Sweep Day. La Cnil a annoncé hier une seconde opération Sweep Day (1), après celle tenue, il y a quelques mois sur les sites internet. La cible : les applications mobiles. Elle a indiqué que dans ce cadre, elle examinerait 100 applications mobiles, le 13 mai. Cette opération est une opération internationale qui est relayée par une vingtaine d’autorités de protection des données rassemblées au sein du Global Privacy Enforcement Network (GPEN).
Ce réseau a été créé par une recommandation de l’Organisation de coopération et de développement économiques (OCDE) en 2007 pour faciliter la coopération tranfrontalière entre autorités de protection des données.
Ce réseau informel a pour objet de :
- « débattre des aspects pratiques de la coopération pour l’application des lois protégeant la vie privée,
- échanger des pratiques exemplaires face aux problèmes transfrontières,
- œuvrer à la définition de priorités communes en matière d’application des lois, et
- soutenir des initiatives et campagnes conjointes en matière d’application des lois et de sensibilisation » (2).
Chacune des autorités participantes à l’opération Sweep Day consacrera une journée pour examiner une sélection d’applications.
La Cnil a annoncé qu’il sera procédé à l’examen des applications mobiles selon une grille d’analyse commune aux différentes autorités. Elle n’a pas communiqué cette grille, néanmoins, elle a précisé qu’elle vérifiera « si les utilisateurs de terminaux mobiles (smartphones et tablettes tactiles) équipés des systèmes d’exploitation iOS (iPhone), Android et Windows phone sont informés des conditions de traitement de leurs données personnelles » (3).
En particulier, elle vérifiera si les mentions d’information sont claires et compréhensibles et « si elles portent sur :
- Le type de données collectées (localisation, contacts, identifiant de l’appareil, etc.),
- La raison pour laquelle ces données sont collectées,
- L’éventuelle transmission des données à des tiers,
- La possibilité de s’opposer à la collecte et à la transmission des données » (3).
La commission a annoncé que dans l’hypothèse « où des manquements importants à la loi seraient révélés » qu’elle « se réserve la possibilité d’effectuer des contrôles et, le cas échéant, d’engager des procédures de sanction ».
A cet égard, il convient de remarquer que, si la Cnil, dans le cadre de la première opération Internet Sweep Day, s’était rapprochée de sites pour lesquels elle avait constaté des manquements à la loi pour que « ceux-ci améliorent l’information fournie aux personnes dont elles collectent des données » (3), elle n’excluait également pas des procédures contraignantes.
Dans ce contexte, il est recommandé aux éditeurs d’applications mobiles d’effectuer au plus vite une revue de leur politique de protection des données sur les applications mobiles qu’elles éditent. En particulier, les problématiques de géolocalisation, de finger device printing devront être regardées. Les formulaires de collecte in app devront être audités et une politique de protection affichée.
Céline Avignon
Lexing Droit Application mobile
(1) « Sweep day » signifie journée de ratissage, balayage
(2) CNPD, rubrique Actualité internationale, article du 2-12-2013
(3) Cnil, rubrique Actualité, article du 12-5-2014