L’utilisation généralisée des smartphones et des tablettes a favorisé l’émergence de milliers d’applications mobiles, dont le développement, la distribution et l’usage sont à l’origine du traitement d’une grande quantité de données. Or ces données, stockées dans les smartphones et tablettes, sont principalement des données à caractère personnel, lesquelles bénéficient d’une protection légale spécifique^[1].

Partant de ce constat, le groupe de travail de l’article 29 (ci-après le «G29»)^[2] a, dans un avis rendu le 27 février 2013^[3] :

–       d’une part, identifié les risques inhérents à ces applications mobiles à l’égard de la protection des données ;

–       et, d’autre part, présenté ses recommandations aux quatre principaux acteurs du secteur, à savoir : les développeurs d’applications, les plateformes de téléchargements d’applications, les fabricants de terminaux et les tiers (tels que les régies publicitaires/opérateurs de télécommunication).

Les risques et recommandations

Selon le G29, l’un des principaux risques de violation des principes de protection des données à caractère personnel concerne le manque de transparence dont font preuve les différents acteurs à l’égard des utilisateurs. En effet, ces derniers sont rarement informés du nom de l’entité qui va traiter leurs données, des types de données traitées ou encore des finalités du traitement. Le G29 souligne, par ailleurs, que de nombreux développeurs n’ont pas établi de «privacy policy» à destination des utilisateurs dans laquelle, de telles informations pourraient être mentionnées (et ce, en dépit des fonctionnalités proposées par les plateformes de téléchargement pour rendre ces informations accessibles aux utilisateurs).

Le non-respect du principe de consentement libre et informé de l’utilisateur est également pointé du doigt par le G29, qui constate que le consentement n’est pas sollicité au moment de l’installation de l’application par les utilisateurs. Selon le G29, l’utilisateur ne doit pas être contraint d’accepter l’installation de l’application à travers la mention « oui, j’accepte », mais doit avoir la possibilité de refuser celle-ci après avoir été informé notamment de la nature des données qui sont traitées dans le cadre de l’usage de cette application.

Le G29 constate également que certains acteurs ne respectent pas les finalités pour lesquelles les données ont été initialement collectées, ainsi que le principe de proportionnalité qui impose que seules les données nécessaires au fonctionnement de l’application doivent être recueillies. Le G29 précise d’ailleurs que l’application de ces principes fait obstacle notamment à ce que ces données soient utilisées par des tiers à des fins de prospection commerciale.

Enfin, l’insuffisance des mesures de sécurité mises en œuvre par les développeurs a conduit le G29 à leur recommander de ne pas transférer ni copier les données (localisées dans les smartphones ou tablettes) sur leurs propres serveurs et ce, afin de permettre aux utilisateurs de maintenir un contrôle sur leurs données. Par ailleurs, le G29 encourage la mise en œuvre, dès la création de l’application, de dispositifs techniques limitant l’accès aux seules données nécessaires au fonctionnement de l’application.

Les objectifs et perspectives

Ces différentes recommandations visent à rappeler aux différents acteurs leurs responsabilités et obligations essentielles en matière de protection des données, l’objectif étant de favoriser la création d’un environnement sûr et sécurisé pour le développement des applications mobiles.

Il conviendra de voir comment la Commission Nationale de la Protection des Données (CNPD) va appliquer ces recommandations aux différents acteurs.