La conformité des applications mobiles, un nouvel enjeu majeur pour les annonceurs

‍

‍

I -Conformité des applications mobiles, une priorité 2024 ! 

En 2022, les français passaient en moyenne 3,9 heures par jour sur leur téléphone mobile, un chiffre en constante augmentation. L’évolution des pratiques numériques et l’augmentation de l’utilisation des applications mobiles ont incité la CNIL à se pencher davantage sur ce sujet. Dans le cadre de son plan d’action sur les applications mobiles, la CNIL a publié l’été 2023 un projet de recommandation afin de clarifier les obligations légales des différents acteurs concernés et de promouvoir les bonnes pratiques en la matière. La CNIL prépare ainsi le pendant applicatif de ses lignes directrices publiées en mars 2021 qui concernaient principalement le web. La conformité des applications mobiles apparaît donc comme un axe prioritaire de la Commission pour l’année 2024. 

Les applications mobiles permettent le traitement de grandes quantités de données personnelles qui n’existent pas (ou peu) sur la plupart des environnements web : géolocalisation en temps réel, accès au carnet d’adresses de l’utilisateur, utilisation de l’appareil photo du téléphone, authentification via Google / Facebook, etc. Cela rend cet environnement d’autant plus sensible à l’utilisation des données des utilisateurs. 

II - Les applications, un environnement complexe à auditer

Les annonceurs peuvent d’ores et déjà réaliser un audit de leurs applications mobiles en vérifiant les éléments indiqués par la CNIL dans son projet de recommandation :  

• Le consentement de l’utilisateur est-il bien recueilli ?
• L’utilisateur est-il bien informé des données collectées et des permissions accordées ?

• Les bonnes pratiques de gouvernance sont-elles mises en place ?

Toutefois, l’environnement technique des applications mobiles est très différent des sites web, à tel point que les applications sont souvent comparées à des “boîtes noires”. 

1. Une complexité liée à la gouvernance

Dans la plupart des entreprises, les équipes gérant le côté web et les équipes gérant les applications mobiles sont différentes, et n’ont que très peu d’adhérence dans leurs travaux. Les décisions de conformité liées à l’utilisation de données sur le web ne parviennent parfois pas à leurs homonymes côté applications mobiles. 

2. Des processus moins documentés

Suite aux différentes réglementations web émises par les différentes institutions françaises et européennes, les annonceurs ont pris l’habitude de réaliser une documentation avancée de leur conformité web. Cela permet, en cas de contrôle, de facilement justifier le respect de la législation et montrer sa bonne volonté. Cette exhaustivité est cependant bien rare sur les applications mobiles : très peu d’historisation, pas de politique de vie privée dédiée, et peu de gouvernance liée à la conformité mise en place !

3. Une technologie plus complexe à maîtriser

Technologiquement, une application mobile évolue dans un monde complètement différent de celui du web : elle est en effet liée au code, impliquant un environnement plus technique et qui demande des compétences particulières. 

De plus, sur le web en configuration client-side, la transparence prime : nous pouvons observer l’ensemble des requêtes facilement et instantanément sur le navigateur. Sur une application, les requêtes sont parfois réalisées en différé et ne sont pas visibles par l'utilisateur : cela rend son audit plus compliqué. 

III - La méthodologie d’audit 

A - Objectifs de l’audit

Afin de répondre aux enjeux de maîtrise des traceurs, nous avons conçu une méthode d’audit robuste pour identifier les traceurs présents sur les applications, les SDK (Software Development Kits) à l’origine de leur dépôt, ainsi que leurs finalités. Cela permet de s’assurer de la conformité des traceurs ou d’identifier les actions correctives à réaliser pour garantir une conformité. 

Toute la complexité et l’enjeu de l’audit des applications mobiles est d’avoir un outil permettant d’analyser toutes les requêtes provenant des différents SDK ; sur le marché, plusieurs outils mettent en visibilité différentes requêtes. 

B - La méthodologie d’audit à mettre en place 

‍

Notre méthodologie repose tout d’abord sur le mapping des SDK avec les équipes métiers et applicatives afin d’identifier les SDK utilisés, notamment ceux pour lesquels nous allons devoir analyser les requêtes. C’est aussi l’occasion de comprendre la finalité métier de ces différents SDK, dont ceux à vocation marketing. 

Par la suite, nous utilisons 2 outils complémentaires afin de réaliser l'audit : un outil applicatif traditionnel, Browserstack, et l’outil utilisé par NYOB (“None Of Your Business”, organisation de protection de la vie privée) dans ses audits, PiRogue. Ces outils permettent de mettre différentes requêtes en lumière. 

Nous analysons ainsi les requêtes en testant différents scénarios de consentement (avant consentement, après refus et après consentement) et détectons la présence potentielle de données personnelles, comme le nom, prénom ou l’email. 

Les résultats de cet audit vont permettre de mettre en évidence les problèmes de conformité de l’application ainsi que les solutions pour y remédier.

C - Pérenniser la conformité sur le long terme 

Si très peu d’outils permettent aujourd’hui un audit exhaustif des applications mobiles, certains apparaissent toutefois sur le marché. Chez fifty-five, nous en avons testé quelques-uns, que nous pouvons rassembler en 2 catégories : 

• Les outils permettant de réaliser des audits unitaires : Browserstack, PiRogue, Fiddler
• Les outils permettant d’industrialiser l’audit et d’avoir un monitoring sur le long terme : Netvigie 

Si vous souhaitez en savoir plus sur l’audit des applications mobiles, n’hésitez pas à nous contacter ! Vous pouvez aussi découvrir nos ressources concernant la protection des données personnelles sur cette page dédiée.