Se connecter
logiciel rgpd
  1. 1 - Les principes de base du RGPD
    1. 2 - Qualification des acteurs selon le RGPD 
      1. 3 - Les principales recommandations de la CNIL
        1. 4 - Comment mettre en pratique ces recommandations

          Les recommandations CNIL pour des applications mobiles conformes au RGPD

          RGPDSeptember 30, 2024

          Aujourd'hui, nos smartphones sont devenus des compagnons incontournables, nous permettant de commander un repas, gérer un budget, naviguer sur les réseaux sociaux, ou encore se faire rembourser par sa mutuelle. Avec des applications pour répondre à tous les besoins, la collecte de données personnelles n'a jamais été aussi intense.

          Face à cette réalité, la CNIL tire la sonnette d'alarme. Elle rappelle l'importance de protéger ces données sensibles en publiant un ensemble de recommandations pour guider les professionnels du numérique vers une conformité exemplaire au RGPD.

          Dans cet article, nous vous résumons les points essentiels de ces recommandations afin que vous puissiez développer des applications qui respectent pleinement la vie privée de vos utilisateurs.

          Les principes de base du RGPD

          Même pour les applications mobiles, les principes de base du RGPD restent incontournables. Toute application traitant des données personnelles doit s'y conformer. Parmi ces principes, on retrouve :

          • le respect de la directive ePrivacy, qui régit l’utilisation des cookies et des traceurs dans les applications.

          • le consentement libre et éclairé avant toute collecte.

          • le Privacy by Design, un principe qui prévoit que la protection des données personnelles soit intégrée dès la conception d'une application.

          Qualification des acteurs selon le RGPD 

          Les acteurs impliqués dans le fonctionnement d'une application mobile n’ont pas tous le même rôle dans le traitement des données personnelles de leurs utilisateurs.

          Si le RGPD leur est applicable, ils peuvent revêtir l’une des trois catégories suivantes :

          Conformément au principe d'accountability, chaque acteur doit qualifier son rôle en fonction de ses responsabilités réelles pour chaque traitement.

          Bien que la qualification doive être réalisée au cas par cas, la CNIL fournit des exemples à titre indicatif :

          Éditeurs d'applications

          Généralement, les éditeurs d'applications sont responsables du traitement, car ils décident des finalités et des moyens de traitement des données.

          Développeurs

          Les développeurs peuvent être responsables du traitement ou sous-traitants. Cependant, si leur rôle se limite à fournir le code à l'éditeur sans avoir de maîtrise ou d'accès aux données traitées, ils n'ont alors aucune responsabilité.

          Fournisseurs de SDK

          Un SDK (Software Development Kit) est un ensemble d'outils permettant d'ajouter rapidement des fonctionnalités à une application sans devoir tout coder soi-même. Selon leur degré d'implication dans la collecte et le traitement des données, les fournisseurs de SDK peuvent être qualifiés de sous-traitants ou co-responsables de traitement.

          Exemple : Un SDK de publicité qui collecte des données pour du ciblage publicitaire est responsable conjointement avec l'éditeur.

          Fournisseurs de systèmes d’exploitation

          Les fournisseurs de systèmes d’exploitation, comme iOS et Android, peuvent être co-responsables de traitement lorsqu'ils permettent l'accès à des données via des identifiants publicitaires ou d'autres fonctionnalités.

          Besoin d'aide ?

          Comment qualifier les parties prenantes d'un traitement de données personnelles ? Notre guide complet vous explique tout.

          Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

          Les principales recommandations de la CNIL

          Les recommandations communes à tous les acteurs

          Quel que soit votre rôle dans le développement ou la gestion d'une application, certaines règles fondamentales doivent être respectées pour protéger les données personnelles traitées. Voici les principes communs à tous les acteurs :

          • Sécurité et chiffrement des données : Utilisez des méthodes robustes de chiffrement pour toutes les données sensibles, tant au repos que lors des transferts.

          • Gestion des permissions : Demandez uniquement les permissions strictement nécessaires au bon fonctionnement de l'application. Soyez transparent sur la raison de chaque permission.

          • Consentement libre et éclairé : Obtenez un consentement explicite avant toute collecte de données.

          • Transparence et politique de confidentialité : Fournissez une politique de confidentialité claire et accessible avant même que l’utilisateur ne télécharge l’application.

          • Mises à jour régulières : Les applications doivent être mises à jour régulièrement pour corriger les failles de sécurité, et prévenir les violations des données.

          Les recommandations selon les acteurs

          Selon le rôle joué dans la chaîne de développement d'une application, certaines règles spécifiques s'appliquent. Voici les recommandations clés pour chaque acteur.

          Éditeurs d'applications

          • Cartographie des partenaires : identifier tous les tiers impliqués et garantir que chacun respecte les obligations du RGPD.

          • Minimisation des données : Ne collecter que les données strictement nécessaires à la finalité définie.

          • Gestion du consentement : Obtenir un consentement explicite avant la collecte de données.

          Développeurs

          • Privacy by Design : s'assurer que les principes de protection des données sont intégrés dès les premières étapes du développement.

          • Suivi des instructions de l'éditeur : suivre les directives données par l'éditeur sur la gestion des données personnelles.

          Fournisseur de SDK

          • Documentation transparente : informer les éditeurs sur les données qu'ils collectent et leur finalité.

          • Maintien de la conformité : mettre à jour régulièrement les SDK pour garantir le respect du RGPD.

          Fournisseurs de systèmes d'exploitation

          • Gestion des permissions : permettre aux utilisateurs de gérer précisément les permissions accordées aux applications.

          Comment mettre en pratique ces recommandations

          Beaucoup d'informations à retenir ? Pas de panique ! Si vous devez retenir l'essentiel, gardez en tête ces quatre bonnes pratiques pour assurer la conformité RGPD de votre application mobile :

          • Intégrez la protection des données dès la conception, Bonjour "Privacy by Design"

          • Ne demandez que les permissions essentielles au bon fonctionnement de l'application, et soyez transparent sur leur utilisation.

          • Assurez-vous que le consentement des utilisateurs est explicite, et géré via des bannières claires.

          • Chiffrez les données sensibles et mettez en place des audits réguliers de sécurité pour détecter les failles.

          En suivant ces recommandations et en définissant clairement le rôle de chaque acteur, les DPO peuvent garantir et maintenir la conformité des applications mobiles.

          Vous voulez approfondir le sujet ? Téléchargez ici le PDF complet des recommandations de la CNIL.

          La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

          Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

          Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

          • All rights reserved ©Witik 2024