Recommandations de la Cnil sur le mobile : une démarche saluée, mais pas encore intégrée

En novembre 2023, le projet de recommandations de la Cnil en matière de protection des données personnelles pour les applications mobiles, soumis à consultation du marché, avait confirmé la volonté de l’organe d’exercer une surveillance accrue sur un marché encore peu régulé. À l’époque, si le marché avait globalement salué la démarche, il s’était notamment inquiété d’une sous-estimation du rôle des systèmes d’exploitation (Android et iOS) dans l’écosystème mobile. 

Le 24 septembre 2024, la Cnil a publié ses recommandations finales qui, si elles ne sont pas des lignes directrices comme pour le recueil de cookies, donnent la marche à suivre pour les acteurs de l’écosystème. Globalement, elles reprennent la philosophie du projet de recommandations, en y apportant quelques changements suite à des retours du marché.

Dans sa réponse au premier projet, Alliance digitale s’était notamment inquiétée de “la validation et la légitimation du rôle de prescripteur de règles en matière de protection des données des fournisseurs d’OS et de magasins d’applications, et le déséquilibre que cela engendre entre les prérogatives qui leur sont octroyées et les faibles responsabilités qui leur sont imputées”. La Cnil avait en effet évoqué la possibilité pour les systèmes d’exploitation de proposer un “scoring privacy” des applications dans les magasins d’applications, et les professionnels de l’industrie pointaient une explication relativement floue sur la coexistence entre autorisations techniques propres à l’OS et celles demandées par l’éditeur via sa CMP. Elles donnaient selon eux trop de pouvoir aux OS, qui pouvaient potentiellement devenir uniques garants du recueil de consentement sur les applications mobiles.

L’Autorité de la concurrence sollicitée par la Cnil 

À la suite de ces retours du marché, pour la première fois, la Cnil avait sollicité l’avis de l’Autorité de la concurrence, “ce qu’elle n’était pas obligée de faire”, rappelle Pierre Devoize, deputy MD & head of public affairs d’Alliance digitale. Une sollicitation qui illustre les engagements pris depuis la signature d’une déclaration conjointe en décembre 2023, a rappelé l’Autorité, qui a publié son avis le 24 septembre. 

Celui-ci est signé du 4 décembre 2023, soit quatre mois après la publication du projet de recommandation. Il enjoint globalement à la Cnil de mieux prendre en compte la structure concurrentielle du marché des applications mobiles, qui se caractérise, rappelle l’Autorité, “par la présence d’acteurs verticalement intégrés tout au long de la chaîne de valeur des applications mobiles et qui ont mis en place des écosystèmes distincts”. 

Concrètement, elle appelle la Cnil a porter une attention particulière à ce que “la mise en œuvre de la protection de la vie privée” n’entrave pas “le dynamisme concurrentiel”, à savoir que les mécanismes de permissions techniques sur le téléphone (géolocalisation, accès aux contacts, etc.) n’entravent pas l’offre et l’innovation. Autre point important, sur le système de scoring de la vie privée en ligne envisagé par la Cnil, elle préconisait que ce dispositif, “afin d’assurer la fiabilité de cet indicateur”, pourrait “être sujet à un mécanisme de label ou de certification par un tiers indépendant”.

La prise en compte des retours saluée malgré quelques zones d’ombre

Deux points que la Cnil a pris en compte en précisant dans ses recommandations que le mécanisme de scoring devrait être exercé par un tiers – dont elle ne précise pas la nature -, et “reposer sur une méthodologie préalablement définie, de manière transparente”. La Cnil a également précisé l’articulation des fenêtres de sollicitation (CMP et permissions techniques), en partant du principe de cibler “les permissions dites ‘techniques’, conçues par les fournisseurs d’OS […], indépendamment des finalités pour lesquelles elles pourraient être utilisées”. Ce mécanisme étant plutôt simple à mettre en place selon Jérôme Perani, chief revenue officer du fournisseur de CMP Axeptio : “Tout ça est fait en lien avec les éditeurs, ce n’est pas la CMP qui prend le contrôle des permissions techniques”.

Cette vision proposée par la Cnil laisserait cependant beaucoup de responsabilité aux éditeurs d’applications dans la collecte et la transmission des consentements entre les différentes couches de l’écosystème. “L’obligation réglementaire est du côté de l’éditeur. On comprend que c’est le responsable de traitement qui devra informer l’utilisateur sur les différentes données collectées, sur la base d’informations transmises par des SDK et les OS”, constate Adrien Hug-Korda, director digital trust & compliance et data protection officer de Converteo. 

