Les nouveaux outils et applications mobiles, du fait des services qu’ils proposent et de leur installation sur les terminaux mobiles, collectent de nombreuses informations sur leurs utilisateurs qui voyagent avec les utilisateurs, y compris à l’international.

 

Ces informations ainsi stockées, qu’elles soient relatives à l’identité des personnes, à la localisation, à des données bancaires ou à des habitudes de vie, relèvent de la réglementation européenne et française et notamment de la Loi Informatique et Libertés[1].

 

Le Groupe de l’article 29 institué par la directive européenne de 1995[2] pour travailler sur la protection des données au plan européen (« G29 »), a rendu le 27 février un avis sur ces applications mobiles et tablettes[3].

 

Ainsi, le G29 relève que les principaux risques pour les données à caractère personnel des utilisateurs d’applications résident :

 

­        –  dans l’absence de prise en compte des principes en matière de protection des données issues de la réglementation européenne, laquelle est pourtant applicable à toutes applications visant des utilisateurs situés sur le territoire d’un des Etats membre de l’Union européenne, et ce peu importe le lieu de situation du développeur ou du distributeur.

 

­        –  dans la multitude d’acteurs (développeurs, éditeurs, distributeurs, constructeurs et autres) concernés par ces applications, qui a pour conséquence de disséminer les données des utilisateurs, impliquant ainsi la perte de la maîtrise de ces données et des transferts de données vers des pays ne disposant pas d’un niveau de protection équivalent à celui des Etats membre de l’Union européenne.

 

Ce constat est l’occasion pour le G29 de rappeler les principes essentiels en matière de protection des données tels que :

 

­       –   l’information des utilisateurs sur le traitement de leurs données ;

­       –   l’obtention du consentement de l’utilisateur préalablement à la collecte ;

­       –   l’application de durées raisonnables de conservation des données ;

­       –   la limitation de la collecte aux données strictement nécessaires ;

­       –   les conditions particulières applicables à la collecte des données de mineurs ;

­       –   les mesures de sécurité garantissant la confidentialité et l’intégrité des données.

 

Le G29 semble ainsi vouloir convier les acteurs intervenant dans toute la chaine de fabrication jusqu’à la distribution des applications, à s’interroger sur la conception et la distribution de ces applications en rappelant leur responsabilité dans la collecte et le traitement des données.

 

Cette position est en ligne directe avec la proposition de règlement général du 25 janvier 2012, 2012/0011 sur la protection des données[4] visant à renforcer les obligations des entités collectant ou traitant des données qu’elles soient responsables ou sous-traitants, au nom de la protection des données.

 

 

En conséquence, nous recommandons notamment au travers des contrats que vous signez avec vos partenaires :

 

–          si vous êtes développeur ou éditeur d’applications : de prévoir dès leur conception la mise en conformité de ces applications en intégrant des dispositifs de protection des données, mais également de protection des droits des utilisateurs (information claire et précise, modalité d’expression du consentement, mesure de sécurité, etc.) ;

 

–          si vous êtes distributeurs : de vous assurer du respect des principes essentiels à la protection des données issus de la réglementation européenne en tant que responsable de traitement, mais également de rappeler ceux-ci aux développeurs dont vous distribuez les applications en précisant que la réglementation européenne s’impose dès lors que les applications sont distribuées au sein des Etats membres de l’Union européenne;

 

–          si vous êtes un tiers (destinataires de données collectées au travers des applications) : de tenir compte des principes précités dans la mesure où vous êtes responsable des traitements de données que vous réalisez/exploitez ;

 



[1] Loi n°17-78 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée

[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3] Opinion 02/2013 on apps on smart devices, Article 29 Data Protection Working Party, WP 202, adopted on 27 february 2013,

[4] Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012, 2012/0011

Nous contacter