Avec l’essor des applications mobiles et la collecte presque systématique des données personnelles, le traitement des données apparait au centre des préoccupations. En effet, de nombreuses règlementations encadrent aujourd’hui le traitement des informations personnelles des applications. Il est alors important pour toute entreprise possédant un projet d’application mobile d’être au point sur le RGPD (Règlement Général sur la Protection des Données).
Mais alors, en quoi consiste le RGPD des applications ? Quelles en sont les règles à respecter ? Et de quelle façon mettre en place une collecte de données en conformité avec le RGPD ?
En tant qu’agence Mobile, nous vous avons préparé un guide pour vous aider à mener à bien votre projet d’application, tout en respectant le RGPD.
Tout comprendre du RGPD
Le RGPD est un règlement de l’Union Européenne encadrant le traitement des données personnelles. Il est mis en application depuis le 25 mai 2018, dans les 27 pays membres de l’UE. Il encadre le traitement des données fait par les entreprises sur le numérique. Son objectif est ainsi d’apporter une protection aux usagers sur l’utilisation faite de leur données personnelles.
Qu’est-ce qu’une donnée personnelle ?
Selon la CNIL, (la Commission Nationale de l’Informatique et des Libertés), une donnée personnelle est « une ou plusieurs informations se rapportant à une personne physique ou identifiable ». Ces données peuvent alors constituer des informations directes (le nom, le prénom…) ou indirectes (les préférences musicales, les centres d’intérêts…).
Quelles structures sont concernées ?
Dans le cadre d’un projet d’application, toute organisation, publique ou privée, quelle que soit sa taille ou son activité, est concernée par ces mesures dès lors qu’elle répond à l’un de ces critères :
- Lorsqu’elle est établie sur le territoire de l’UE
- Lorsqu’elle cible des consommateurs qui sont établis dans l’UE.
Les étapes à suivre pour développer son application en toute sérénité
Dans cette partie, vous trouverez une liste de recommandations permettant de mettre en place un plan d’action efficace afin de collecter des données personnelle sur une application.
Créer un registre des activités de traitement
Toute organisation traitant des données doit tenir un registre d’activités de traitement dès la phase de conception de l’application mobile. Ce registre consiste alors en une analyse détaillée du traitement des données. Il faut y indiquer :
- Les acteurs concernés (employés, sous-traitants, co-responsables, etc.) intervenant dans le traitement des données.
- Les catégories de données à traiter.
- Le but final de la collecte de données (ex: la création d’un fil d’actualité personnalisé selon les centres d’intérêts des internautes).
- Les personnes qui accèdent aux données (au sein de l’entreprise et en externe).
- La durée de conservation des données.
- Leur sécurisation.
Respecter l’obligation de transparence et d’information
Toutes les fois où des données personnelles sont collectées sur une application , il est obligatoire de :
- Informer l’utilisateur de la collecte de données.
- Enoncer un motif justifiant du traitement des données.
- Requérir le consentement clair et assuré de l’utilisateur avant la collecte de données (la fameuse case à cocher).
- Ne pas utiliser ces données pour un autre motif que celui énoncé (le consentement devra dans ce cas être renouvelé).
- Préciser les entités ayant accès aux données (ex: le service marketing, un prestataire externe).
- Indiquer la durée de conservation.
- Informer l’utilisateur de l’application sur ses droits et les moyens de les exercer. (Ex: droit de suppression, droit d’accès, d’opposition, de rectification…)
- Dans le cas ou dans données sont transférées en dehors de l’UE, préciser le pays et l’encadrement juridique maintenant le niveau de protection des données.
Sécurisation & confidentialité des données
Enfin, selon le principe d’intégrité et de confidentialité, la personne physique ou morale qui détermine les finalités de l’application mobile est considérée comme responsable de leur traitement et de leur sécurité. Le plus souvent, il s’agit donc du « propriétaire de l’application ». Toutefois, dans le cas ou une société fait appel à un prestataire, cette responsabilité peut alors être partagée.
Toutes les données personnelles relatives à une application mobile doivent donc être sécurisées. Cette sécurisation doit alors comprendre des techniques de protections plus ou moins fortes, en fonction de la sensibilité des données stockées. Les données comprenant des informations susceptibles d’entrainer des discriminations, telles que l’orientation sexuelle, le religion, l’origine ethnique ou encore les données de santé sont considérés comme particulièrement sensibles.
