Applications mobiles : La CNIL publie ses recommandations
En septembre 2024, la CNIL (Commission nationale de l’informatique et des libertés) a publié de nouvelles recommandations concernant la protection des données personnelles dans les applications mobiles, en particulier celles liées à la santé. Ce texte, soumis à consultation publique et désormais officialisé, vise à clarifier les responsabilités des différents acteurs du secteur pour mieux protéger les utilisateurs face à des collectes de données souvent jugées trop intrusives.
Un encadrement nécessaire pour les applications mobiles
Avec l’essor des smartphones et la multiplication des capteurs embarqués (GPS, caméra, accéléromètre…), les applications mobiles sont devenues des outils puissants mais également potentiellement invasifs en matière de collecte de données personnelles. C’est pourquoi la CNIL a jugé indispensable de rappeler les règles du RGPD et de la directive ePrivacy pour protéger au mieux la vie privée des utilisateurs.
Les éditeurs d’applications, les développeurs, les fournisseurs de kits de développement logiciel (SDK) et les fournisseurs de systèmes d’exploitation (OS) sont invités à respecter les principes de minimisation des données et de transparence. Ils doivent aussi garantir la sécurité des informations collectées.
Qui doit se conformer à ces recommandations ?
Tous les acteurs impliqués dans l’écosystème mobile sont concernés : éditeurs, développeurs, fournisseurs de SDK et d’OS. La CNIL précise également que ces règles s’appliquent non seulement aux applications mobiles, mais aussi à des environnements similaires comme les objets connectés (IoT) ou les systèmes embarqués, tels que les tableaux de bord automobiles.
Les applications mobiles, qu’elles soient natives, hybrides ou des applications web progressives (PWA), doivent se conformer aux nouvelles recommandations en matière de protection des données. Chaque acteur doit définir son rôle dans le traitement des données personnelles, que ce soit en tant que responsable de traitement, responsable conjoint ou sous-traitant, selon le RGPD.
Des exigences spécifiques pour les applications de santé
Les applications mobiles de santé sont particulièrement visées, car elles traitent des données considérées comme sensibles, telles que les informations médicales des utilisateurs. Selon l’article 9 du RGPD, le traitement de ces données est interdit par défaut, sauf exceptions, comme l’obtention d’un consentement explicite.
Les éditeurs de ces applications doivent donc s’assurer de :
- Sécuriser les données sensibles grâce à des mesures techniques et organisationnelles solides.
- Informer clairement les utilisateurs sur les données collectées, leur finalité et la manière dont ils peuvent exercer leurs droits (accès, rectification, suppression).
- Recueillir le consentement explicite des utilisateurs avant toute collecte ou traitement de données de santé.
Vous avez une application ou vous souhaitez lancer votre application ?
Actecil Academy vous propose des formations Privacy by Design pour la rendre conforme aux exigences du RGPD et garantir la protection des données de vos utilisateurs.
Dans le cas des applications locales qui conservent les données uniquement sur le téléphone de l’utilisateur sans les transférer à un serveur externe, certaines obligations du RGPD peuvent être levées, car ces données restent sous le contrôle exclusif de l’utilisateur.
Transparence et sécurité : des obligations pour tous
Pour toute application mobile, l’accès aux fonctionnalités sensibles du téléphone, comme la géolocalisation ou les contacts, nécessite une autorisation explicite de l’utilisateur. La CNIL insiste sur le fait que ces autorisations doivent être justifiées et limitées aux fonctionnalités essentielles de l’application. Toute collecte de données non indispensable doit être évitée afin de respecter le principe de minimisation des données.