levées, car ces données restent sous le contrôle exclusif de l’utilisateur.
Transparence et sécurité : des obligations pour tous
Pour toute application mobile, l’accès aux fonctionnalités sensibles du téléphone, comme la géolocalisation ou les contacts, nécessite une autorisation explicite de l’utilisateur. La CNIL insiste sur le fait que ces autorisations doivent être justifiées et limitées aux fonctionnalités essentielles de l’application. Toute collecte de données non indispensable doit être évitée afin de respecter le principe de minimisation des données.
Le RGPD en mutation : ce que les projets « Omnibus » pourraient changer pour votre organisation
Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données (RGPD) est la pierre angulaire de la conformité des données en Europe. Pourtant, la Commission européenne a récemment ouvert un chantier inattendu : une simplification potentielle des règles, non seulement via la modification du RGPD, mais aussi de l'ensemble du droit numérique.
OpenAI lance ChatGPT Atlas : le navigateur qui agit à votre place
OpenAI vient de dévoiler ChatGPT Atlas, son tout nouveau navigateur web intégrant directement son célèbre chatbot. Avec Atlas, OpenAI réunit deux outils en un seul : un navigateur web et un assistant conversationnel. Le résultat ? Un compagnon d’écran qui ne se contente plus de vous aider dans une fenêtre dédiée, mais vous suit partout sur le Web.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
