Article IT et données personnelles | 26/09/24 | 10 min. | Florence Chafiol Renaud Christol Robin Nini Maëva Ammel
Le 24 septembre 2024, la CNIL a publié ses recommandations relatives aux applications mobiles.
Elles doivent accompagner tous les acteurs de la chaîne de valeur des applications mobiles afin qu'ils mènent leurs activités en conformité avec la réglementation en vigueur.
les préoccupations de l’Autorité de la concurrence sur le projet de recommandationsPour la première fois, l’Autorité de la Concurrence (« l’Autorité ») a été saisie par la CNIL pour avis sur un projet de recommandation. Cette saisine concrétise les engagements pris par ces deux autorités administratives indépendantes dans leur déclaration conjointe de décembre 2023.
L’objectif de la CNIL était de s’assurer que ses recommandations protègent efficacement les données à caractère personnel des utilisateurs d’applications mobiles sans, pour autant, porter atteinte à une concurrence libre et non faussée.
Dans son avis du 4 décembre 2023[1], qu’elle vient de publier, l’Autorité a insisté sur la nécessité de prendre en compte, dans l’élaboration par la CNIL de ses recommandations, la structure concurrentielle du secteur, et en particulier la position de certains acteurs.
Elle a constaté que des acteurs comme Google et Apple sont présents à tous les niveaux de la chaîne de valeur des applications mobiles. Ils sont à la fois fournisseur d’OS, de magasins d’applications et de SDK, éditeurs, développeurs et fournisseurs d’autres services.
Cette intégration verticale leur a permis de mettre en place des écosystèmes distincts pour lesquels ils établissent des règles spécifiques.
En outre, ils sont susceptibles de détenir une position dominante sur certains marchés de la chaîne de valeur et ont été désigné « contrôleurs d’accès » au sens du DMA pour plusieurs de leurs services.
Il était donc crucial que les recommandations de la CNIL ne viennent pas renforcer les asymétries de pouvoirs de marché au profit de ces opérateurs verticalement intégrés.
L’Autorité soulignait également que les recommandations de la CNIL ne devaient pas créer des barrières à l’entrée supplémentaires pour de nouveaux entrants sur le marché français ni des désavantages en termes de coûts ou de contraintes pour les entreprises établies en France.
La CNIL a tenu compte de ces préoccupations.
Elle a structuré ses recommandations pour que chaque acteur de l’écosystème dispose d’un plan d’actions personnalisé[2].
LES RECOMMANDATIONS DE LA CNIL ONT ÉTÉ ADAPTÉES POUR TENIR COMPTE DES PRÉOCCUPATIONS
L’éditeur est l’acteur clé de l’écosystème. Il met l’application mobile à disposition des utilisateurs (le plus souvent par l’intermédiaire d’un ou plusieurs magasins d’applications) pour proposer ses produits et services.
Il définit le modèle économique, le mode de financement de l’application et détermine les fonctionnalités attendues de l’application.
En tant que responsable de traitement, l’éditeur doit notamment s’assurer de la prise en compte de la protection des données à caractère personnel dès la phase de conception de l’application (privacy by design) en identifiant les traitements de données à caractère personnel réalisés dans l’application et les règles applicables à ces traitements.
Afin de tenir compte de la spécificité technique du terminal utilisé, les recommandations contiennent notamment des instructions pratiques sur les éléments suivants :
Le développeur effectue la réalisation technique de l’application pour le compte de l’éditeur sur la base d’un cahier des charges établi et communiqué par ce dernier.
Les recommandations visent principalement à aider l’éditeur et le développeur à déterminer le rôle du développeur dans le traitement de données (responsable de traitement ou sous-traitant) selon la latitude qui lui est accordée dans le projet.
Par ailleurs, la CNIL fournit une grille de lecture sur le rôle de conseil que le développeur doit jouer auprès de l’éditeur pour l’accompagner dans ses choix techniques pour assurer la conformité de l’application au RGPD et aux recommandations de la CNIL.
Le fournisseur de SDK offre un ensemble d'outils pour le développement de l’application, en fonction du système d’exploitation utilisé. Le recours, très fréquent, à des SDK s’explique par leur capacité à faciliter ou accélérer le développement de fonctionnalités logicielles, et à éviter au développeur d’écrire l’intégralité du code de l’application.
Les recommandations de la CNIL accompagnent les fournisseurs dans la mise en œuvre des SDK notamment lorsque le SDK collecte des données pour des traitements qui lui sont propres.
La CNIL émet également des recommandations pratiques de nature à permettre une action concertée entre l’éditeur et le fournisseur de SDK pour que les traitements réalisés par le SDK soient portés à la connaissance de l’utilisateur et que ce dernier puisse fournir un consentement libre et éclairé.
Il met à disposition le système d’exploitation spécialement configuré et installé sur le terminal mobile de l’utilisateur, environnement dans lequel l’application sera par la suite exécutée.
Les recommandations à destination des fournisseurs d’OS se concentrent principalement sur :
Il met à disposition une plateforme de distribution en ligne des applications, sous la forme d’une application accessible sur le terminal de l’utilisateur depuis un système d’exploitation compatible (par exemple l’App Store pour un terminal doté du système d’exploitation iOS d’Apple, ou le Play Store pour un terminal doté du système d’exploitation Android de Google). Le fournisseur du magasin d’applications est fréquemment, mais pas systématiquement, le fournisseur du système d’exploitation.
Les recommandations émises par la CNIL aux fournisseurs de magasins d’applications visent principalement à s’assurer de :
Dans son communiqué de presse du 24 septembre 2024, l’Autorité se « réjouit de constater la prise en compte de ses préconisations par la CNIL dans ses recommandations pour concilier une protection effective des droits fondamentaux des utilisateurs avec un environnement concurrentiel dynamique dans le secteur des applications mobiles ».
On le sait, depuis l’affaire Facebook devant le Bundeskartellamt, les autorités de concurrence ont toutes identifié les données comme un facteur puissant de concurrence et, par conséquent, un terreau potentiellement fertile pour les pratiques anticoncurrentielles.
Les recommandations de la CNIL concernant les applications mobiles démontrent que la déclaration conjointe de décembre 2023 ne se limite pas à une simple déclaration d’intention, mais qu'elle a effectivement donné lieu à des actions concrètes.
L’Autorité et la CNIL entendent collaborer pour prévenir, voire sanctionner, les usages abusifs des données. Ces recommandations marquent donc vraisemblablement la première étape d’une coopération étroite entre ces deux autorités.
À noter que la CNIL a annoncé initier dès le printemps 2025 une série de contrôles sur le respect de ces recommandations.
[1] Avis n°23-A-20 du 4 décembre 2023 relatif au projet de recommandation de la CNIL relative aux applications mobiles.
[2] CNIL, Recommandation relative aux applications mobiles, Septembre 2024.