Applications mobiles : les professionnels de la data et du marketing numérique posent un regard mitigé sur le projet de recommandation de la Cnil

La Cnil s’attaque aux applications mobiles. Après être intervenu sur le dépôt de cookies sur ordinateur via les sites web ces dernières années, l’institution veut contrôler davantage le respect du RGPD au sein des applications mobiles. Autrement dit, mettre de l’ordre dans le recueil des données personnelles et le tracking au sein des applications. 

Si les fournisseurs de SDK pour le drive-to-store avaient été ciblés en 2018 (Teemo, Fidzup, Singlespot et Vectaury ont été sanctionnés) en raison de plusieurs pratiques jugées très problématiques et conduisant à l’absence de validité du consentement utilisateur au recueil de leurs données personnelles, les contrôles ont depuis peu touché l’écosystème applicatif.

“Depuis 2018, seules les applications médias ont implémenté des CMP in-app, et principalement en raison des exigences du Transparency and consent framework (TCF), souligne pourtant Jérôme Perani, expert du marketing sur mobile et ex-directeur du marketing de Purchasely. En dehors de rares exceptions – comme l’application Ornikar, qui recueille les consentements utilisateurs via la CMP d’Axeptio -, les applications hors médias et celles des jeux ont délaissé ce sujet, faute de rappel à l’ordre.”

Après des velléités affichées une première fois dans une déclaration d’intention à l’automne 2022, puis en février 2023 dans son plan stratégique 2022-2024, la Cnil a publié au cœur de l’été, le 21 juillet, un projet de recommandation lié aux applications. Soit la façon dont elle veut interpréter le RGPD pour ses acteurs. Son objectif affiché : “Clarifier les obligations des différents acteurs de cet écosystème” en matière de données personnelles. Le document inclut la synthèse des réponses du marché reçues d’un précédent appel à contributions pour mieux comprendre les enjeux économiques associés à la collecte et au traitement des données dans l’écosystème. 

Les applications mobiles forment un écosystème différent des sites internet, plus opaque, plus incertain, et contrôlé en partie par Google et Apple. Il est aussi potentiellement beaucoup plus intrusif. Les applications sont attachées au téléphone portable et à ses capacités pointues et sensibles en matière de données personnelles : géolocalisation, coordonnées personnelles, annuaire de contacts, paiement intégré, données de santé… Notre analyse en 2022 des prestataires présents dans l’écosystème applicatif français montrait d’ailleurs son foisonnement et sa complexité.

mind Media a interrogé différents acteurs du marché pour analyser les intentions affichées par la Cnil dans son document. L’exercice est salué, des améliorations sont entrevues, mais des lacunes sont également pointées. 

Un travail salué et attendu 

Avec ce projet de recommandation, la Cnil présente les rôles qu’elle veut attribuer à chaque acteur dans le traitement des données liées aux applications mobiles – éditeurs d’applications, développeurs, fournisseurs de SDK, fournisseurs d’OS et fournisseurs de magasin d’applications – et les obligations à respecter. Sa recommandation est également applicable à d’autres environnements et équipements, observe Masaki Halle, head of data chez Havas Media France. “Le texte concerne aussi les objets connectés – on peut penser ici à la domotique, qui se développe rapidement et qui capte des données particulièrement intimes puisque du ressort de ce qu’il se passe à l’intérieur du domicile -, les montres connectées et les voitures connectées”, souligne-t-il. 

Beaucoup de nos interlocuteurs soulignent l’intérêt du travail fourni par la Cnil. “Il faut saluer l’effort considérable de pédagogie déployé par la Cnil dans ce document”, souligne ainsi Priya Saint Olive, chief data and digital operations officer de CMI France. “Elle s’est attachée à fournir des détails sur les parties prenantes, leurs rôles et leurs interactions, malgré la densité et la complexité du paysage applicatif, poursuit-elle. Sans être parfait, ce document servira concrètement à de nombreuses équipes et devrait participer à clarifier les responsabilités des uns et des autres, ce qui fait parfois l’objet de longs débats.”

Priya Saint Olive évoque ici la position parfois inconfortable des éditeurs médias pour défendre leur appréciation de la réglementation et obtenir des informations auprès de leurs partenaires et interlocuteurs. Jérôme Perani partage le constat et estime que le document va aider les éditeurs : “La Cnil livre un rapport salutaire s’adressant à tous les acteurs et à tous les métiers ; elle fait œuvre de pédagogie. Cela va dans le sens d’une réduction des incertitudes juridiques qui pèsent depuis cinq ans sur le poids des seules épaules des éditeurs.” 

