Les recommandations du G29 sur les applications mobiles pour smartphones ou tablettes
RSS CNIL - , 9/04/2013
Aujourd'hui, 24 millions de français possèdent un smartphone et près d'1 million d'applications sont disponibles. Chaque jour, sur nos smartphones ou nos tablettes, des services et produits innovants, utiles ou simplement distrayants, apparaissent par le biais d'applications - gratuites ou payantes - à télécharger. Les applications font donc partie du quotidien de tout utilisateur de smartphone ou de tablettes. Or, elles sont à l'origine du traitement d'une grande quantité de données...
Dans ce contexte, le groupe des CNIL européennes (G29) a souhaité préciser les règles applicables aux smartphones en matière de protection des données. Dans un avis publié le 14 mars 2013, le G29 a ainsi formulé des recommandations à l'égard des 4 grandes catégories d'acteurs impliqués dans l'écosystème des smartphones : les développeurs d'applications, les fournisseurs de système d'exploitation et les fabricants de terminaux mobiles, les magasins d'applications ainsi que des tiers, comme les régies publicitaires ou les opérateurs de télécommunications. Cet avis leur rappelle leurs responsabilités et leurs obligations essentielles au regard de la protection des données personnelles.
Ces recommandations portent en particulier sur :
- La nécessaire limitation des données traitées dans le cadre de l'utilisation de smartphones : le principe de " privacy by design " doit conduire les développeurs d'application à une minimisation des données collectées (seules les données nécessaires au fonctionnement de l'application doivent être recueillies) ; les smartphones ne devraient pas donner lieu à une identification permanente via un identifiant spécifique et, pour éviter un traçage continu des utilisateurs, il convient donc de recourir à des identifiants temporaires ou ciblant une application ou une catégorie d'applications.
- L'impératif de transparence à l'égard des utilisateurs : tous les acteurs de cet écosystème doivent fournir aux personnes concernées des informations claires sur les données traitées, les finalités de chaque application et les possibles réutilisations des données, notamment lorsque celles-ci sont transmises entre ces différents acteurs ; pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d'application, des standards (en particulier de sécurité et de règles d'accès aux données) et des règles simples d'utilisation doivent être proposés par les créateurs de systèmes d'exploitation et les magasins d'application doivent offrir des moyens d'information adéquats aux utilisateurs avant le téléchargement de toute application.
- L'amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d'une application, de même qu'avant toute modification substantielle de ses conditions de mise en œuvre ; ce consentement, y compris pour les applications installées par défaut sur un smartphone, doit être préalable à l'utilisation de l'application (" opt-in "), détaillé (allant bien au-delà la proposition installer/ne pas installer) et non définitif (possibilité de retrait effectif du consentement de manière simple et accessible) ; les tiers, qui n'ont pas de contact direct avec les utilisateurs mais à qui les données sont transmises, doivent également s'assurer du recueil de ce consentement avant toute utilisation des informations.
- L'attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d'établir le profil social d'une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique ; cette information doit être en particulier adaptée lorsque les applications ciblent des enfants.