La CNIL construit ses recommandations sur les données dans les applications mobiles

En quoi la récente consultation de la CNIL concernant la collecte des données dans les applications mobiles présente-t-elle un intérêt ?

PATRICE NAVARRO : Avant toute chose, il convient de rappeler que cette consultation s’inscrit dans un souci permanent de la CNIL d’améliorer la protection de la vie privée des utilisateurs et leurs données personnelles. En se penchant spécifiquement sur les applications mobiles, cette fois-ci, elle répond à l’extraordinaire évolution des usages puisque l’utilisation des téléphones portables s’est accrue de façon exponentielle, pour doubler entre 2018 et le quatrième trimestre de 2021 et s’établir à 170 millions d’heures. Avec cette consultation, la CNIL a une démarche intéressante en cherchant à identifier les enjeux économiques d’un domaine d’activité complexe, afin de mieux comprendre les conséquences de ses choix à venir en termes de régulation. C’est aussi la raison pour laquelle elle a, dans le prolongement de cette consultation, organisé des rendez-vous et des entretiens avec des professionnels tels que les fournisseurs de plateformes, les fournisseurs de systèmes d’exploitation, les éditeurs, les fournisseurs de kits de développement logiciel (SDK), mais aussi des chercheurs et des scientifiques, avant d’établir sa recommandation – dont la mise en place est prévue dès le deuxième trimestre 2023.

CÉCILE GLEYSTEEN : Dans son plan d’action 2022-2024, la CNIL avait d’ailleurs annoncé son intention d’accroître son focus sur les traitements de données personnelles dans les applications pour smartphones. En choisissant d’ouvrir un tel dialogue en vue d’établir ses guidelines, elle se met en position de mieux cerner les problématiques d’un secteur d’activité particulièrement hétérogène, où coexistent systèmes d’exploitation, développeurs d’applications, leurs distributeurs, adtechs, etc. Il est donc heureux que la CNIL mène ainsi une étude d’impact économique en amont, comme peuvent également le faire d’autres autorités comme son homologue britannique, l’ICO.

PATRICE NAVARRO : La CNIL va d’ailleurs, dans les prochaines étapes, promouvoir sa vision de l’encadrement des applications mobiles à l’échelle européenne. Cet écosystème s’étend bien sûr par-delà nos frontières et l’autorité française entend bien proposer son approche à ses homologues européennes et au CEPD pour la rendre plus efficace.

Est-ce véritablement son rôle ?

CÉCILE GLEYSTEEN : On retrouve ici l’une des missions de la CNIL, qui consiste à accompagner et conseiller les acteurs économiques. Cela est d’autant plus essentiel qu’une déclinaison à l’échelle européenne devrait permettre d’aligner les pratiques entre les pays et d’éviter les contradictions et les écarts d’interprétation. En matière d’applications mobiles, l’enjeu est réel puisque la collecte des données prend des formes extrêmement diverses. En effet, la nature du traitement des données diffère selon les applications, selon que l’on soit face à un accessoire d’un autre service existant – comme dans le domaine bancaire –, à des applications qui fournissent un contenu ou un service, ou à des instruments où l’utilisateur va générer lui-même de la donnée (comme dans la santé et le bien-être).

PATRICE NAVARRO : De telles investigations structurées autour d’interviews et de réunions ressemblent à des enquêtes sectorielles, à la différence près que leur mise en oeuvre ne répond pas en priorité à un souci d’établir des procédures de sanctions à l’encontre des protagonistes sollicités. Il s’agit, au contraire, de ressources destinées à comprendre un environnement où la complexité s’accompagne de forts enjeux juridiques : malgré les efforts déployés par chacun, il n’est pas toujours simple d’évoluer en se conformant à la législation mise en place.

Y a-t-il ici un sujet épineux ?

PATRICE NAVARRO : L’un des points centraux concerne la transparence, à savoir comment informer et faire comprendre aux utilisateurs ce qu’il se passe avec leurs smartphones et leurs données. En matière d’applications mobiles, le recueil du consentement constitue bien souvent un véritable casse-tête : il se pose dans le cadre de la configuration de l’appareil utilisé et de son système d’exploitation, mais aussi dans un environnement plus vaste puisque s’y ajoutent les applications, reposant elles-mêmes sur des SDK, mais aussi les paramètres propres aux éditeurs d’applications ainsi que des sujets interstitiels potentiellement liés aux données. Dans cet environnement un peu flou, la CNIL cherche à correctement identifier les flux de données, en vue de définir qui a le contrôle sur quoi. C’est essentiel !