Paul Ouvrard-Arnaud, DPO de Dentsu en France, souligne aussi l’intérêt du texte par la variété des sujets abordés : en plus de la question du recueil du consentement et des permissions, il évoque notamment la sécurité informatique et le développement. “Bien loin d’une recommandation uniquement relative au mode d’obtention du consentement, comme peut l’être la recommandation relative aux cookies et autres traceurs, on est ici en présence d’un projet revêtant une vraie valeur holistique pour le secteur des applications mobiles. Cela donne à ce projet une cohérence et une force indéniable : la CNIL assume les effets économiques découlant de sa régulation et compte bien organiser le secteur”, remarque-t-il. 

Une meilleure clarification des rôles 

Le document se veut ambitieux et vise à réguler l’ensemble des acteurs du secteur en lien avec les données, alors que la Cnil concentrait ces dernières années ses efforts sur les éditeurs et les grandes plateformes. “Le projet de recommandation ne se contente pas de s’adresser au seul éditeur de l’application, mais aussi au développeur auquel l’éditeur ferait appel, à l’éditeur de SDK et même à l’éditeur du système d’exploitation. C’est comme si la CNIL avait rassemblé en un même document la recommandation cookies et traceurs et le guide du développeur disponible sur son site internet”, note avec satisfaction Paul Ouvrard-Arnaud (Dentsu).

L’un des points clés de la recommandation de la Cnil, et l’enjeu principal du respect de la réglementation liée aux données, porte sur la qualification des différents acteurs. Un cadre est fourni par le RGPD pour définir les rôles sur le marché et les responsabilités et obligations attachées, mais le texte ne contient pas de dispositions propres aux applications mobiles, univers très spécifique. 

La recommandation de la CNIL va combler ce vide. Elle prévoit notamment une distinction importante dans le domaine des finalités publicitaires, relève Masaki Halle (Havas Media) : “Si un SDK agit pour les seules finalités d’un éditeur d’application (tracking utilisateur, profiling utilisateur, monétisation d’audience par l’éditeur), les traitements de données personnelles que le SDK opère le sont sous le statut de sous-traitant pour le compte de l’éditeur responsable de traitement. En revanche, si un fournisseur de SDK agit pour son propre compte (tracking, profiling, puis revente de données ou monétisation d’autres espaces que ceux de l’application où les données ont été collectées), il est alors responsable de traitement”, relève-t-il. 

Cette clarification doit permettre d’établir le statut des différentes prenantes (SSP, fournisseurs de données, régies réseau, DMP…) et leurs responsabilités en fonction de l’usage des données. 

Une collecte des données plus rationnelle 

L’un des principes fondamentaux du RGPD, la proportionnalité et la minimisation du recueil des données (les acteurs ne doivent pas collecter plus de données que ce qui est strictement nécessaire pour les finalités suivies) est ici aussi interprété pour les applications mobiles. La Cnil insiste sur le fait que les éditeurs et SDK devront déployer un dispositif plus fin et évolutif de permissions à la collecte des données. “La Cnil introduit le concept de consentement progressif. Dit autrement, elle recommande vivement aux éditeurs et aux fournisseurs de SDK d’éviter les recueils en bloc au démarrage des applications, de limiter au maximum l’usage de permissions en bloc à l’installation en préférant l’usage de permissions déclenchables durant le fonctionnement de l’application (“runtime permissions”), afin de faciliter l’éventuelle intégration aux outils de recueil de l’éditeur d’application et, lorsque cela est justifié, de manière à contextualiser les demandes de consentement”, souligne ainsi Jérôme Perani. 

Ce principe vaudra particulièrement pour les données de géolocalisation : la Cnil recommande d’activer la localisation approximative plutôt que précise (rayon ou point précis), avec une fréquence adaptée d’enregistrement de la localisation, une permission limitée à une seule fois plutôt qu’une permission permanente, et enfin une permission active uniquement quand l’application est ouverte en premier plan plutôt qu’en permanence. “Le responsable de traitement peut être tenu de justifier les paramètres qui ont été retenus en fonction des finalités suivies, fait remarquer Masaki Halle (Havas Media). Ici aussi, la Cnil s’attaque à l’un des angles morts de la protection des données en environnement mobile. Il est à noter que les systèmes d’exploitation peuvent d’eux-mêmes restreindre l’accès à ces données, brouiller les données, ou limiter leur granularité.”

