La nécessaire information des utilisateurs sur le traitement de leurs données personnelles, adaptée aux contraintes du smartphone.
Les récentes révélations sur les applications Snapchat ou Whisper démontrent le potentiel hautement intrusif de ces logiciels pour la vie privée des utilisateurs, et l’absence d’information valide sur les données personnelles traitées[1]. Les smartphones font partie de notre quotidien et les applications mobiles se multiplient. En juillet 2014, plus de 1,3 millions d’applications étaient disponibles sur Google Play Store et 1,2 millions sur l’Apple Store[2]. Leur valeur ne fait qu’augmenter. Les géants du Web proposent des sommes astronomiques aux développeurs pour le rachat de leur « App ». En février 2014, Facebook a effectué la plus grosse acquisition de son histoire en achetant WhatsApp pour 19 milliards de dollars[3]. En 2013, Yahoo avait déboursé 30 millions de dollars pour acquérir Summly, créée par un ado de 17 ans. Un grand nombre d’applications au succès établi, comme Tinder, ou grandissant, tel Pictever, pourrait connaître un destin similaire. Pourquoi les principaux acteurs du monde de l’Internet sont-ils prêts à de tels investissements?
Ces applications, qui peuvent rapidement toucher une large audience, sont de potentielles mines d’or pour les développeurs, mais aussi des mines de données personnelles pour les entreprises, car chacun de nous y partage son identité, sa localisation, mais aussi ses données bancaires.
Les données personnelles sont l’actif le plus précieux des acteurs du Web. En effet, les données « offertes » par les utilisateurs peuvent être utilisées à des fins publicitaires et monétisées par les entreprises. Cette valorisation aurait créé environ 122 milliards d’euros de recettes en 2012[4]. Toutes ces applications sont capables de traiter une grande quantité des données personnelles et peuvent les utiliser pour les monétiser. C’est pourquoi les géants du Web se les arrachent à prix d’or, et les autorités de protection des données s’inquiètent.
Après l’avis du G29 sur les applications mobiles[5], plusieurs autorités nationales y ont consacré des développements et un « Internet Sweep Day » a eu lieu début 2014 en Europe pour vérifier le niveau de protection offert par les applis mobiles[6]. Le constat est clair: une grande majorité des applications manquent de transparence sur les données traitées et sur le traitement en tant que tel[7]. Même non spécialistes de la protection des données personnelles, les développeurs, doivent inclure ce facteur juridique dans leur projet, d’un point de vue purement légaliste, mais aussi d’un point de vue commercial, car gagner la confiance des utilisateurs quant aux donnés qu’ils partagent est un avantage concurrentiel certain sur le marché.
Les obligations pesant sur les responsables du traitement, conjointement développeurs et app stores, dépendent en partie des différentes fonctionnalités de l’application. C’est pourquoi nous ne nous intéresserons qu’aux principales exigences soulevées par les autorités vers lesquels les développeurs doivent converger. Surtout, les développeurs ont l’obligation de déclarer le traitement à l’autorité nationale de protection des données (en France, la CNIL).
Le G29 a, dès 2013, identifié deux risques: le manque de transparence des applis quant aux données traitées ainsi que l’absence d’intrant relatif à la protection des données personnelles dans la conception de l’application. Nous verrons ce dernier point lié au concept de Privacy by Design dans un second article à venir prochainement.
Face au manque de transparence, les développeurs et les app stores doivent améliorer l’information fournie aux utilisateurs. Or, pour justifier le traitement des données personnelles, le responsable du traitement a l’obligation de recueillir le consentement de la personne concernée au traitement de ses données personnelles[8] avant celui-ci, et donc avant l’installation de l’application (1). Toutefois, pour que l’information soit claire et lisible, elle doit aussi être adaptée au support qu’est le smartphone (2).
1. L’information de l’utilisateur préalable à son consentement
Le consentement de l’utilisateur de l’application quant au traitement des données personnelles doit être recueilli préalablement à l’installation de l’application. La forme du consentent exprès ou ‘opt-in’, où l’utilisateur coche une case acceptant que ses données soient traitées, doit être privilégiée. Surtout, pour que le consentement soit valide, l’utilisateur doit être informé de manière non ambiguë à ce à quoi il consent.
L’information à disposition de l’utilisateur doit porter sur[9]:
- l’identité du responsable du traitement et ses coordonnées;
- le type de données collectées et traitées;
- le but du traitement des données;
- la collecte et le traitement des données de l’utilisateur par des tiers;
- les mesures de sécurité adoptées par le responsable du traitement;
- la période de conservation des données; et
- les droits des utilisateurs sur ces données[10].
En complément nécessaire, des informations plus détaillées doivent être fournies par les développeurs au travers de leur politique de confidentialité. Celle-ci doit indiquer aux utilisateurs les fonctions du téléphone (caméra, géolocalisation) auxquelles l’application souhaite accéder et en expliquer les raisons. La politique de confidentialité des applis mobiles doit être lisible, compréhensible et facilement accessible[11].
