Toute application mobile qui comporte des données personnelles doit être mise en conformité avec le Règlement général sur la protection des données (RGPD).

La CNIL a d’ailleurs prévu de mener une campagne de contrôles de conformité des applications mobiles au printemps 2025. 

La protection de la vie privée est d’autant plus importante au regard des chiffres impressionnants de nos « temps d’écran » : les français auraient passé en moyenne 4,6 heures devant leurs écrans en 2023

1. Etes vous concernés par cette campagne de contrôle ?

Très probablement ! 

En effet, les applications mobiles comportent des données personnelles : il s’agit de toutes les informations qui permettent d’identifier directement ou indirectement une personne physique, c’est-à-dire les nom, prénom, numéro de téléphone, adresse e-mail, adresse IP, données de localisation etc. 

La CNIL a donc publié des recommandations, dès septembre 2024, à destination de l’ensemble des acteurs impliqués dans le développement et la mise à disposition des applications mobiles. 

2. Identifier votre rôle et vos responsabilités 

Les éditeur d’application, fournisseur de SDK, développeur, fournisseur de système d’exploitation et fournisseur de magasin d’application sont soumis à la législation sur la protection des données personnelles. 

En tant qu’éditeur, il est nécessaire de formaliser votre rôle et d’encadrer les responsabilités par un contrat avec vos prestataires (fournisseurs ou développeurs). 

En tant que développeur, il faudra, en outre, se référer au Guide RGPD du développeur élaboré par la CNIL

3. Comment mettre en conformité votre application mobile ? 

  • Être transparent envers les utilisateurs

Il est nécessaire d’informer les utilisateurs de votre application de l’utilisation qui est faite de leurs données notamment par le biais d’une politique de confidentialité. 

Cette politique de confidentialité devra être distincte des mentions légales, des conditions générales d’utilisation (CGU) de l’application, des éventuelles conditions générales de vente (CGV), et de la politique cookies. 

Cette obligation de transparence implique également la mise en place d’une procédure de gestion des droits des personnes en interne, afin que vous puissiez gérer les demandes entrantes dans le délai d’un mois, imposé par le RGPD. 

  • Mettre en place un système de recueil de consentement éclairé 

Le consentement des personnes, notamment à des fins de ciblage publicitaire doit être éclairé. Autrement dit, l’utilisateur ne doit pas être contraint d’accepter les cookies et traceurs non nécessaires, et il doit pouvoir être en mesure de retirer son consentement aussi facilement qu’il a pu le donner.  

  • Prendre des précautions particulières en cas d’utilisation de la biométrie 

Attention, en cas d’utilisation d’un dispositif d’authentification par la biométrie, vous devrez prendre des mesures supplémentaires et, éventuellement, réaliser une Analyse d’impact sur la protection des données (AIPD). 

La CNIL a d’ailleurs émis des recommandations particulières au sujet de la biométrie dans les smartphones des particuliers. 

4. Gérer votre conformité au RGPD de façon globale 

Plus généralement, il faudra également penser à votre conformité au RGPD de façon globale : Avez-vous désigné un DPO ? Avez-vous créé un registre des traitements, des politiques et procédures relatives à la sécurité et à la protection des données ? 

5. Que risquez-vous en cas de défaut de conformité ? 

La CNIL dispose d’un pouvoir de contrôle (en cas de plainte mais également en s’auto saisissant) et de sanction. 

La sanction peut être publique ou non, et peut être une amende s’élevant au maximum à 4% de votre chiffre d’affaire annuel mondial ou 20 millions d’euros d’amende, le montant le plus élevé étant retenu. 

Le défaut de coopération avec la CNIL étant sanctionné, il est fortement recommandé de répondre à ses sollicitations. 

Pour toute information complémentaire, vous pouvez me contacter à jessy.pollux@avocat.fr