La Commission nationale de l’informatique et des libertés (ci-après la "Cnil") avait initialement publié cette recommandation le 24 septembre 2024 [1]. Cette dernière avait été précédée d’une consultation publique contenant les avis de l’ensemble des acteurs de l’écosystème des applications mobiles ainsi qu’un avis de l’Autorité de la concurrence [2], s’inscrivant dans la démarche de rapprochement des deux autorités.
Suite aux demandes de clarifications formulées par les professionnels du secteur, la Cnil a publié une nouvelle version de la recommandation [3], le 8 avril 2025, destinée à corriger les erreurs et omissions du précédent document.
Contenu de la recommandation relative aux applications mobiles du 24 septembre 2024.
Cette recommandation répond à un triple objectif :
- La clarification et l’encadrement du rôle de chaque acteur : la recommandation a pour but d’apporter des précisions sur les obligations respectives des différents acteurs de l’écosystème mobile ainsi que sur la répartition de leur responsabilité.
- L’amélioration de la transparence relative à l’utilisation des données : la recommandation vise à garantir une information claire, accessible et éclairée aux utilisateurs.
- La garantie d’un consentement éclairé et non contraint : la recommandation rappelle l’obligation pour les applications de recueillir le consentement éclairé et non contraint des utilisateurs pour tout traitement de données [4] les concernant qui n’est pas nécessaires au regard du fonctionnement de l’application.
Les acteurs concernés par ces recommandations.
La Cnil exprime ce triple objectif à travers ses recommandations spécifiques adressés aux différents acteurs concernés par les applications mobiles en l’occurrence les éditeurs, les développeurs, les fournisseurs de kits de développement logiciel (ci-après les "SDK"), les fournisseurs de système d’exploitation et les fournisseurs de magasin d’applications.
Les clarifications apportées par la mise à jour du 8 avril 2025.
Concernant les acteurs concernés, la version antérieure de la recommandation indiquait que dans l’hypothèse où l’éditeur développe l’application en interne avec un développeur, l’éditeur et le développeur se confondent. Sur ce point, la Cnil apporte une nouvelle précision : lorsque l’éditeur fait développer l’application par un développeur externe, l’éditeur et le développeur sont deux entités distinctes liées contractuellement.
De même, dans la partie relative aux rôles de chaque acteur, dans le cadre de l’utilisation de l’application, la Cnil précise les indices permettant au sous-traitant de s’identifier comme tel. Auparavant, l’autorité énonçait simplement qu’un sous-traitant pouvait s’identifier comme tel lorsque le responsable du traitement visait les traitement de données personnelles. La Cnil précise cet indice : le sous-traitant peut s’identifier comme tel lorsque le responsable du traitement mentionne spécifiquement le traitement de données personnelles "dans les éléments contractuels".
Concernant la collecte de données [5] de localisation par une application (Voir l’article Applications mobiles, plan d’action de la Cnil pour protéger votre vie privée) via l’usage d’un SDK pour le compte de l’éditeur, la recommandation prévoyait initialement que l’éditeur et le fournisseur de SDK étaient responsables conjoint du traitement, en ce qu’ils participaient de manière conjointe à la détermination et aux finalités et des moyens. Désormais, la recommandation modifiée prévoit que seul l’éditeur du traitement est responsable de traitement et que le fournisseur de SDK est son sous-traitant, ce dernier ne poursuivant aucune finalité propre.
S’agissant enfin des fournisseurs de magasin d’application, la Cnil recommandait qu’ils informent les utilisateurs et leurs fournissent des outils de signalement et d’exercice des droits (Voir l’article Les droits des personnes concernées sur leurs données personnelles). Cette recommandation a été modifiée : les fournisseurs ne sont plus tenus de fournir des outils d’exercice des droits mais uniquement des outils de signalement.
Outre ces changements substantiels, la Cnil a apporté des modifications destinées à clarifier le document. On peut notamment relever à ce titre le remplacement d’un tableau par une infographie concernant l’articulation entre la fenêtre de sollicitation (CMP) et les permissions techniques.