CÉCILE GLEYSTEEN : La CNIL a effectivement déjà eu l’occasion de souligner le risque d’opacité des traitements de données sur mobiles lié à la diversité d’acteurs impliqués dans ce secteur. En effet, on retrouve ici plusieurs challenges : techniques – car il y a un sujet de vitesse essentiel dans l’utilisation des mobiles, censés permettre d’accéder rapidement aux contenus –, d’ergonomie – du fait d’une surface physique de consultation de l’information moindre que sur d’autres supports – mais aussi de transparence – liées à l’intervention de différents acteurs pour des opérations distinctes (ex : systèmes d’exploitation et des stores par lesquels passe la distribution des applications, partenaires d’adtech pour la publicité). Ces éléments renforcent l’importance du privacy by design sur les applications mobiles, pour s’assurer dès leur développement qu’elles intègrent tous les principes de protection des données personnelles et que l’on s’efforce de rendre ces éléments plus transparents, plus accessibles, avec une information aussi claire et concise que possible.

PATRICE NAVARRO : Cette configuration spécifique aux mobiles pose notamment des questions en matière de contrôle. À qui doit incomber la responsabilité, celle de vérifier la conformité au RGPD, vérifier la teneur des informations fournies, ou encore de vérifier le consentement valide de l’utilisateur, alors que nous sommes face à une chaîne d’intervenants ? Les autorités ont tendance à se tourner vers les opérateurs de plateformes ou les grands éditeurs, facilement identifiables, mais ce ne peut pas être leur responsabilité. Ils n’ont pas le contrôle ni la connaissance pour faire toutes les vérifications. Pousser dans ce sens reviendrait à établir un processus particulièrement intrusif et totalement fermé, mais également bien imparfait.

Existe-t-il d’autres points d’attention ?

PATRICE NAVARRO : Dans la suite logique des questions d’information viennent celles liées au consentement, abordé à la fois par le RGPD et par l’article 82 de la Loi Informatique et Libertés. Dans ce contexte, la protection des mineurs demeure un sujet majeur. Théoriquement, le consentement ne peut être donné par un mineur de moins de 13 ans, mais chaque État membre de l’Union européenne peut ajuster ce seuil entre 13 et 16 ans – c’est ainsi que la France l’a fixé à 15 ans. Ainsi, pour qu’un consentement RGPD soit valable pour un mineur de moins de 15 ans, il faut un accord conjoint des parents et du mineur. Cela pose bien sur des difficultés de collecte de ce consentement et fait l’objet de nombreux débats actuellement. À cet égard, la CNIL a déjà émis des recommandations, et même si les éditeurs ont ce sujet en tête, son traitement reste problématique en raison de la chaîne des responsabilités intrinsèque aux applications mobiles. Enfin, il faudra prêter une grande attention au sujet des données de localisation. Ce sujet est source de nombreuses incompréhensions. Ces données sont faciles à collecter depuis un téléphone, mais génèrent des risques majeurs surtout lorsqu’elles sont couplées aux identifiants uniques attribués aux utilisateurs. La localisation est au coeur des sujets transparence, consentement et minimisation.

Globalement, peut-on être satisfait de l’approche qui a été retenue ?

CÉCILE GLEYSTEEN : Le pragmatisme dont fait preuve la CNIL est très positif, à la fois dans la façon dont elle prépare ses guidelines dont la portée se veut la plus large possible, mais aussi parce que son approche laisse à penser qu’elle est susceptible d’émettre des recommandations adaptées aux différents sous-ensembles d’acteurs qui composent le secteur mobile pour prendre en compte leurs spécificités techniques et organisationnelles.

PATRICE NAVARRO : Qui plus est, la CNIL a bien fait de retenir un calendrier serré, car nous évoquons ici un domaine où les évolutions techniques sont très rapides. C’est donc une très bonne chose que de vouloir agir sans tarder et permettre à l’ensemble des membres de cet écosystème de pouvoir se positionner en toute conformité. De futures recommandations, cohérentes et publiées rapidement, pourraient conduire à des évolutions technologiques permettant de concilier l’intérêt des utilisateurs et des différents acteurs, avec le principe de privacy by design et un maximum d’ergonomie.