Une gestion des consentements en lien avec les OS jugée floue ou inadaptée 

L’administration du recueil du consentement à l’usage des données personnelles est particulièrement délicate dans les applications mobiles au regard du rôle clé occupé par Google et Apple. Camille Giard, directrice déléguée d’Annalect France, l’agence d’expertises data d’Omnicom Media Group en France, se montre dubitative sur les positions adoptées ici par la Cnil : “Ce texte fait l’effort de proposer des recommandations pour tous les acteurs qui composent l’écosystème des applications mobiles, qui est éminemment complexe. C’est un document singulier par son exhaustivité et sa force d’analyse. Mais la mise en application de ces recommandations me semble néanmoins délicate, sinon irréalisable. Par exemple, sur la gestion des consentements, la Cnil demande à ce que la politique de confidentialité soit accessible avant tout téléchargement ou installation d’une application. Mais est-ce que le téléchargement vaut consentement ? Comment modifier la structure de l’application en cas de modification de la politique de confidentialité ? Qu’en est-il des mises à jour ? Sur une application présente en France comme SNCF Connect par exemple, il n’y a pas moins de 140 partenaires : faudrait-il décocher chaque partenaire de la liste ?”, questionne-t-elle. 

Le projet de la Cnil semble d’ailleurs favoriser et légitimer la mise en place des modules de permission des systèmes d’exploitation. Le concept a été imposé par Apple, via son dispositif ATT et est depuis très critiqué par tous les autres acteurs du marché. Ils y voient une entorse à la concurrence et sont dans l’attente d’une décision de l’Autorité de la concurrence après une plainte déposée contre Apple fin fin 2020.

La Cnil semble confirmer à la fois le rôle des CMP comme base légale par défaut des traitements de données à des fins publicitaires (à des conditions très proches de celles présentent dans la recommandation sur les cookies, y compris pour les exemptions de consentement) et celui des modules de permission. “La Cnil accorde d’ailleurs aux modules de permission des OS un rôle beaucoup plus grand, allant jusqu’à recommander aux éditeurs de systèmes d’exploitation d’inclure des fenêtres de permission permettant d’obtenir un consentement valable, souligne Paul Ouvrard-Arnaud (Dentsu). Cette recommandation, si elle est mise en œuvre, pourrait avoir pour effet de réduire le reach disponible sur mobile Android – éventuellement d’augmenter le volume disponible sur IOS en raison de l’absence du mécanisme actuel ATT et CMP – tout en réduisant l’intérêt des CMP sur mobile, le consentement étant désormais géré directement par le système d’exploitation.”

Une configuration en théorie idéale pour simplifier la collecte des données, mais qui se heurte en pratique au bon vouloir des OS. Alors que la configuration de ces modules est imposée de façon discrétionnaire par les systèmes d’exploitation, “il arrive parfois qu’ils soient incomplets ou ne respectent pas pleinement les normes du RGPD, souligne Priya Saint Olive. Cela oblige fréquemment les éditeurs à afficher les deux écrans distincts : celui de permission imposée par l’OS et celui de leur CMP. 

Pour la chief data and digital operations officer de CMI France, iI serait donc opportun que les systèmes d’exploitation autorisent une personnalisation de leurs écrans de demandes de permission, afin d’intégrer tous les besoins spécifiques à chaque application en matière de collecte de consentement. Une telle approche, demandée par les éditeurs médias, “contribuerait efficacement à réduire la fatigue du consentement, dont l’impact est loin d’être négligeable”, rappelle-t-elle. 

L’omniprésence des OS sous-estimée ?

Le projet de recommandation de la CNIL rappelle que les OS / magasins d’applications ne sont pas soumis au RGPD. “Mais leur rôle clé est identifié par la CNIL qui se livre à quelques recommandations, qu’on pourrait qualifier de bon sens”, note Jérôme Perani. Notamment la prise en compte pour les éditeurs d’application visant le marché européen d’un critère de conformité au RGPD. En cas de non-respect, la Cnil recommande aux magasins de refuser leur distribution. “On pourrait imaginer que l’absence d’une CMP in-app soit synonyme de rejet par les équipes de validation d’App Store et de Google Play”, ajoute Jérôme Perani. 

Celui-ci met également en exergue une deuxième recommandation faite par la Cnil en lien avec les kiosques d’applications : l’obligation pour toute application située en dehors de l’Union européenne d’avoir un point de contact en Europe. Troisièmement, la Cnil recommande la création d’un mécanisme utilisable par les utilisateurs finaux pour signaler au magasin d’application toute application violant le RGPD : exercice des droits entravés, design trompeurs, exécution de SDK sans consentement préalable… Enfin, la Cnil propose l’établissement d’un scoring des applications vis-à-vis du respect de la vie privée avec injection du score comme critère du moteur de recherche des magasins.

