Après les mauvaises pratiques des sites web concernant les cookies, la CNIL prévoit d'intensifier ses contrôles pour protéger la vie privée des utilisateurs d'applications de smartphones. Première étape, une consultation sur les enjeux économiques.
Alors que les sanctions contre les sites internet commencent à pleuvoir sur les têtes des grandes entreprises du numérique comme Google, Microsoft, Meta, ou TikTok, les applications restent pour l'instant peu concernées. Mais peut-être plus pour longtemps. La récente sanction de l'éditeur de jeux Voodoo est un signe d'un possible durcissement de la surveillance de la CNIL sur le dossier.
L'autorité constate d'ailleurs l'écart des pratiques entre sites web et applications : « Si les principes et obligations en matière de protection des données sont désormais bien connus des opérateurs de sites web et font l’objet de recommandations de la part de la CNIL, leur mise en œuvre dans le contexte des applications mobiles peut encore être clarifiée ».
Et elle commence à mettre en place son plan d'action de protection de la vie privée concernant les applications annoncé en novembre dernier. Première étape, une consultation ouverte jusqu’au 10 février 2023 au soir.
Consultation « sur les enjeux économiques »
La consultation lancée par l'autorité se concentre sur les enjeux économiques. La CNIL veut pouvoir « mesurer l’impact potentiel des choix de régulation » et plus particulièrement sur les aspects de concurrence et d’innovation.
Si elle travaille de son côté sur le sujet, elle en appelle notamment aux analyses des chercheurs en économie, gestion, informatique ou disciplines connexes en la matière, des acteurs économiques du marché, des experts de bureaux d'études, des groupes d'intérêt et aux contributions d'autres autorités publiques. Mais les particuliers ayant une expérience en la matière peuvent aussi y participer.
L'autorité précise bien qu'il ne s'agit pas, ici, de recueillir des « contributions sur des aspects juridiques ou de conformité précis, ni sur des points particuliers ayant trait à la technologie et à la sécurité ».
Au cours du deuxième trimestre 2023, la CNIL publiera un projet de recommandations qui sera, lui, sujet à une consultation plus vaste et permettra de recueillir des positions sur les points juridiques.
Sensibilisation du grand public
En juin dernier, la CNIL a lancé une étude sur les données de géolocalisation collectées par des applications mobiles qui devrait finir en septembre prochain. Celle-ci a pour but de sensibiliser le grand public. Elle est assez originale puisqu'elle se base sur un échantillon (près de 5 000 000 d’identifiants publicitaires de smartphones pendant une semaine) récupéré gratuitement chez un courtier de données via une plateforme de mise en relation. Le Laboratoire d’innovation numérique de la CNIL (LINC) teste s'il est possible de réidentifier les personnes à partir de ces données.
Pour cela, il ne s'autorise par contre à les croiser qu'avec des données publiques comme les agendas ouverts de personnalités publiques, la participation aux séances parlementaires, des cartes de densité de la France, des données provenant de l’annuaire universel et des sites de manifestations sportives publiques.
La CNIL précise évidemment que « dans l’éventualité où des personnes seraient réidentifiées, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées ». Le grand public sera ensuite informé par la publication de plusieurs publications sur le site du laboratoire.
La CNIL prévoit ensuite une campagne de sensibilisation en publiant des recommandations à destination des utilisateurs et notamment ceux d'applications s’adressant à « des publics vulnérables ou traitant des données sensibles (applications médicales ou destinées aux enfants, femmes enceintes, etc.) ».
Intensification des contrôles sur les applications
Même si la CNIL le conditionne encore sur son site aux observations de terrain qui sont en train d'être effectuées, la troisième étape du plan de l'autorité à propos des applications est bien de « mettre en œuvre un plan de contrôle de grande ampleur ». Elle prend même l'exemple de son plan de contrôle qu'elle a mis en place concernant les cookies traceurs des sites web qui commencent à porter ses fruits.
Si l'autorité rappelle que des contrôles d'applications sont déjà à l'œuvre sur la base de plaintes, ce plan devrait intensifier leur nombre.
