Sur smartphone comme sur tablette, les applications sont à l’origine du traitement d’une grande quantité de données personnelles. Le groupe des Cnil européennes a souhaité formuler des recommandations à l’égard des acteurs impliqués dans l’écosystème des smartphones.
Les applications pour smartphone et tablette traitent un grand nombre de données personnelles sur l’utilisateur. Comme le montre le projet Mobilitics, développé conjointement par la Commission nationale de l’informatique et des libertés (Cnil) et l’Institut national de recherche en informatique et en automatique (Inria), de nombreuses informations sont collectées à l’insu de l’utilisateur : géolocalisation, identifiants, etc. Dans ce contexte, le groupe de la Cnil et de ses homologues européennes – le G29 – a formulé des recommandations à l’égard des « quatres grandes catégories d’acteurs impliqués dans l’écosystème des smartphones : les développeurs d’applications, les fournisseurs de systèmes d’exploitation (OS) et les fabricants de terminaux mobiles, les magasins d’applications ainsi que des tiers, comme les régies publicitaires ou les opérateurs de télécommunications. » Cet avis « leur rappelle leurs responsabilités et leurs obligations essentielles au regard de la protection des données personnelles. »
Responsabiliser les acteurs
Le G29 insiste sur l’impératif de transparence vis-à-vis des utilisateurs de la part de tous les acteurs de l’écosystème : informations claires, finalités de l’application et les possibles réutilisations des données entre différents acteurs. Les Cnil demandent l’élaboration de véritables privacy policies par les développeurs et des standards et des règles d’utilisation de la part des OS et magasins d’applications.
Le G29 recommande aux développeurs de limiter la collecte des données à celles nécessaires au bon fonctionnement de l’application selon le principe de « privacy by design ». En effet les smartphones « ne devraient pas donner lieu à une identification permanente ».
Le G29 espère une amélioration de la maîtrise des informations par les utilisateurs. Quant à la collecte des données « sensibles » - financières ou permettant d’établir un profil social - elle devra donner lieu « à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée ».
