La collecte du consentement libre des utilisateurs et spécifique aux données traitées, valorisée par le Privacy by Design
Les développeurs, en tant que responsable du traitement, doivent respecter les obligations relatives à la protection des données personnelles. Si l’information des utilisateurs est nécessaire pour rendre plus transparent le fonctionnement des applications mobiles, elle est aussi obligatoire pour obtenir le consentement éclairé des utilisateurs de l’application et justifier le traitement de leurs données.
Le G29, organe européen de conseil en matière de protection des données personnelles, a passé au peigne les applications mobiles pour vérifier si ces logiciels respectaient la règlementation relative à la protection de la vie privée. Il a identifié deux principaux risques: le manque de transparence des applis mobiles quant aux données traitées ainsi que l’absence d’intrant relatif à la protection des données personnelles dans la conception de l’application[1]. Les développeurs doivent donc obtenir le consentement des utilisateurs au traitement des données dans la limite des informations fournies et en intégrant la protection des données dès l’origine de leur projet de création d’une application.
Nous l’avons examiné dans l’article précédent [https://www.lepetitjuriste.fr/propriete-intellectuelle/le-role-des-developpeurs-dans-la-protection-des-donnees-personnelles-des-utilisateurs-dapplications-mobiles-1], la fourniture de différentes informations quant aux données traitées permet plus de transparence et de confiance dans la relation entre l’utilisateur et les responsables du traitement. Toutefois, cette relation doit s’établir formellement et pour cela, l’utilisateur, une fois éclairé, doit consentir au traitement de ses données personnelles de manière libre et spécifique[2]. L’utilisateur doit donc rester maître de son consentement, donné et limité à une catégorie de données spécifique (1). Les responsables du traitement ne peuvent garantir une telle transparence qu’en intégrant ces contraintes relatives à la protection des données dans la construction même de leur application mobile (2).
- Le caractère spécifique d’un consentement maitrisé et les principes relatifs à la qualité des données
Le caractère libre et spécifique du consentement de l’utilisateur de l’application au traitement de ses données personnelles est inextricablement lié à l’information qui lui est offerte. Plus l’utilisateur est informé, plus il est apte à consentir au traitement. En effet, l’utilisateur doit connaître le spectre des données traitées par l’appli et être libre de l’accepter ou le refuser. Ces deux options doivent lui être proposées au moment de son consentement. La liberté de consentir s’accompagne également du droit de retirer son consentement car, pour être libre, le consentement ne doit donc pas être définitif. Surtout, il ne doit pas être programmé de manière automatique par les développeurs. En effet, les paramètres par défaut de l’application et du système d’exploitation du smartphone doivent être programmés comme permettant aux utilisateurs de consentir expressément, sans acceptation automatique de tout traitement de données.
Le consentement doit surtout être spécifique, c’est-à-dire que l’acceptation de l’utilisateur doit être différenciée en fonction des catégories de données[3]. En principe, il devrait donc être obtenu pour chaque type de données traitées et la collecte ne devrait être autorisée que pour les données que l’utilisateur a choisi de partager. Ce consentement différencié donne à l’utilisateur des informations supplémentaires sur le service réellement offert par l’application et lui permet d’exercer un réel choix sur les informations qu’il souhaite partager. Le consentement de l’utilisateur au traitement des données doit être collecté avant l’installation de l’application. Toutefois, si des nouvelles fonctionnalités sont offertes et permettent l’accès à un nouveau type de données, le développeur devra à nouveau obtenir le consentement de l’utilisateur.
Une fois le consentement de l’utilisateur obtenu, le responsable du traitement doit agir en accord avec les informations qu’il a fournies. Il a l’obligation de traiter les données de manière loyale et licite[4] et surtout en respectant les finalités qu’il a déterminées et auxquelles l’utilisateur de l’application a consenti[5]. Or, le G29[6] et la CNIL[7] ont noté qu’un grand nombre de développeurs collectaient très largement tout type de données, sans lien avec le but initial de l’application. Obtenir le consentement spécifique des utilisateurs permettrait donc d’offrir plus de transparence mais aussi de fixer une limite aux développeurs.