Si l’objet de la recommandation de la Cnil est observé d’un regard positif par les acteurs sollicités par mind Media, plusieurs d’entre eux soulignent malgré tout des manques importants concernant la responsabilité des OS (Google et Apple) et la minimisation de leur position de walled gardens. 

Tandis que les niveaux de responsabilité des éditeurs, des développeurs et des SDK sont explicitement définis et détaillés par la Cnil, “ceux des systèmes d’exploitation demeurent dans une certaine ambiguïté, soumis à une analyse spécifique “au cas par cas” qui n’est pas précisée”, observe Priya Saint Olive (CMI France). Actuellement, les éditeurs d’applications “n’ont que peu de moyens pour engager des discussions avec les systèmes d’exploitation concernant les niveaux de responsabilité de chacun”, rappelle-t-elle. 

Les rôles et les responsabilités des acteurs sont énoncés par la Cnil, entre ceux devant fournir un conseil (développeurs d’application et fournisseurs de SDK), ceux disposant du pouvoir de décision (éditeurs d’application) et ceux d’un pouvoir de vérification (magasin d’applications et OS). Mais ils ne disent rien effectivement des rapports de force au quotidien. “Cette proposition est intéressante d’un point de vue de la protection de la vie privée des utilisateurs, car elle devrait conduire à la disparition progressive des applications ne respectant pas la réglementation. Cependant, elle apparaît dans le même temps difficile à mettre en œuvre de façon opérationnelle car elle nécessitera des adaptations profondes chez les différents acteurs pour qu’ils adoptent des comportements parfois contraires à leur intérêt économique premier”, confirme Paul Ouvrard-Arnaud (Dentsu). 

Cette gestion de la privacy non concertée et imposée par les OS au reste du marché est régulièrement critiquée par les éditeurs et vendeurs publicitaires. Mais le point est aussi soulevé côté acheteurs médias. “La recommandation de la Cnil semble pensée en abstraction complète de la politique de privacy menée par les principaux fournisseurs de systèmes d’exploitation (Apple iOS et Google Android), estime ainsi Masaki Halle (Havas Media). Nulle part dans la recommandation ne sont mentionnées les règles sur l’accès aux données imposées par ces deux acteurs, ou les réformes annoncées qui auront un impact fondamental sur l’accès aux données.”

Se pose ici l’enjeu d’une bonne articulation entre les autorisations données au système d’exploitation et celles données à des applications et SDK ; un aspect sur lequel la Cnil semble faire l’impasse. Le head of data d’Havas Media illustre le flou de la recommandation vis-à-vis des OS : “Le système ATT sur iOS d’Apple consiste en une autorisation centralisée par le système d’exploitation. Comment les éditeurs et SDK devraient-ils agir selon que l’utilisateur accepte ou refuse le tracking cross applications sur le fenêtre ATT ? Quand un utilisateur s’oppose à toute collecte de données dans les paramètres généraux d’iOS ou d’Android, cela s’impose-t-il aux applications et SDK installées sur le terminal ? Et quand aucun identifiant n’est disponible – ce qui sera le cas par défaut sur Android dans plus ou moins un an -, les applications et SDK peuvent-elles librement et sans mesure technique et organisationnelle ad hoc, y substituer un identifiant généré par fingerprinting – ce qui pourrait impliquer l’accès à des données qui originellement n’étaient pas nécessaire aux finalités suivies ? Des précisions et des exemples auraient pu être incorporés dans la recommandation.”

Camille Giard (Annalect / Omnicom Media Group) dresse le même constat pour une application opérationnelle : “Il manque dans ce texte des recommandations d’un point de vue du parcours utilisateur. S’il a le mérite d’exister, le document ne donne pas suffisamment de clés pour la création d’un parcours réalisable pour tous les acteurs de la chaîne.”

Les acteurs du marché peuvent encore apporter des commentaires et suggestions à la Cnil jusqu’au 8 octobre. Elle aura quoi qu’il arrive un regard beaucoup plus attentif sur les pratiques du marché dans les prochains mois. Dès l’automne 2022, la Cnil avertissait la possibilité d’”un plan de contrôle de grande ampleur” sur l’écosystème applicatif ou des “contrôles ciblés”, et si besoin elle engagera des actions répressives. L’association activiste Noyb avait annoncé au même moment son intention de déposer des plaintes automatiques et à très grande ampleur, comme ils l’avaient fait pour le web.