Application mobiles, préparez-vous aux contrôles de la CNIL : Regards croisés entre experts juridiques et techniques sur les recommandations de la CNIL

Dans ce Regards Croisés, Nasséma Mahmoudi, Consultante Senior et ancienne DPO, et Romain Linotte, Consultant Senior et expert en collecte de données sur les applications, reviennent sur les dernières recommandations de la CNIL relatives aux applications mobiles. 

Pourquoi la conformité des applications mobiles est-elle un sujet prioritaire pour les entreprises en 2025 ?

Nasséma: Car la CNIL prévoit une campagne de contrôle dédiée aux applications mobiles dès le printemps 2025.

Cette campagne est l’aboutissement d’une stratégie initiée en 2022, lorsque la CNIL avait dévoilé son plan d’action en trois étapes : 

• consultation des acteurs de l’écosystème mobile pour mieux comprendre les enjeux du secteur,
• publication de guides pour accompagner les professionnels et les utilisateurs, 
• contrôles ciblés pour renforcer la conformité.

En 2023, le régulateur avait également désigné le traçage des utilisateurs par les applications mobiles comme une priorité de contrôle, confirmant son exigence d’une stricte application du RGPD par les acteurs du secteur. La publication, le 24 septembre 2024, de la version finale de sa recommandation apporte la dernière pierre à cet édifice. 

Romain: D’un point de vue technique, alors que la CNIL a précisé au fil des années les règles applicables au web, l’environnement mobile est plutôt resté en retrait. Faute de recommandations spécifiques, les éditeurs et développeurs d’applications ont dû adapter tant bien que mal les exigences de l’autorité à leurs propres contraintes.

Avec la publication de la “Recommandation relative aux applications mobiles” en septembre dernier, les attentes de la CNIL sont désormais claires, et l’autorité a d’ores et déjà annoncé initier une phase de contrôles spécifiques pour le printemps 2025. Les entreprises doivent donc se préparer dès maintenant, en mettant en place des solutions techniques conformes pour éviter sanctions et perte de confiance des utilisateurs.

Quelles sont les particularités de l’environnement mobile ? Pourquoi est-il complexe d’en assurer la conformité au RGPD ?

Romain: L’environnement mobile est particulièrement complexe à sécuriser et à rendre conforme au RGPD en raison de sa structure technique. Les applications peuvent collecter des données en continu (géolocalisation, identifiants uniques, biométrie), et intègrent souvent des SDK tiers qui échappent au contrôle direct des développeurs. 

De plus, les règles imposées par les systèmes d’exploitation, comme l’App Tracking Transparency d’Apple ou les restrictions d’Android, compliquent encore la gestion du consentement et la traçabilité des flux de données.

Nasséma: D’un point de vue juridique, la conformité des applications mobiles au RGPD est un défi, car elle implique une multiplicité d’acteurs aux responsabilités imbriquées : développeurs, éditeurs, fournisseurs de SDK, de magasins d’applications (app stores), et de système d’exploitation (OS). 

Il est souvent difficile d’identifier clairement les rôles (responsable de traitement, sous-traitant, tiers) et les responsabilités de chacun de ces acteurs, d’autant plus que certains portent simultanément plusieurs casquettes (Apple et Google, notamment).

De plus, les éditeurs d’application doivent jongler à la fois avec l’adaptation de leurs obligations réglementaires à l’environnement applicatif – par exemple, assurer une information complète de la personne concernée sans pour autant ruiner l’expérience utilisateur – mais également avec les politiques imposées par les OS, notamment en matière de permissions.

Quels sont les impacts concrets et les changements apportés par cette nouvelle recommandation de la CNIL ?

Nasséma:  Ces recommandations ne modifient pas fondamentalement les règles déjà applicables en matière de protection des données personnelles. En revanche, elles permettent d’apporter des précisions sur les attentes de la CNIL quant à la conformité des applications mobiles. 

Le régulateur s’intéresse à tous les acteurs de l’écosystème mobile : éditeurs, développeurs, fournisseurs d’OS, de magasins d’applications, et de SDK, en clarifiant et encadrant leurs responsabilités respectives. Elle propose pour chacun d’entre eux une “checklist” synthétique permettant d’évaluer son niveau de conformité. 

Ces recommandations prennent en compte les problématiques spécifiques à l’environnement mobile, en mettant notamment l’accent sur le rôle du consentement et son articulation avec les permissions techniques, que la CNIL illustre à l’aide de cas d’usage pratiques. Une attention particulière est également portée sur la maîtrise des SDK : les éditeurs et développeurs doivent être vigilants lors de leur sélection et obtenir des informations afin de documenter leur propre conformité. 

Romain: Sur le plan technique, ces recommandations viennent formaliser des obligations déjà mises en œuvre par de nombreuses équipes mobiles, mais souvent de manière incomplète. La gestion du consentement, la limitation des permissions et le contrôle des SDK tiers sont déjà des préoccupations courantes pour la majorité des équipes apps. 

Cependant, cette officialisation et les futurs contrôles vont pousser certaines équipes à rattraper leur retard sur certains points de conformité ou aller encore plus loin dans leurs bonnes pratiques. 

 Comment les entreprises peuvent-elles se préparer efficacement à la campagne de contrôles de la CNIL prévue pour le printemps 2025 ?

Nasséma: Comme pour toute démarche de conformité, la première étape consiste à définir clairement le périmètre de l’audit. Dans le cas d’une application mobile, cela implique de cartographier, de manière exhaustive, les traitements associés à son utilisation et l’architecture technique sous-jacente. 

Il faudra ensuite analyser et documenter la conformité de chaque traitement identifié au regard de la recommandation de la CNIL, en accordant une attention particulière à l’information et le consentement des utilisateurs, ainsi qu’aux relations avec les prestataires, en particulier les développeurs et les SDK.

Romain: Il est essentiel d’intégrer les équipes juridiques, de sécurité et métiers dès le début du processus de conformité. C’est la collaboration entre ces différentes parties prenantes qui permettra de garantir une vision exhaustive du périmètre applicatif et d’assurer que les mesures techniques respectent à la fois les obligations réglementaires et les bonnes pratiques en matière de traitement et de sécurité des données personnelles.

Cela inclut l’analyse des flux de données, la gestion des permissions et la mise en œuvre des correctifs nécessaires, tels que la mise à jour des CMP et le renforcement de la sécurité. Cette approche collaborative garantit une mise en conformité rapide et efficace, d’autant plus cruciale à l’approche de la deadline fixée par la CNIL au printemps  2025.