Recommandations de la Cnil pour les applications mobiles : tout ce qu'il faut savoir
Les éditeurs d'applications mobiles qui n'ont pas encore ouvert les recommandations de la Cnil à leur attention ont tout intérêt à se dépêcher : ils ont jusqu'au 24 mars pour s'assurer d'être conformes. Le pavé indigeste de cent pages publié le 24 septembre dernier servira de base aux contrôles que l'autorité sera susceptible de déployer dès le début du printemps (elle aura donné six mois au marché pour se préparer). Voici ce qu'il faut savoir et par où commencer, selon les conseils de Sébastien Gantou, data protection officer externe et consultant RGPD.
Ces recommandations sont-elles obligatoires ?
Ce texte donne à la fois des obligations, des recommandations et des bonnes pratiques. Tout n'est donc pas obligatoire. En pratique, cependant, l'éditeur a tout intérêt à adopter les recommandations ou, à défaut, à disposer d'arguments solides, et à s'intéresser aux bonnes pratiques. "Ce texte reflète la vision de la Cnil de la conformité à la fois au RGPD, pour la protection des données personnelles, et à ePrivacy, réglementation européenne qui régit les données de communication électronique", précise l'expert.
Il s'agira pour l'éditeur et le développeur d'analyser tous les choix d'implémentation (techniques, juridiques, organisationnels) concernant le traitement de données qui sortent du téléphone. "C'est aussi une invitation à faire le ménage pour s'assurer que, quand des données sortent du téléphone, l'éditeur sait que le but poursuivi est légitime et les objectifs précis et déterminés pour respecter la réglementation."
Quel est le cœur du sujet ?
Ces recommandations s'intéressent surtout aux traitements qui permettent d'accéder et donc de sortir des données du téléphone pour un usage extérieur, comme l'analytics sur un serveur ou le ciblage publicitaire, qui font appel à des acteurs tiers. "La donnée biométrique traitée en local, comme la reconnaissance faciale du terminal par exemple, n'est en revanche pas concernée par ces recommandations car les données restent au sein du téléphone", précise Sébastien Gantou.
L'enjeu est de taille, vu le caractère souvent très intime de ces données (conversations, contacts, photos, géolocalisation très précise…) et la masse d'acteurs technologiques pouvant y avoir accès parmi les dizaines de SDK équipant chacune des 30 applications dont les utilisateurs disposent en moyenne sur leur téléphone. A travers ces recommandations, la Cnil veut promouvoir un usage encadré et régulé des permissions techniques qui donnent accès à ces données.
Permission technique ou consentement ?
D'une manière générale, un traitement est réalisé parce qu'il y a consentement de l'utilisateur ou à sa demande pour permettre l'application de fonctionner. Par exemple, les données de géolocalisation sont essentielles à l'utilisation d'une application comme Waze ou Bonjour RATP. Ces services passent aussi par des permissions techniques spécifiques qu'il faut obtenir auprès de l'OS.
L'éditeur doit s'assurer que les SDK respectent strictement les finalités du consentement : un consentement pour un service de géolocalisation n'équivaut pas à un consentement à la publicité personnalisée. Il faut donc veiller à obtenir des consentements spécifiques.
Quant à l'articulation entre les permissions (ou blocages) techniques de l'appareil et le consentement de l'utilisateur, la Cnil fournit des explications sans imposer des obligations. "L'éditeur devra analyser leur emploi et s'assurer de leur conformité en donnant la bonne information aux utilisateurs. Si l'utilisateur refuse une permission technique au niveau général, l'éditeur n'est pas encouragé à lui demander le consentement pour la même fonctionnalité. Mais c'est une recommandation, pas une obligation, cela reste donc possible", explique Sébastien Gantou. L'éditeur devra dans ce cas justifier son choix. "La Cnil n'est pas explicite sur la voie de retour quand celui-ci est à la demande de l'utilisateur, et c'est dommage car les OS devraient respecter le choix des utilisateurs", conclut l'expert. Petit clin d'œil à l'ATT d'Apple.
Par où commencer ?
