Apps mobiles : du nouveau dans les recommandations de la CNIL

Est-ce plus approprié de dire d'une localisation qu'elle est "précise" ou "approximative" plutôt que "fine" ou "grossière" ?

La CNIL a en tout cas apporté ce changement terminologique à ses recommandations sur les applications mobiles. De même, elle ne parle plus de "viser" un traitement dans un acte contractuel, mais de le "mentionner". Il n'est, par ailleurs, plus question d'identifiants d'individus, mais d'identifiants de terminaux et de réseau pouvant être reliés à des individus.

Parallèlement, certains renvois, comme celui relatif à la définition de la donnée sensible, sont reformulés. Quant au tableau sur l'articulation du recueil du consentement et des permissions, il devient une infographie.

À défaut de changements sur le fond, la CNIL apporte diverses précisions. Par exemple concernant le développement d'applications. La version initiale des recommandations posait que l'éditeur peut effectuer la tâche en interne ou la confier à un développeur externe. Et que dans le premier cas, éditeur et développeur se confondent. La version mise à jour ajoute que "dans le second cas, éditeur et développeur sont deux entités distinctes liées contractuellement".

Des rectficiations concernant les fournisseurs de SDK

Une autre modification touche aux fournisseurs de SDK. La CNIL précise que ces derniers sont responsables des traitements qu'il mettent en oeuvre pour leur propre compte via ces SDK. Et que cette collecte doit être prévue contractuellement avec l'éditeur.

Les qualifications de ces mêmes acteurs font l'objet d'un cas illustratif. En l'occurrence, la lecture et le traitement d'une donnée de localisation par une application via un SDK pour le seul compte de l'éditeur. Dans l'exemple donné, le fournisseur du SDK participe au traitement de l'information afin de permettre à l'éditeur de connaître son audience.
Les recommandations initiales établissaient que l'éditeur et le fournisseur du SDK étaient responsables conjoints du traitement, "car ils participent de manière conjointe à la détermination des finalités et des moyens de traitement". Désormais, seul l'éditeur est considéré comme responsable du traitement. Le fournisseur du SDK est sous-traitant, "car il ne poursuit aucune finalité propre".

Il y a également du nouveau sur les traitements que les développeurs mettent en place pour leur propre compte. À ce sujet, on nous explique que "l'éditeur de l'application doit être informé de ces traitements et les avoir acceptés, par exemple via les éléments contractuels". La phase s'arrête dorénavant là : plus de référence à l'article 6.4 du RGPD. Et plus de renvoi vers une synthèse que la CNIL avait publiée en janvier 2022 ("Sous-traitants : la réutilisation des données confiées par un responsable de traitement").

Illustration générée par IA