3h30 : c’est le temps que passent chaque jour, en moyenne, les utilisateurs sur leur smartphone. Les applications mobiles constituent ainsi l’un des principaux vecteurs d’accès aux contenus et services numériques. Pourtant, les traitements de données qu’elles mettent en œuvre sont particulièrement opaques. Non seulement les politiques de confidentialité et conditions d’utilisation sont difficilement accessibles à l’utilisateur moyen, mais surtout, ces applications accèdent, grâce aux nombreux capteurs embarqués dans les smartphones (GPS, caméra, microphone et autres), à une multitude de données, parfois sensibles (photos, données de santé, etc.), dont la collecte peut se révéler très intrusive.
C’est dans ce contexte, qui soulève des préoccupations légitimes en matière de protection de la vie privée, que la CNIL a publié, le 24 septembre dernier, une série de recommandations relatives aux applications mobiles. Destinées à l’ensemble des professionnels impliqués dans le développement et la distribution des applications mobiles (éditeurs d’application, développeurs d’application, fournisseurs de kits de développement logiciel, fournisseurs de systèmes d’exploitation, fournisseurs de magasin d’applications), ces recommandations ont été élaborées en concertation avec différents acteurs de l’écosystème (association de professionnels, fournisseur de système d’exploitation, éditeurs d’application, etc.) à la suite d’une consultation publique lancée en juillet 2023. Pour la première fois, la CNIL a également saisi l’autorité de la Concurrence, qui vient parallèlement de publier l’avis (n°23-1-20) qu’elle lui a rendu le 4 décembre 2023 et dans lequel elle souligne l’importance de prendre en compte la structure concurrentielle du secteur, notamment la position de certains acteurs comme Google et Apple. En effet, ces entreprises, présentes à tous les niveaux de la chaîne de valeur des applications mobiles (OS, magasins d’applications, SDK, etc.), ont mis en place des écosystèmes distincts avec leurs propres règles, renforçant ainsi leurs positions dominantes. L’Autorité insiste ce faisant sur la nécessité, pour la CNIL, de ne pas accentuer ces asymétries de pouvoir et de ne pas créer de barrières à l’entrée pour les nouveaux acteurs ou des contraintes supplémentaires pour les entreprises françaises. Ces préoccupations ont été prises en compte par la CNIL, qui a structuré ses recommandations de manière à ce que chaque acteur de l’écosystème dispose d’un plan d’action adapté à ses spécificités et qui rappelle, entre autres, que ses recommandations doivent s’appliquer dans le respect du droit de la concurrence et du Digital Market Act. Le texte poursuit en outre un triple objectif : clarifier et encadrer le rôle de chaque acteur en précisant le partage des responsabilités et les obligations de chacun, améliorer l’information des utilisateurs sur l’utilisation de leurs données en s’assurant que cette information soit toujours claire et accessible, et garantir un consentement libre et éclairé de la part des utilisateurs.
Une recommandation à viser pédagogique a par ailleurs été diffusée à l’intention des particuliers dans le but d’expliquer le fonctionnement de collecte des données par les applications et de prodiguer des conseils de protection. Enfin, la CNIL a annoncé qu’elle déploiera, à partir du début du printemps 2025, une « campagne spécifique de contrôle des applications mobiles pour s’assurer du respect des règles applicables ».