En effet, l’accessibilité de la politique de confidentialité doit se faire via l’application, mais aussi le site Internet dédié à celle-ci, avant et après l’installation. La multiplicité des formes de l’information s’explique surtout par son support, car les responsables du traitement doivent tenir compte de la taille réduite de l’écran sur lequel ils fournissent l’information. Comme le souligne l’autorité britannique de protection des données personnelles, la politique de confidentialité peut, dans le cas des applis mobiles, se révéler être une entrave plus qu’un bénéfice pour l’utilisateur[12]. Les informations, et notamment la politique de confidentialité, doivent donc être aisément localisables et adaptées au smartphone.
2. L’adaptation du design de l’information aux contraintes du smartphone
Alors que l’utilisateur peut exprimer son consentement de manière « classique » en cochant une case confirmant son information et acceptation au traitement de ses données, soulignons que l’écran d’un smartphone, à raison de sa taille, est inadapté à la fourniture et la lecture d’une information détaillée. En effet, la lecture d’une politique de confidentialité sur un smartphone obligerait l’utilisateur à faire défiler le texte. Ce processus fastidieux risquerait de décourager fortement ce dernier. C’est pourquoi le G29[13] et d’autres autorités européennes[14], encouragent les développeurs à adopter le système de l’information « à deux niveaux ». Un premier niveau d’information de base est fourni aux utilisateurs sur l’écran du smartphone et contiendrait un lien hypertexte renvoyant vers un deuxième niveau d’information plus détaillé, la politique de confidentialité, facilement lisible sur un écran plus grand.
Surtout, il est conseillé aux développeurs de faire preuve de créativité dans l’accomplissement de leur obligation d’information en tirant profit des avantages du smartphone pour contourner ses contraintes techniques. Une amélioration du design de l’application est possible en utilisant des icônes explicites sur le type données collectées. Aussi, les développeurs sont encouragés à utiliser le système de notification instantanée pour avertir les utilisateurs d’un accès à leurs contacts, photos ou localisation. Les smartphones entrainent des contraintes pour les développeurs dans l’accomplissement de leurs obligations, mais offrent aussi de nouvelles possibilités pour informer les utilisateurs.
Avant d’obtenir le consentement de l’utilisateur pour justifier le traitement de ses données, les développeurs doivent gagner leur confiance. La confiance passe par la transparence, surtout au regard de l’actuelle prise de conscience des internautes de la nécessité de protéger leurs données[15]. Le G29 a d’ailleurs rappelé, dans son avis rendu récemment sur les objets connectés[16], la nécessité d’informer les utilisateurs avant la collecte de leur consentement et le traitement des données personnelles et d’intégrer la protection de ces données dès le commencement d’un projet.
Mathias Kuhn
Elève-avocat à l’ERAGE
Master 2 Droit du Multimédia et des Systèmes d’Information – Université de Strasbourg / CEIPI – 2014
Master 2 Droit Européen des Affaires – Université Paris II Panthéon Assas – 2013
[1] http://www.lemonde.fr/pixels/article/2014/10/20/snapchat-whisper-et-secret-ne-sont-pas-les-outils-qu-il-faut-pour-proteger-sa-vie-privee_4509012_4408996.html
[3] http://www.lemonde.fr/technologies/article/2014/03/07/le-rachat-de-whatsapp-par-facebook-critique-au-nom-de-la-vie-privee_4379205_651865.html
[4] http://www.lemonde.fr/idees/article/2014/10/22/vendez-vous-memes-vos-donnees-personnelles_4510391_3232.html
[5] Opinion 02/2013 on Apps and Smart devices, Article 29 Working Party, 14 mars 2013
[6] http://www.cnil.fr/linstitution/actualite/article/article/internet-sweep-day-les-utilisateurs-dapplications-mobiles-sont-ils-suffisamment-informes/
[7] http://www.cnil.fr/linstitution/actualite/article/article/internet-sweep-day-des-applications-mobiles-peu-transparentes-sur-le-traitement-de-vos-donnees/
[8] Article 7.a. Directive 95/46/CE
[9] Opinion 02/2013, p. 22; Article 10 Directive 95/46/CE
[10] Droit d’accès aux données, d’opposition, de rectification et droit à l’oubli (art. 12 Dir. 95/46/CE; art. 15 à 17 du projet de règlement sur la protection des données personnelles (COM(2012)0011))
[11] Opinion 02/2013, p. 23
[12] Privacy in mobile apps – Guidance for app developers, Information Commissioner’s Officer, December 2013
[13] Opinion 02/2013, p. 23
[14] La Garante (Italie) dans son rapport du 8 mai 2014 relatif à la fourniture d’information et l’obtention du consentement des internautes, mais aussi l’AEPD (Espagne) dans ses lignes directrices sur l’utilisation des cookies publiées le 29 avril 2013.
[15] http://www.lemonde.fr/pixels/article/2014/10/29/tim-berners-lee-l-interet-pour-les-libertes-numeriques-est-sans-precedent_4513902_4408996.html
[16] Opinion 08/2014 on the Internet of Things, Article 29 Working Party,16 September 2014