Le plan d’action de la Commission nationale de l’informatique et des libertés (ci-après la « Cnil »), publié le 24 novembre 2022, porte sur les applications mobiles, lesquelles ont une place importante dans la vie quotidienne d’un grand nombre de personnes et sont souvent l’un des premiers vecteurs d’accès au numérique.

L’articulation entre les différents acteurs (développeurs de l’application, les fournisseurs de systèmes d’exploitation, les gestionnaires de magasins d’applications, les éditeurs de kit de développement logiciels liés à des réseaux sociaux ou à des fonctionnalités techniques, etc.) implique des problématiques juridiques considérables quant à leur responsabilité sur la protection et le transfert des données.

Un usage conséquent des applications mobiles.

Dans son plan d’action, la Cnil fait référence aux résultats du rapport annuel sur le marché mobile intitulé « State of Mobile 2022 » [1].

Il ressort de ce rapport [2], qu’en France, en 2021 :
 2, 25 milliards de dollars ont été dépensés sur les applications mobiles ;
 2,07 milliards d’applications mobiles ont été téléchargées ;
 les Français ont utilisé des applications mobiles durant 170 millions d’heures au quatrième trimestre 2021, soit presque le double du temps passé au premier trimestre 2018.

Le plan d’action de la Cnil met en évidence trois grandes étapes :

Étape 1 : une veille et un dialogue pour mieux comprendre le secteur des applications mobiles.

Cette première étape a pour objectif d’appréhender le secteur des applications mobiles et l’articulation entre la protection de la vie privée et l’utilisation des applications mobiles.

La Cnil privilégie le dialogue auprès des acteurs concernés afin d’éveiller les sensibilités au regard de la protection des données personnelles et de protection de la vie privée.

À ce titre, la Cnil a rencontré différents acteurs représentatifs de l’écosystème des applications mobiles : fournisseurs de systèmes d’exploitation, développeurs d’applications, fournisseurs de SDK, kit de développement logiciel, etc.

Le 28 juin 2022, la Cnil a également organisé le Privacy Research Day, la première conférence internationale de la Cnil consacrée à la recherche sur la vie privée.

Sur le même sujet, le Prix Cnil-Inria 2021 [3] a été décerné à une équipe de recherche hispano-américaine pour leur article « 50 Ways to Leak Your Data : An Exploration of Apps’ Circumvention of the Android Permissions System ».

Cet article développe la manière dont les applications Android contournent les protections mises en place par le système d’exploitation et accèdent à des informations à l’insu des utilisateurs.

Par ailleurs, le Laboratoire d’innovation de la Cnil a engagé des travaux sur certaines données dites « sensibles » en lançant une étude sur les données de géolocalisation [4] obtenues via des applications mobiles.

Cette étude fait écho au rapport du 25 mai 2022 [5] de l’organisation Human Rights Watch, qui affirme que sur 163 produits de technologie éducative aussi appelés « EdTech », 145 surveillaient ou avaient la capacité de surveiller les enfants [6], en dehors des heures de classe et au cœur de leur vie privée.

Cette surveillance s’illustre notamment par un procédé de géolocalisation dont n’a pas connaissance ou n’a pas pris conscience l’enfant [7].

Étape 2 : un accompagnement et une communication dédiés.

Sur la base des travaux menés dans l’étape 1 du plan d’action, la Cnil publiera des recommandations sur le sujet des applications mobiles pour permettre une compréhension claire des obligations et du processus de mise en conformité de chaque acteur.

La Cnil entend également publier des outils pratiques tels que des guides pratiques ou des checklists d’auto-évaluation, à destination des utilisateurs des applications mobiles pour les sensibiliser aux risques et impacts que représente le traitement de leurs données sur ces applications.

Les applications à destination d’un public vulnérable ou traitant des données sensibles (applications médicales ou destinées aux enfants, par exemple) feront l’objet de travaux spécifiques.

Étape 3 : des contrôles et des sanctions à la mesure des enjeux.

En adéquation avec ce qui a été mis en place pour les actions liées aux cookies et autres traceurs [8], la Cnil pourra décider de mettre en œuvre un plan de contrôle de grande ampleur.

La Cnil accentuera ses contrôles [9] sur les traitements susceptibles d’engendrer des risques spécifiques importants pour les personnes notamment ceux ciblant des publics vulnérables ou collectant des données personnelles de manière particulièrement intrusive.

En fonction de la nature et de l’ampleur des manquements constatés lors de son contrôle, la Cnil pourra prendre des mesures correctrices.

Pour rappel, le montant des sanctions pécuniaires pouvant être prononcées par la Cnil peut s’élever à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, conformément à l’article 83 du Règlement général sur la protection des données personnelles.

À travers son plan d’action, la Cnil a donc pour objectif d’accompagner les acteurs concernés par le développement des applications mobiles dans leur mise en conformité pour protéger la vie privée de leurs utilisateurs.

Debora Cohen, Avocat au barreau de Paris, en protection des données personnelles et DPO externalisé Mail: [->debora.cohen@dcavocat.com] Site: https://www.dcavocat.com/