09/24/2024 | Press release | Distributed by Public on 09/23/2024 22:39
Communiquer, se divertir, s'orienter, faire ses achats, se rencontrer, suivre sa santé… les usages numériques quotidiens des Français passent de plus en plus par les applications mobiles. À titre d'exemple, en 2023, les personnes ont téléchargé 30 applications et utilisé leur téléphone mobile 3 h 30 par jour en moyenne (source : data.ai).
Or, l'environnement mobile présente plus de risques que le web pour la confidentialité et la sécurité des données.
Les applications mobiles ont en effet accès à des données plus variées et parfois plus sensibles, telles que la localisation en temps réel, les photographies ou encore des données de santé. De plus, les permissions demandées aux utilisateurs pour accéder à des fonctionnalités et des données sur leur appareil sont souvent nombreuses (microphone, carnet de contacts, etc.). Enfin, beaucoup acteurs sont impliqués dans le fonctionnement d'une application et sont ainsi susceptibles de collecter ou de se partager des données personnelles.
Dans ses recommandations, la CNIL rappelle les principes fixés par les textes et donne des conseils pour aider les professionnels à concevoir des applications respectueuses de la vie privée.
La recommandation de la CNIL vise l'ensemble des acteurs impliqués dans le développement et la mise à disposition des applications mobiles, afin d'assurer une protection renforcée des données personnelles à chaque étape :
Les recommandations précisent le partage des responsabilités entre les acteurs de l'écosystème mobile et clarifient leurs obligations respectives afin d'apporter de la sécurité juridique. Elles fournissent des conseils pratiques pour encadrer leurs relations.
Les recommandations visent à améliorer l'information des utilisateurs sur l'utilisation de leurs données. Cette information doit toujours être claire, accessible et présentée au bon moment dans l'application.
Elles offrent des conseils et bonnes pratiques aux acteurs notamment pour garantir que les utilisateurs comprennent si les permissions demandées sont réellement nécessaires au fonctionnement de l'application.
Les recommandations rappellent que les applications doivent obtenir le consentement pour traiter des données qui ne sont pas nécessaires à leur fonctionnement, par exemple à des fins de ciblage publicitaire.
Elles précisent les conditions dans lesquelles ce consentement doit être demandé, et notamment qu'il ne doit pas être contraint. Il faut permettre à l'utilisateur de pouvoir refuser de consentir, ou retirer son consentement s'il change d'avis, aussi simplement qu'il lui est proposé de le donner. Elles indiquent enfin la manière dont le recueil du consentement peut s'articuler avec le système des permissions techniques.
Sur le modèle de ses travaux sur les cookies, la CNIL a conduit une concertation avec différents acteurs représentatifs de l'écosystème des applications mobiles, permettant de mieux appréhender l'ensemble des enjeux de ce secteur complexe. Par ailleurs, les travaux de la CNIL ont également été alimentés par une réflexion sur les enjeux économiques associés à la collecte de données dans les univers mobiles. L'appel à contributions a donné lieu à une première synthèse publiée sur son site web.
Le projet de recommandation issu de ces travaux a ensuite été soumis à consultation publique, en juillet 2023, pour recueillir les avis de l'ensemble des parties prenantes, qu'elles soient issues du secteur associatif, du grand public ou des milieux professionnels.
La CNIL a ainsi reçu des contributions émanant d'acteurs variés de l'écosystème des applications mobiles.
Pour la première fois, ces travaux ont conduit la CNIL à saisir formellement l'Autorité de la concurrence en raison des interactions croissantes entre la protection des données personnelles et le droit de la concurrence. L'Autorité a rendu son avis le 4 décembre 2023.
La saisine de l'Autorité de la concurrence, qui s'inscrit dans la continuité de la déclaration conjointe que les deux autorités ont signée en décembre 2023, constitue une première concrétisation des engagements pris par les deux institutions. Elles réaffirment ainsi leur volonté commune de développer et d'exploiter les synergies de leurs régulations, au service d'un numérique responsable et équitable.
Les contributions reçues lors de la consultation publique et l'avis de l'Autorité de la concurrence ont permis d'enrichir et de consolider les recommandations, publiées dans leur version finalisée.
Ainsi, la CNIL a clarifié, sur la forme comme sur le fond, sa recommandation sur plusieurs points :
La CNIL accompagnera ces prochains mois les acteurs professionnels, notamment à travers des webinaires. L'objectif est qu'ils s'approprient au mieux les règles et garanties précisées dans la recommandation et qu'ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.
À partir du début du printemps 2025, la CNIL déploiera une campagne spécifique de contrôle des applications mobiles pour s'assurer du respect des règles applicables. Dans l'intervalle, la CNIL continuera à traiter les plaintes dont elle est saisie, à mener les contrôles qui lui paraîtront nécessaires et à adopter, si nécessaire, les mesures correctrices qui s'imposent pour protéger efficacement la vie privée des utilisateurs d'applications mobiles.
Cette campagne de contrôle viendra compléter les vérifications déjà menées par la CNIL, notamment dans le cadre de ses thématiques prioritaires de contrôle 2023, sur des applications qui tracent les utilisateurs à diverses fins (publicitaires, statistiques, etc.) en l'absence de consentement des utilisateurs.