Back to Blog

Les indispensables pour maîtriser la conformité RGPD de votre application mobile

Maxime JAILLET

Avez-vous géré la mise en conformité RGPD de vos applications mobiles ? Sans surprise, les apps sont un autre support de collecte des données de vos utilisateurs. Il sera par conséquent nécessaire d’embarquer un certain nombre de mesures dans vos projets pour respecter vos obligations. Maîtrise des flux, minimisation de la collecte, gestion des consentements, information... On vous dit tout, C’est notre product news du jour.

Pourquoi faut-il gérer la conformité RGPD de votre application mobile ?

Eh oui, le RGPD concerne aussi votre application mobile. Normal, vous embarquez des fonctionnalités pour collecter les données personnelles de vos utilisateurs :

  • outil webanalytics ;
  • module de cartographie ;
  • sdk publicitaire ;
  • etc.

De surcroît, les sdk sont considérés comme des traceurs soumis aux lignes directrices que la CNIL a déjà défini à propos des cookies.

Les applications mobiles sont un sujet de vigilance croissant pour la CNIL. Il est donc important de s’assurer d’être dans les clous.

Techniquement, vos applications natives fonctionnent souvent d’une manière différente à celle de vos sites web.

La mise en conformité RGPD de vos applications doit donc être traitée comme un chantier en soi.

Guide RGPD du développeur, la documentation must-have

La CNIL a édité un guide RGPD destiné aux développeurs d’applications informatiques.

Ceguide compile plusieurs fiches de bonnes pratiques à destination desdéveloppeurs pour manipuler des données en toute sécurité. Lessujets abordés sont donc divers :

  • Gestion des environnements de test et développement ;
  • mapping des flux de données personnelles ;
  • sécurité des applications et serveurs ;
  • etc.

Un must-have indispensable pour tout développeur.

La gestion des consentements, le préalable pour embarquer des sdk

Vous utilisez un module de gestion des cookies ? Bravo. Il fonctionne donc déjà :

  • sur votre site web, qu’il soit consulté depuis un ordinateur, le navigateur de votre téléphone mobile ou de votre tablette ;
  • sur le site web embarqué dans votre webapp ;
  • sur votre site web mobile.

En revanche, une application native ne dépose pas de cookies. Elle embarque des sdk qui ouvriront un accès aux données par des tiers.

Vous avez donc besoin d’un autre outil qui prendra en charge la gestion des consentements, par exemple :

  • pour accéder aux données de navigation GPS et s’en servir pour de la mesure d’audience ou du ciblage publicitaire ;
  • pour collecter des données de webanalytics (si votre outil ne peut pas bénéficier de l’exemption de consentement de la CNIL) ;
  • tc.

Axeptio propose désormais une consent management platform adaptée aux applications natives. Si notre UX design vous a plu, vous pourrez l’afficher sur le mobile.

Une politique de confidentialité mobile-centric

Vous devez informer vos utilisateurs des traitements de données que vous mettez en place et de leurs droits. Vous le faites déjà sur votre site web :

  • en insérant de courtes mentions au bas de vos formulaires. Le plus souvent, ces mentions comprennent un lien de renvoi ;
  • en éditant une politique de confidentialité distincte de vos autres mentions légales et des CGU/CGV.

La même politique peut elle être utilisée sur tous les supports ? La réponse sera souvent non.

  • Votre app mobile peut par exemple impliquer la collecte de données de géolocalisation, ce que vous ne faites pas sur le site web ;
  • les modules embarqués ne sont pas forcément les mêmes. Pour votre application, vous allez peut-être privilégier des fournisseurs de modules spécialisés sur l’environnement mobile.

Vous travaillerez par conséquent sur une rubrique dédiée au mobile, que vous rendrez disponibles depuis le store du fournisseur d’applications et au sein de votre app. Toute la difficulté est de rédiger une politique de confidentialité lisible, c’est-à-dire complète mais adaptée à la lecture sur support mobile.

DPIA, l’étape préalable des projets sensibles

C’est une étape obligatoire et à intégrer en phase amont de la conception des projets. Pas pour tout traitement de données personnelles. Vous n’aurez pas à en faire pour une mise à jour basique ou même graphique de votre application. Mais ce sera nécessaire pour tout traitement de données présentant un haut niveau de sensibilité pour vos users. Par exemple :

  • vous lancez une application mobile basée sur les données de santé de vos clients ;
  • vous enrichissez votre app avec une fonctionnalité cartographique ou bien vous collectez de la donnée de géolocalisation et la revendez à des partenaires tiers.

Le Data Protection Impact Assessment est un moyen intéressant de rendre vos projets privacy-friendly. Grâce à cette étude approfondie, vous obtiendrez une liste de mesures de protection et de sécurité à prendre en compte pendant les phases de développement.

Vous maîtrisez ainsi votre planning et votre budget en vous donnant une visibilité dès le début sur ce qu’il faut faire pour respecter vos obligations légales.

Minimisation, ne collectez que le strict nécessaire

La maîtrise des flux de données liée à votre application mobile est un réel enjeu. Le RGPD vous impose en effet de ne collecter que les données dont vous avez réellement besoin pour accomplir vos objectifs.

Comment procéder ?

  • En premier lieu, vous réaliserez un mapping des flux afin de savoir quels services internes et entités tierces sont destinataires des données collectées. Ce sera l’occasion de couper les flux vers des acteurs dont vous n’utilisez plus les modules ;
  • en deuxième lieu, vous cantonnerez vos formulaires (contact, demande de devis…) aux champs réellement nécessaires ;
  • en troisième lieu, une visibilité sur le fonctionnement des sdk tiers, sur la liste des données collectées par vos prestataires est indispensable dans une optique là encore de se limiter au strict indispensable.
  • L’objectif au final est de définir un cycle de vie de la donnée, ce qui vous conduira à définir des durées de conservation adaptées à vos besoins. Au-delà de cette durée, la donnée sera supprimée ou anonymisée.

Conclusion : Rendez vos apps RGPD-friendly

Après les sites web, c’est au tour des apps mobiles de passer à la moulinette du RGPD.

Au programme, la même recette, les mêmes ingrédients. Seul l’environnement technique change et il vous faudra prendre en compte les spécificités du mobile.

Fort heureusement, vous pourrez compter sur des solutions comme le module de gestion des consentements d’Axeptio.

Prêts à vous lancer ?

Share on social media: 

Ne partez pas si vite ... 

US – Qu’est-ce que le CCPA et le CPRA et comment s’y conformer grâce à Axeptio ?

Le module d’Axeptio vous permet de déployer une gestion des cookies conforme au CCPA et au CPRA. L’État Californien s’est en effet doté de normes reposant sur l’information du user et un droit à l’opt-out. Pourquoi s’intéresser à nous ? Parce que notre module étant RGPD-friendly, il passe haut la main le stress-test du CCPA. Pour vous, c’est une occasion de rendre fun vos cookies.

Lire la suite

Consentement, bandeau et cookies – La temporisation est la clé

Temporiser le dépôt de vos cookies ? A l’heure de la course aux opt-in perdus, il s’agit de se concentrer sur l’essentiel. En effet, déposer trop tôt vos traceurs signifie collecter de la donnée personnelle sur une audience non pertinente. La temporisation est donc un moyen appréciable de vous recentrer sur les users véritablement engagés...

Lire la suite

Romain Batigne, Aka Roro, rejoint Axeptio

Si les factures reviennent enfin dans le back-office, c'est grâce à lui : Romain Batigne, Aka RORO ! ALors, on s'est dit que c'était une chouette opportunité pour vous le présenter en quelques questions / réponses.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.