Il ajoute qu’il existe toujours un risque que les OS tirent avantage de certaines recommandations. À titre d’exemple, la Cnil indique à titre de bonne pratique ”la révocation périodique des autorisations permanentes des applications non utilisées”, ce qui peut constituer une “charge supplémentaire pour l’éditeur à la manière d’un ATT”, selon Adrien Hug-Korda. Il dresse le même constat sur le fait d’encourager les OS à “organiser la fin progressive du support des fonctionnalités les plus intrusives” – même si la Cnil indique qu’une période de transition est nécessaire -, leur donnant potentiellement droit de vie ou de mort sur certains SDK.

Des critiques sur la forme de la démarche

Si la Cnil semble avoir répondu aux principales préoccupations du marché en matière de concurrence, des critiques persistent sur la forme. “Le projet est très détaillé. Mais paradoxalement, plus on s’éloigne du général, plus il y a un risque de ne pas être complet, et de favoriser de potentielles incompréhensions”, constate Thomas Adhumeau, chief privacy officer du fournisseur de CMP Didomi. 

En effet, même si cette profondeur est vue plutôt positivement par le marché, Alliance Digitale avait déjà pointé un manque d’adaptation à l’environnement que l’autorité souhaite encadrer. “Il y a beaucoup plus de petits acteurs que sur le web, qui n’ont pas nécessairement du temps à consacrer à la mise en conformité”, explique Pierre Devoize (Alliance Digitale), qui regrette également la division par acteur (OS, fournisseurs de SDK, éditeurs d’application, etc.), qui pousse, selon lui, chaque entreprise à se focaliser sur sa partie. 

Sur ce point, la Cnil invite d’ailleurs en introduction chaque acteur à consulter l’ensemble du document. “Finalement, c’est un document qui vulgarise des sujets très techniques, pour expliquer aux DPO et aux éditeurs d’application, avec une forme de checklist, comment se conformer sur la partie applicative”, nuance Adrien Hug-Korda (Converteo).

Un marché des applications plus attentiste

Au contraire des lignes directrices sur les cookies tiers, les recommandations de la Cnil ne semblent pas agiter les éditeurs d’applications mobiles pour le moment. “Aujourd’hui ce n’est pas vraiment dans les feuilles de route de nos clients. Nous avons travaillé dessus pour des acteurs qui cherchaient à faire une migration de leur modèle vers les applications, en leur conseillant d’attendre les recommandations finales avant déploiement. Les discussions vont être engagées, mais nous ne nous attendons pas à un branle-bas de combat”, rapporte Adrien Hug-Korda (Converteo). Même constat chez Didomi, dont la plupart des clients sont des médias, ayant parfois des applications. “Le mobile est aujourd’hui mis de côté, ce n’est pas la priorité, aussi parce que la Cnil a mis longtemps à sortir son projet et n’a pas profité de l’engouement autour de la protection des données personnelles sur le web”, avance Thomas Adhumeau.

Pour Jérôme Perani (Axeptio), cela s’explique aussi par le fait que le consent mode V2 de Google, introduit fin 2023, et qui obligeait notamment à utiliser des CMP certifiées par les éditeurs qui utilisent ses outils de monétisation, avait déjà partiellement préparé certains acteurs. “Avant ces recommandations, nous avions aussi des clients qui souhaitaient organiser la collecte de consentement partagée entre application et sites web, ce qui les avait renforcés sur ce point”, ajoute-t-il. 

Cette dynamique attentiste pourrait cependant changer, avec les premiers contrôles annoncés dès le printemps 2025. Plusieurs acteurs interrogés soulignent en effet que le marché des éditeurs d’applications mobiles pure players est aujourd’hui peu mature sur le sujet des données personnelles, et que ces contrôles pourraient déboucher sur beaucoup de sanctions. “Il y a encore des sociétés, dont les marques sont très connues, au sein desquelles les DPO disent ‘tant que nous ne traitons pas de la donnée Nom/prénom sur un utilisateur, pas nécessaire d’aller plus loin’”, illustre Jérôme Perani (Axeptio). Pour rappel, la démarche de la Cnil sur le mobile s’était matérialisée par une amende de trois millions d’euros infligée à l’éditeur de jeux vidéo Voodoo début 2023.