« Les applications mobiles sont un des principaux moyens d’accès à des contenus et des services numériques. La CNIL a établi un plan d’action pour les années à venir afin d’accompagner leur mise en conformité et de protéger la vie privée des utilisateurs ». Le régulateur fait état d’une forte augmentation du temps que passent les Français sur les applications mobiles, s’appuyant sur le rapport State of Mobile 2022 de data.ai. Il révèle ainsi qu’au quatrième trimestre 2021, les Français ont utilisé des applications mobiles durant 170 millions d’heures, soit presque le double du temps passé au premier trimestre 2018. L’offre d’applications mobiles croît rapidement tandis que le smartphone est désormais considéré comme le premier vecteur d’accès au numérique. Cependant, cet usage apporte son lot de risques.
En pratique, des transferts de données ont souvent lieu entre les différents acteurs impliqués dans la construction et la mise à disposition d’applications mobiles, avec des partages de responsabilité parfois mal définis. « Si les principes et obligations en matière de protection des données sont désormais bien connus des opérateurs de sites web et font l’objet de recommandations de la part de la CNIL, leur mise en œuvre dans le contexte des applications mobiles peut encore être clarifiée » rappelle le régulateur. L’heure est donc à la transparence et, en particulier, du côté des traitements de données, notamment les informations sur l’existence ou non de cette collecte et les raisons. Par ailleurs, la Cnil souhaite une meilleure protection des utilisateurs vis-à-vis des capteurs présents sur les terminaux (caméra, GPS, base de contacts, accéléromètre, etc.) et qui peuvent permettre aux applications d'accéder à des données. Compte tenu des enjeux importants de protection de la vie privée liés à l’usage de smartphone, la CNIL a décidé d’engager un plan d’action en trois étapes.
Rencontre avec les acteurs de l'écosystème
Tout au long de cette année, la Cnil a organisé une série de de rencontres avec différents acteurs représentatifs de l’écosystème (fournisseurs de systèmes d’exploitation, développeurs d’applications, fournisseurs de SDK, etc. mais aussi acteurs de la société civile et de la recherche étudiant les pratiques de l’écosystème mobile).
Fort de cette démarche, Le Linc, le Laboratoire d’innovation numérique de la Cnil, a également engagé des travaux sur certaines données particulièrement « sensibles » (même si elles ne le sont pas nécessairement au sens du RGPD), notamment avec une étude sur les données de géolocalisation obtenues via des applications mobiles, afin de mieux comprendre les risques associés à la collecte de ce type de données. Suite à ces travaux, des recommandations seront transmises aux différents acteurs impliqués dans les applications mobiles afin de leur rappeler leurs obligations et pour faciliter leur mise en conformité.
Sensibiliser les utilisateurs et sanctionner les acteurs en cas d'abus
Les utilisateurs sont la priorité dans cette campagne de sensibilisation. En ce sens, la Cnil veut apporter des outils pratiques (fiche ou guide pratique, checklist d’auto-évaluation, etc.) mis à disposition de ces derniers pour les « sensibiliser aux risques et impacts réels que représente le traitement de leurs données au travers des applications mobiles ». La Cnil veut cibler, à travers ce travail, les enfants qui représentent un public vulnérable. Elle veut également mieux protéger les personnes qui utilisent des apps médicales – notamment les femmes enceintes – afin d’éviter tout abus concernant l’utilisation de ces données.
Pour aller plus loin et clarifier le cadre légal, la Cnil compte appliquer un plan de contrôle similaire à celui appliqué dans le cas des cookies et autres traceurs. Cette vague de contrôle avait d’ailleurs été efficace, mettant le holà à des pratiques de certains sites jugées contraires au RGPD. Elle évoque la possibilité de « se concentrer sur les traitements susceptibles d’engendrer des risques spécifiques importants pour les personnes, par exemple parce qu’ils ciblent des publics vulnérables ou qu’ils collectent des données de manière particulièrement intrusive ». Cette surveillance vient s’ajouter au travail continu du régulateur, et aux plaintes qu’il reçoit. Des sanctions financières sont prévues en cas de sérieux manquements.