En 2022, les français passaient en moyenne 3,9 heures par jour sur leur téléphone mobile, un chiffre en constante augmentation. L'évolution des pratiques numériques et l'augmentation de l'utilisation des applications mobiles ont incité la CNIL à se pencher davantage sur ce sujet. Dans le cadre de son plan d'action sur les applications mobiles, la CNIL a publié l'été 2023 un projet de recommandation afin de clarifier les obligations légales des différents acteurs concernés et de promouvoir les bonnes pratiques en la matière. La CNIL prépare ainsi le pendant applicatif de ses lignes directrices publiées en mars 2021 qui concernaient principalement le web. La conformité des applications mobiles apparaît donc comme un axe prioritaire de la Commission pour l'année 2024.
Les applications mobiles permettent le traitement de grandes quantités de données personnelles qui n'existent pas (ou peu) sur la plupart des environnements web : géolocalisation en temps réel, accès au carnet d'adresses de l'utilisateur, utilisation de l'appareil photo du téléphone, authentification via Google / Facebook, etc. Cela rend cet environnement d'autant plus sensible à l'utilisation des données des utilisateurs.
Les annonceurs peuvent d'ores et déjà réaliser un audit de leurs applications mobiles en vérifiant les éléments indiqués par la CNIL dans son projet de recommandation :
Toutefois, l'environnement technique des applications mobiles est très différent des sites web, à tel point que les applications sont souvent comparées à des "boîtes noires".
Dans la plupart des entreprises, les équipes gérant le côté web et les équipes gérant les applications mobiles sont différentes, et n'ont que très peu d'adhérence dans leurs travaux. Les décisions de conformité liées à l'utilisation de données sur le web ne parviennent parfois pas à leurs homonymes côté applications mobiles.
Suite aux différentes réglementations web émises par les différentes institutions françaises et européennes, les annonceurs ont pris l'habitude de réaliser une documentation avancée de leur conformité web. Cela permet, en cas de contrôle, de facilement justifier le respect de la législation et montrer sa bonne volonté. Cette exhaustivité est cependant bien rare sur les applications mobiles : très peu d'historisation, pas de politique de vie privée dédiée, et peu de gouvernance liée à la conformité mise en place !
Technologiquement, une application mobile évolue dans un monde complètement différent de celui du web : elle est en effet liée au code, impliquant un environnement plus technique et qui demande des compétences particulières.
De plus, sur le web en configuration client-side, la transparence prime : nous pouvons observer l'ensemble des requêtes facilement et instantanément sur le navigateur. Sur une application, les requêtes sont parfois réalisées en différé et ne sont pas visibles par l'utilisateur : cela rend son audit plus compliqué.
A - Objectifs de l'audit
Afin de répondre aux enjeux de maîtrise des traceurs, nous avons conçu une méthode d'audit robuste pour identifier les traceurs présents sur les applications, les SDK (Software Development Kits) à l'origine de leur dépôt, ainsi que leurs finalités. Cela permet de s'assurer de la conformité des traceurs ou d'identifier les actions correctives à réaliser pour garantir une conformité.
Toute la complexité et l'enjeu de l'audit des applications mobiles est d'avoir un outil permettant d'analyser toutes les requêtes provenant des différents SDK ; sur le marché, plusieurs outils mettent en visibilité différentes requêtes.
B - La méthodologie d'audit à mettre en place
Notre méthodologie repose tout d'abord sur le mapping des SDK avec les équipes métiers et applicatives afin d'identifier les SDK utilisés, notamment ceux pour lesquels nous allons devoir analyser les requêtes. C'est aussi l'occasion de comprendre la finalité métier de ces différents SDK, dont ceux à vocation marketing.
Par la suite, nous utilisons 2 outils complémentaires afin de réaliser l'audit : un outil applicatif traditionnel, Browserstack, et l'outil utilisé par NYOB ("None Of Your Business", organisation de protection de la vie privée) dans ses audits, PiRogue. Ces outils permettent de mettre différentes requêtes en lumière.
Nous analysons ainsi les requêtes en testant différents scénarios de consentement (avant consentement, après refus et après consentement) et détectons la présence potentielle de données personnelles, comme le nom, prénom ou l'email.
Les résultats de cet audit vont permettre de mettre en évidence les problèmes de conformité de l'application ainsi que les solutions pour y remédier.
C - Pérenniser la conformité sur le long terme
Si très peu d'outils permettent aujourd'hui un audit exhaustif des applications mobiles, certains apparaissent toutefois sur le marché. Chez fifty-five, nous en avons testé quelques-uns, que nous pouvons rassembler en 2 catégories :
Si vous souhaitez en savoir plus sur l'audit des applications mobiles, n'hésitez pas à nous contacter! Vous pouvez aussi découvrir nos ressources concernant la protection des données personnelles sur cette page dédiée .
Découvrez les dernières actualités, articles, replays de webinars et événements fifty-five dans notre newsletter mensuelle Tea O’Clock.