Applications mobiles – L’opération Sweep Day des applications mobiles menée le 13 mai 2014 (1) par la Cnil et 26 de ses homologues dans le monde a permis d’analyser 1211 applications mobiles. Il s’agissait de la seconde opération Sweep Day portant sur des applications mobiles, la première ayant été menée le 6 mai 2013 (2).
L’échantillon d’applications mobiles examiné c’est voulu représentatif : des applications gratuites et payantes provenant de tous secteurs confondus, allant d’application mobile de gestion de compte bancaire, aux jeux en passant par le quantified self (3).
Au niveau mondial, les constats sont les suivants :
- une collecte généralisée des données personnelles des utilisateurs : 75 % des applications auditées collectent des données de façon généralisée sans que la finalité de l’application le justifie telles que la localisation, l’identifiant du terminal mobile, ainsi que les données d’accès à des comptes utilisateurs sont collectées ;
- une information insuffisamment claire des internautes sur les conditions de traitement de leurs données personnelles : 50 % des applications auditées ont une information difficilement accessible ou illisible.
Au niveau national, les constats décrits au niveau mondial se retrouvent. Ainsi, concernant la collecte généralisée des données personnelles des utilisateurs, il a été constaté que les 10 données les plus collectées sans que la finalité de l’application le justifie sont par ordre de priorité : la localisation, l’identification de l’appareil, le stockage, la galerie photo et appareil photo, les contacts, les autres comptes utilisateurs, le microphone, les SMS/MMS, le calendrier, le journal d’appel.
Dans ce contexte, la Cnil recommande aux éditeurs d’applications mobiles d’améliorer la qualité de l’information et la transparence de leur utilisation des données personnelles qu’ils collectent (4).
Aussi, à tous les éditeurs d’applications mobiles, il est recommandé de prendre en compte dès la conception de l’application mobile, les contraintes juridiques relatives à la protection des données à caractère personnel par la définition des données qu’ils souhaitent collecter afin d’identifier précisément les contraintes juridiques existantes et les développements que cela implique tout en définissant et rendant accessible une politique de protection des données de l’application.
Une telle démarche permettra en plus de se prémunir contre d’éventuelles sanctions de la Cnil pour non-respect de la loi Informatique et libertés.
Elle constituera un atout concurrentiel et permettra d’instaurer un climat de confiance avec leurs utilisateurs, sans laquelle il sera difficile de pérenniser le succès des applications mobiles).
Céline Avignon
Anais Gimbert-Bonnal
Lexing Droit Marketing électronique
(1) Cf. notre post du 13-5-2014.
(2) Cf notre post du 6-5-2013.
(3) Cf. notre post du 4-7-2014.
(4) Cnil, actualité du 16-9-2014.