Dans cet article, nous allons donc faire le tour des différents points à prendre en compte pour vous assurer que vos applications mobiles, lorsqu’elles traitent des données personnelles, soient bien conformes aux règles établies par le RGPD.
Comment savoir si vos applications mobiles sont concernées par le RGPD ?
Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données à caractère personnel) entrait en vigueur, venant modifier la Loi Informatique et Libertés de 1978.
Ce nouveau règlement encadre le traitement des données personnelles sur le territoire de l’Union européenne.
Il vient harmoniser les règles qui existent déjà en Europe, en offrant un cadre juridique unique aux professionnels.
Le RGPD concerne donc tout organisme, public ou privé,
- quels que soient sa taille, son pays d’implantation et son activité,
- qui traite des données personnelles pour son compte ou non,
- dès lors qu’il est établi sur le territoire de l’Union européenne, ou que son activité cible directement des résidents européens.
Une entreprise qui souhaite mettre à disposition de ses clients ou de ses employés, une application mobile, est-elle concernée par le RGPD ?
Oui, si cette entreprise souhaite traiter, au travers de l’application mobile, des données personnelles de personnes situées sur le territoire européen.
Cette entreprise est (désormais) tenue de s’assurer que la manière dont elle traite les données personnelles collectées au travers de l’application mobile, est conforme au RGPD.
Traiter les données au sens RGPD,
cela signifie ce que l’on met en place à chaque étape du cycle de vie des données, c’est-à-dire pendant :
- leur collecte,
- leur conservation,
- leur sauvegarde,
- leur exploitation,
- leur modification,
- leur communication,
- leur archivage,
- jusqu’à leur destruction.
Tout cela doit être documenté dans le registre des traitements* afin de disposer d’une vue d’ensemble de tout ce que vous faites avec les données personnelles et de pouvoir démontrer votre conformité au RGPD.
Qu’est-ce qu’une donnée personnelle ?
Pour fournir les services pour lesquels elles ont été conçues, certaines applications mobiles peuvent collecter des données personnelles de leurs utilisateurs.
En clair, une donnée personnelle, c’est une information se rapportant à une personne physique identifiée ou identifiable.
Cela peut-être un identifiant tel que son nom, prénom, numéro de téléphone ou encore des données de localisation, mais aussi des informations spécifiques à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Toutes les données personnelles sont-elles équivalentes ?
Non : parmi les données personnelles, il y a des données sensibles – par exemple les données de santé, l’origine raciale ou ethnique, les convictions religieuses, les opinions politiques – qui font l’objet d’un régime juridique de protection renforcé.
Les données de santé, notamment font l’objet de dispositions particulières en matière d’échange et de partage, d’hébergement, d’exploitation, etc.
Selon la CNIL, dès lors que l’application collecte ou traite des données personnelles et qu’elle propose des fonctionnalités permettant d’assurer un service à distance à son utilisateur ou qu’elle comporte une connexion extérieure (ex : sauvegarde des données dans le cloud), le RGPD s’applique.
RGPD et applications mobiles : responsabilités liées au traitement des données
Le RGPD désigne comme Responsable du traitement, la personne physique ou morale qui détermine les finalités de l’application mobile et la nature des services qu’elle assure.
Il s’agit donc le plus souvent du « propriétaire de l’application ».
Son rôle est de s’assurer que le traitement des données personnelles réalisé au sein de l’application mobile est conforme au RGPD.
Il est à noter que les responsabilités peuvent être partagées : si le déploiement de l’application implique un traitement, l’éditeur de l’application (la personne physique ou morale en charge de sa conception) peut, en tant que sous-traitant, avoir une responsabilité conjointe.
Il doit dans ce cas veiller lui aussi à la sécuritédes données à caractère personnel qu’il traite.
RGPD et applications mobiles : règles de conduite
Prendre en compte le RGPD dès la conception de l’application (privacy by design) et par défaut (privacy by default)
Cela signifie que les entreprises doivent :
- tenir compte des principes visant à la protection des données personnelles dès la phase de conception de l’application mobile ;
- définir les paramétrages par défaut respectueux des droits et des libertés des personnes concernées par les traitements de données.
Ces principes sont les suivants :
- licéité,
- loyauté et transparence ;
- limitations de la finalité ;
- minimisation des données ;
- exactitude ;
- limitations de conservation ;
- intégrité et
- confidentialité.**
Nous allons préciser certains de ces termes juste après mais, par exemple, il est nécessaire de :
- définir la finalité de l’application mobile en amont de sa conception, pour pouvoir préciser quelles données il sera pertinent de collecter.
- mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données, dès la conception de l’application.
- faire en sorte dès la conception que seules les données à caractère personnel nécessaires à la mise en œuvre de la finalité de l’application soient traitées.
Collecte de données personnelles via l’appli mobile : précautions à prendre
À tous les endroits de votre application où vous collectez des données personnelles, il faut :
Informer l’utilisateur de l’appli mobile que vous souhaitez utiliser ses données et à quelle fin.
Cette finalité doit être déterminée, explicite et légitime.
C’est le principe de licéité, loyauté et transparence.
Obtenir le consentement de l’utilisateur avant de collecter les données, par un acte volontaire et positif.
Cela peut se faire, par exemple, par le biais d’une case que la personne doit cocher pour donner son consentement ; mais en aucun cas, par le biais d’une case pré-cochée, que la personne devrait décocher pour indiquer qu’elle n’est pas d’accord.
Lorsque le consentement est obtenu, ne l’utiliser que pour ce qui a été énoncé.
On ne peut utiliser le consentement pour une autre finalité (il faut alors redemander le consentement).
C’est le principe de limitations de finalité.
Ne collecter que les données nécessaires à la réalisation du service attendu.
C’est le principe de minimisation des données.
Par exemple, on ne demande pas d’accéder au carnet d’adresses de la personne ou d’activer sa géolocalisation si on n’en a pas expressément besoin pour rendre le service attendu.
Découvrez à ce sujet l’infographie très explicite réalisée par la CNIL « Il était une fois, Antoine et son smartphone »***.
Informer clairement l’utilisateur de l’appli sur ses droits et la manière de les exercer.
Il s’agit des droits d’être informé, d’accès aux données, de rectification, de portabilité, d’opposition, de contestation, de limitation du traitement et de suppression.
L’utilisateur doit par exemple être en mesure de suspendre le service offert à tout moment et de manière simple.
On doit lui donner la possibilité de récupérer ses données à caractère personnel pour les transmettre à un autre responsable de traitement (par exemple un concurrent), sans y faire obstacle.
Toutes ces informations doivent clairement apparaître dans les termes et conditions de votre application mobile.
RGPD et applications mobiles : confidentialité et sécurité des données personnelles
Toutes les données personnelles que collecte votre appli mobile doivent être sécurisées.
C’est le principe d’intégrité et de confidentialité.
En tant que responsable du traitement, vous devez assurer leur confidentialité et leur sécurité, en mettant en place les mesures adaptées en fonction des risques encourus.
Ces mesures doivent être détaillées dans le registre des traitements*.
Le RGPD donne des règles de conduite précises dans ce domaine : il est nécessaire notamment de préciser où vous conservez les données que vous collectez et ce que vous mettez en place pour en assurer la sécurité.
Selon la nature des données collectées ou leur finalité, il sera peut-être nécessaire de mener une analyse d’impact sur la Protection des Données (DPIA) ****.
Conservation des données personnelles collectées via l’appli mobile
On ne peut conserver les données que le temps nécessaire à la finalité de l’application.
Sauf bien sûr, si l’utilisateur consent à vous donner le droit de les conserver plus longtemps.
C’est le principe de limitations de conservation.
Donc, dans la plupart des cas, les données collectées ne doivent pas être conservées au-delà de la suppression ou de l’inactivité du compte.
Cette limitation de la conservation doit être indiquée à l’utilisateur, dans l’application mobile (au moment de la collecte ou dans les termes et conditions).
En conclusion,
nous vous recommandons donc de :
- vérifier la conformité RGPD de vos applications mobiles existantes (si elles traitent des données personnelles) ;
- et de prévoir d’inclure dans le cahier des charges de vos futures applications mobiles, lorsqu’elles traitent des données personnelles, les principes clés du RGPD.
Rappelons ici, que la loi prévoit des amendes substantielles en cas de non-respect de ces principes.
Cette mise en application du RGPD, si elle est considérée parfois par les entreprises comme une contrainte supplémentaire, peut également être vue comme un argument marketing de poids, puisqu’elle vise à respecter la vie privée de vos utilisateurs, bien malmenée ces derniers temps par les grands acteurs du web.
Elle constitue donc un moyen de renforcer la confiance de vos clients envers votre marque et dans la qualité des services que vous leur offrez.
Vous souhaitez réagir ou en savoir plus ?
On vous offre un café et, en bonus, la check-list RGPD, pour ne rien oublier des principes clés du RGPD dans le cahier des charges de votre app.
Vous êtes partant(e) ?