Les dernières recommandations des CNIL européennes devraient avoir des répercussions sur le développement des applications mobiles. Livrées hier, elles établissent qu'il est essentiel d'obtenir le consentement, libre et bien informé, des utilisateurs de ces applications pour rester en conformité avec la loi européenne sur la protection des données.

Un utilisateur de smartphone télécharge en moyenne 37 applications, la plupart étant en mesure de collecter un grand nombre de données personnelles se trouvant sur le terminal (l'album photo, en particulier, et les données de géolocalisation). Une récupération qui se dispense souvent de l'autorisation avisée de l'utilisateur, pointe Jacob Kohnstamm, président du groupe de travail Article 29 qui rassemble les autorités de protection des données personnelles de l'Union européenne.

Obtenir le consentement pour chaque type de données

Les CNIL de l'UE ont donc adopté le 27 février 2012 des lignes directrices sur les obligations des concepteurs d'applications. Sont également concernées les autres parties prenantes dans le développement et la distribution de ces apps, c'est-à-dire les boutiques en ligne, les agences de publicité et les fournisseurs d'OS et de terminaux. Une attention particulière a été apportée aux applications ciblant les enfants, ont souligné les signataires de ces recommandations. Ils rappellent que même si l'ambition des développeurs est de fournir des services innovants, les apps qu'ils conçoivent peuvent faire courir des risques significatifs à leurs utilisateurs sur les questions de vie privée et de réputation. Les applications doivent donc renseigner suffisamment, avant de s'installer, sur les données qu'elles vont exploiter.

Le groupe de travail Article 29 considère que les développeurs d'apps doivent demander le consentement pour chaque type de données auquel ils accéderont : la localisation, les contacts, les données de paiement, l'historique de navigation et les informations d'identification de réseaux sociaux. Attention, avertissent les autorités de protection, l'obtention de ce consentement ne légitime en rien l'utilisation excessive ou disproportionnée de ces données. Les développeurs doivent aussi définir une période d'inactivité après laquelle le compte ne sera plus exploité. Ainsi, les utilisateurs qui auront oublié de désinstaller une application ne risqueront plus de voir celle-ci continuer à siphonner les données de leur smartphone.

Eviter le pistage des utilisateurs

Les boutiques en ligne, telles que Google Play, doivent aussi mettre en place des mécanismes de récupération du consentement dans leur système d'exploitation lors du premier lancement de l'application, ou lorsque cette dernière cherche à accéder à certaines catégories de données privées. Toutes ces précautions visent à éviter que les utilisateurs ne soient traqués par les annonceurs publicitaires ou par d'autres parties prenantes. « Par défaut, il faut éviter tout pistage », recommande le document du groupe de travail Article 29.

Le mois dernier, la FTC (Federal Trade Commission) américaine a livré des recommandations similaires. Mais elles ne sont pas juridiquement contraignantes, alors que bon nombre de celles du groupe Article 29 sont couvertes par des directives européennes.