En effet, les données personnelles traitées par les applications peuvent être distribuées à des tiers qui pourront les utiliser dans des buts d’analyse et de prospection commerciale. Les développeurs doivent donc clairement identifier les données qui leur sont nécessaires pour offrir les services prévus par l’application et ne traiter que celles-ci. C’est pourquoi, il est important pour les développeurs d’évaluer l’impact de leur application sur la vie privée des utilisateurs et surtout d’intégrer cette évaluation dès la création de leur application.
- La Privacy by Design ou l’intégration de la protection des données personnelles dès la conception de l’application
Comme le rappelle les récentes révélations du Guardian[8], les applications mobiles ont un potentiel hautement intrusif. Cela exige donc une prise en compte rapide de l’obligation de protection des données personnelles. Pour les développeurs, envisager cette problématique est vitale en raison de l’avantage concurrentiel que l’usage de bonnes pratiques procure. C’est pourquoi l’utilisation de la Privacy by Design est recommandée par la CNIL et le G29. Ce principe implique d’intégrer les exigences relatives à la protection de la vie privée dans la conception même du projet et tout au long de celui-ci. Visée par la Directive 95/46/CE[9], la Privacy by Design émerge avec la Directive 2002/58/CE[10] et pourrait devenir obligatoire avec le projet de règlement européen sur la protection des données personnelles[11]. Le rôle des développeurs dans la protection des données est primordial et, face à leur inexpérience dans le domaine de la législation en matière de vie privée, l’intégration en amont de ces obligations apparait être la solution la plus efficace.
En effet, avec l’avancement du projet d’application mobile, de nouvelles problématiques apparaissent, notamment liées au stockage et à la sécurité des données collectées. Dès lors, l’intégration progressive de la protection des données personnelles dans la conception de l’application permet une mise en conformité moins lourde. Surtout, elle offre la possibilité aux développeurs de travailler dès le départ avec toutes les cartes en main, pour préserver tant la vie privée des utilisateurs, les différentes fonctionnalités de l’appli, que l’ergonomie de l’interface.
Les développeurs sont les acteurs principaux de la protection des données des utilisateurs d’applications et leurs responsabilités sont tout aussi primordiales que les enjeux qui en résultent. L’obtention du consentement de l’utilisateur est la principale justification permettant au développeur de traiter les données personnelles qu’il collecte. Par dérogation au consentement, le traitement des données est également justifiable à travers l’exécution d’un contrat auquel la personne concernée par les données personnelles est partie ou lorsque le traitement des données est nécessaire pour réaliser l’intérêt légitime poursuivi par le responsable du traitement. Toutefois, bien qu’autorisées, ces justifications ne permettraient pas aux développeurs de gagner la confiance des utilisateurs de l’application mobile, car elle n’offrirait pas l’information et la transparence nécessaire et revendiquée par les autorités de protection des données. Le G29 a d’ailleurs rappelé ces priorités dans son récent avis sur les objets connectés[12].
Mathias Kuhn
Elève-avocat à l’ERAGE
Master 2 Droit du Multimédia et des Systèmes d’Information – Université de Strasbourg / CEIPI – 2014
Master 2 Droit Européen des Affaires – Université Paris II Panthéon Assas – 2013
[1] Opinion 02/2013 on Apps and Smart devices, Article 29 Working Party, 14 mars 2013, p. 5 et 6
[2] Art. 2.h Directive 95/46/CE
[3] Opinion 02/2013, p. 15
[4] Art. 6.1.a. Directive 95/46/CE
[5] Art. 6.1.b. Directive 95/46/CE
[6] Opinion 02/2013, p. 6
[7] http://www.cnil.fr/linstitution/actualite/article/article/les-recommandations-du-g29-sur-les-applications-mobiles-pour-smartphones-ou-tablettes/
[8] http://www.theguardian.com/world/2014/oct/16/-sp-revealed-whisper-app-tracking-users
[9] Article 17 et Considérant 46 Directive 95/46/CE
[10] Article 14(3) Directive 2002/58/CE
[11] Proposition de Règlement relative à la protection des individus au regard du traitement des données personnelles, Commission Européenne, 2012/0011(COD)
[12] Opinion 08/2014 on the Internet of Things, Article 29 Working Party,16 September 2014