RGPD pour application mobile : ce qu'il faut savoir

Posté par Pierre Harington le 4 août 2020

Jeune homme qui ne respecte pas le règlement général sur la protection des données (RGPD)

 

Si vous avez déjà une application mobile, vous collectez sûrement des données personnelles sur vos utilisateurs : nom, adresse email, données de localisation...

Depuis l’entrée en vigueur du RGPD, la façon dont vous collectez et utilisez ces données est strictement réglementée. Dans cet article, nous vous indiquerons ce qu’il faut savoir sur le RGPD et ce que cela implique pour votre application mobile.

 

Qu’est-ce que le RGPD ?

Le règlement général sur la protection des données (RGPD), ou GDPR en anglais, est un règlement adopté par l’Union européenne, visant à contrôler la façon dont les données à caractère personnel sont collectées et utilisées.

 

Entré en vigueur le 25 mai 2018, il vient compléter la loi Informatique et Libertés de 1978 et permet d’unifier le cadre juridique pour l’ensemble des membres de l’Union européenne.

 

Son but est de protéger et de sensibiliser les citoyens sur les différentes utilisations de leurs données personnelles et d'apporter de la transparence dans ce domaine. Depuis son inauguration, il a aidé à apporter une prise de conscience pour les utilisateurs qui sont de plus en plus sensibles à la façon dont leurs données sont utilisées.

 

Ce règlement touche un grand nombre d’entreprises et d’associations, au-delà des frontières de l’Europe. Tant que vous êtes établi sur le territoire de l’Union européenne, ou que votre activité cible directement des résidents européens, vous devez suivre la réglementation.

 

La collecte des données

La protection des données de vos utilisateurs doit être pensée dès la conception de votre application mobile. C’est ce que l’on appelle privacy by design.

 

La CNIL (commission nationale de l'informatique et des libertés) indique que “les administrations, sociétés et associations traitant des données à caractère personnel, mais aussi leurs prestataires et sous-traitants, sont désormais pleinement responsables de la protection des données qu’ils traitent. Il leur appartient d’assurer la conformité au RGPD de leurs traitements de données personnelles tout au long de leur cycle de vie et d’être en mesure de démontrer cette conformité.”

 

Vous devez cartographier la transmission des données et indiquer à vos utilisateurs dans quel but vous utilisez leurs données : personnalisation de l’application, sauvegarde des préférences, fins publicitaires...

 

Pour cela, il est important de définir l’objectif de votre application mobile. Posez-vous la question suivante : quelles sont les données nécessaires pour la bonne utilisation de votre application et pourquoi en avez-vous besoin ?

 

Par exemple, si votre application mobile propose un service de chauffeur privé à la demande, vous aurez besoin d’accéder aux données de localisation de vos utilisateurs afin de trouver un chauffeur disponible à proximité.

 

Pour un souci de traçabilité, vous devez également documenter la façon dont vous collectez ces données. Tout doit être inscrit dans le registre des activités de traitement afin de disposer d’une vue d’ensemble de la collecte et l’utilisation des données, et pour démontrer que vous êtes bien en conformité avec la réglementation.

 

Le RGPD stipule que vous ne pourrez collecter que les informations dont vous avez besoin pour le bon fonctionnement de votre application mobile. C’est ce qu’on appelle la minimisation des données.

 

Le consentement de vos utilisateurs

Avant de pouvoir collecter des données personnelles, vous devrez informer vos utilisateurs de manière claire et transparente que vous souhaitez utiliser leurs données. Il faudra également les informer de la raison pour laquelle vous souhaitez utiliser ces données, et comme nous l’avons vu dans la section précédente, cette utilisation doit être légitime.

 

Vous devrez obtenir le consentement de vos utilisateurs afin de pouvoir utiliser leurs données : l’utilisateur doit lui-même donner son consentement par un acte volontaire. L’utilisation de cases pré-cochées (opt-in) ou toute autre technique n’impliquant pas une action positive et volontaire de vos utilisateurs n’est pas admise par le RGPD.

 

Si vous souhaitez stocker ces informations, même après l’utilisation de votre application mobile, il faudra aussi obtenir le consentement de vos utilisateurs.

 

Vous devez également informer l’utilisateur de ses droits. Notamment de la possibilité de refuser la collecte de ses données personnelles ou de demander l’exportation ou la suppression de ses données à tout moment.

 

Les utilisateurs doivent donc être en mesure d'accéder à leurs données personnelles et de contrôler la façon dont elles sont gérées.

 

Les données sensibles

Toutes les données ne se valent pas. Certaines données personnelles sont considérées comme des données sensibles. C’est notamment le cas des données liées à “l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale” indique la CNIL.

 

C’est également le cas pour le traitement “des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique”.

 

Dans la majorité des cas, il est interdit de recueillir ces données. Pour plus d’informations, rendez-vous sur la page donnée sensible de la CNIL.

 

Les sanctions liées au non-respect du RGPD

En cas de non-respect du RGPD, vous risquez une amende qui en 2020 peut aller de 2 à 4 % de votre chiffre d’affaires annuel mondial. Si vous disposez déjà d’une application mobile, mettez-la à jour le plus rapidement possible.

 

Si vous êtes sur le point de sous-traiter le développement de votre application mobile, votre prestataire peut avoir une responsabilité conjointe dans le respect du RGPD. Assurez-vous d’avoir cette discussion avec lui en amont pour s’assurer qu’il connaisse bien la réglementation.

 

Le RGPD peut représenter des contraintes conséquentes initialement mais rappelez-vous que c’est un excellent moyen de redonner confiance à vos utilisateurs, en leur montrant que vous vous souciez de la protection de leurs données.

 

Chez Kreactive, nous disposons de nombreuses années d'expérience dans le développement d’applications mobiles et nous sommes familiers avec la réglementation RGPD.

 

Que vous disposiez déjà d’une application mobile ou que vous soyez sur le point de la développer, recevez le bilan RGPD de votre projet en nous contactant ici ou par téléphone au 04 26 70 03 51.

 

Informations développement mobile 04 26 70 03 51

Topics: App