La première étape pour l'éditeur consiste à cartographier les traitements de données sortantes et traceurs publicitaires en s'intéressant aux SDK impliqués et à la manière dont ces derniers opèrent. La seconde étape pour l'éditeur (et le développeur) sera de contractualiser en bonne et due forme la prestation avec chaque SDK et de vérifier dans les faits que les flux de données sont en ligne avec le déclaratif contractuel.
Par rapport au RGPD, les SDK sont considérés comme des sous-traitants ou des coresponsables voire responsables de son traitement : pour justifier la légalité de leur traitement, ils doivent fournir un registre de traitement RGPD. "Cela risque d'être compliqué d'obtenir toute la documentation dans les temps, quand le SDK est proposé par une entreprise étrangère ou habituée à disséminer les informations dans de multiples pages d'informations (mention spéciale à Google). N'oublions pas que ces recommandations sont écrites en français par une autorité française et à destination d'entreprises françaises et n'ont pas encore fait l'objet d'une extension au niveau de l'UE", commente Sébastien Gantou.
Enfin, il faudra que l'éditeur contrôle les initiatives prises par le développeur tout comme l'adéquation entre la documentation fournie par le SDK et ce qui se passe réellement. Pour cela il faudra l'auditer.
Ces recommandations impliquent également que le développeur de l'application soit tenu responsable de ce qu'il fait pour le compte de l'éditeur. "Cela pose la question du niveau de connaissance et de compétences de prestataires ou personnels techniques dans les équipes produit – et peut poser la question de la réelle responsabilité d'un freelance par rapport à une grande entreprise."
Comment faire si l'on n'est pas prêt pour le 24 mars ?
D'après notre expert, ce qui compte surtout est que le processus de mise en conformité soit lancé. "La plupart des acteurs ne seront pas prêts en mars, mais il est très important de s'y mettre tout de suite pour être en capacité de montrer à l'autorité, en cas de contrôle, que les modifications sont en cours."
A noter cependant que plus l'éditeur de l'app est important sur son marché et traite un volume de données personnelles voire sensibles important, plus il doit se dépêcher et être prêt dans les temps.
Ces recommandations fournissent à chacun des acteurs une check-list des questions qu'il faut se poser pour s'assurer de la conformité. Par exemple, pour l'éditeur : attention à la validité du consentement, aux risques de recours aux dark patterns, qu'il est conseillé de bannir, à l'articulation entre permission et consentement, etc. "Il faut faire usage de ces check-lists, cela peut aider à défendre sa conformité." Point important que relève notre expert : "mettez en place une gouvernance adaptée afin que cette conformité soit assurée dans le temps car les contrôles vont s'étaler sur toute l'année au moins. Ne pas s'organiser pour un suivi à moyen terme, c'est s'obliger à refaire le travail d'audit fréquemment ce qui est fastidieux."
Ces recommandations sont-elles une bonne chose pour le marché ?
Cette évolution est qualifiée de très positive par notre interlocuteur. "L'environnement applicatif est plus complexe que le web et sans doute moins mature en matière de protection des données. Or, nous passons près de 4 heures par jour sur les applications mobiles, cela en fait un sujet critique pour la Cnil. Une application mobile, c'est une boîte noire, contrairement au web, où n'importe qui peut voir ce qui se passe sur un site. Sur environnement mobile, l'utilisateur ne sait pas quels traitements sont faits de ses données, au-delà des informations que l'on veut bien lui donner", résume Sébastien Gantou.
Même chose pour l'éditeur vis-à-vis des différents SDK qu'il intègre : il ne peut vérifier quel traitement ces derniers font des données. "Nous allons tous, utilisateurs come professionnels, reprendre le contrôle", déclaré Sébastien Gantou. Cet environnement est de plus asynchrone : les modifications ne se voient pas tout de suite. Enfin, les éditeurs doivent également composer avec de nombreuses contraintes imposées par les OS et les magasins d'applications matérialisés par les permissions techniques et le processus de publication et de validation des apps, qui prend plusieurs jours.
Beaucoup d'acteurs de ce marché ont des doutes quant aux bonnes mesures à mettre en place pour s'assurer de sa conformité aux règlementations de protection de données. Ce texte peut les aider en clarifiant les obligations et les responsabilités de chaque protagoniste – éditeurs, développeurs, SDK, magasins d'applications et OS.