En janvier 2024, la CNIL a prononcé une amende de 10 millions d’euros contre une société éditrice d’une application mobile de e-commerce. Le motif : collecte excessive de données de géolocalisation sans consentement (source : CNIL, sanctions 2024). Les applications mobiles sont dans le viseur du régulateur. Et votre appli n’est pas exemptée, quelle que soit sa taille.
Vous éditez une application mobile via Appli en Direct ? Ce guide passe en revue vos obligations RGPD, point par point, sans jargon inutile.
Ce que le RGPD change pour les applications mobiles
Le RGPD (Règlement Général sur la Protection des Données) encadre toute collecte et tout traitement de données personnelles au sein de l’Union européenne depuis le 25 mai 2018 (source : CNIL). Une application mobile est, par nature, un outil de collecte : identifiants d’appareil, données de connexion, géolocalisation, interactions utilisateur, données de profil.
La CNIL a publié en septembre 2023 des recommandations spécifiques aux applications mobiles (source : recommandation applications mobiles, CNIL). Ce texte clarifie la responsabilité de l’éditeur et les droits des utilisateurs. Concrètement, si vous publiez une appli sur l’App Store ou le Play Store, vous endossez le rôle de responsable de traitement au sens du RGPD.
La base légale : sur quel fondement collectez-vous des données ?
Chaque collecte de données doit reposer sur une base légale. Le RGPD en prévoit six (article 6), mais pour une application mobile, trois bases reviennent le plus souvent :
Le consentement. L’utilisateur accepte explicitement que vous collectiez ses données. C’est la base la plus courante pour les newsletters, les notifications push, ou l’accès aux photos/contacts du téléphone. Le consentement doit etre libre, spécifique, éclairé et univoque (source : article 4 du RGPD, Legifrance).
L’exécution d’un contrat. Vous avez besoin de certaines données pour fournir le service. Par exemple, le nom et l’email d’un adhérent pour lui créer un compte dans l’appli. Pas besoin de consentement supplémentaire ici : la collecte est nécessaire au service.
L’intérêt légitime. Vous collectez des statistiques d’usage anonymisées pour améliorer votre application. L’intérêt légitime doit etre documenté et ne pas primer sur les droits de la personne.
Chaque donnée collectée doit être rattachée à une base légale. Si vous ne savez pas pourquoi vous collectez une information, vous ne devriez probablement pas la collecter.
Consentement in-app : les règles du jeu
Le consentement dans une application mobile obéit à des règles strictes. Voici ce que vous devez respecter :
Pas de case pré-cochée. L’utilisateur coche lui-meme. Une case pré-cochée ne constitue pas un consentement valide selon la jurisprudence de la CJUE (arret Planet49, 2019).
Un consentement par finalité. Vous ne pouvez pas regrouper toutes les autorisations dans un meme bouton “J’accepte tout”. L’accès aux notifications, à la géolocalisation et aux photos nécessite trois consentements distincts.
Le droit de retirer son consentement. L’utilisateur doit pouvoir se rétracter aussi facilement qu’il a consenti. Si l’inscription prend un clic, la désinscription aussi.
Preuve du consentement. Vous devez conserver la trace que l’utilisateur a consenti, quand, et à quoi. Horodatage, version des conditions acceptées, canal (appli iOS/Android).
Avec Appli en Direct, les mécanismes de consentement sont intégrés nativement : opt-in pour les notifications push, acceptation des conditions lors de l’inscription, options de désinscription accessibles dans les paramètres.
Privacy by design : intégrer la protection dès la conception
Le RGPD impose le principe de protection des données dès la conception (article 25). En pratique, pour une application mobile, cela signifie :
Minimisation des données. Ne collectez que ce qui est strictement nécessaire. Si votre appli sert à diffuser des actualités et un calendrier, vous n’avez pas besoin de la date de naissance ni du numéro de téléphone de vos utilisateurs.
Paramètres de confidentialité par défaut. À l’installation, les réglages les plus protecteurs doivent etre activés. L’utilisateur choisit ensuite d’élargir ses autorisations, pas l’inverse.
Pseudonymisation et chiffrement. Les données stockées localement sur le téléphone et celles transmises à vos serveurs doivent etre protégées. Le chiffrement TLS est un minimum pour les échanges réseau.
Durées de conservation définies. Chaque catégorie de données a une durée de vie. Les données d’un compte inactif depuis 3 ans ? Supprimez-les. La CNIL recommande de ne pas conserver les données au-delà de ce qui est nécessaire à la finalité (source : CNIL, durées de conservation).
Notifications push et RGPD
Les notifications push soulèvent une question récurrente : faut-il un consentement RGPD distinct, en plus de l’autorisation système iOS/Android ?
La réponse est nuancée. L’autorisation système (la popup “Autoriser les notifications”) constitue un premier niveau de consentement technique. Mais si vous utilisez les push pour du marketing ou de la prospection commerciale, la directive ePrivacy (transposée en France par l’article L.34-5 du Code des postes et des communications électroniques) impose un consentement spécifique.
En pratique, pour une appli de type Appli en Direct :
- Les notifications informatives (résultats, rappels d’événements, actualités de la structure) relèvent de l’exécution du service. L’autorisation système suffit.
- Les notifications promotionnelles (offres partenaires, publicités tierces) nécessitent un consentement marketing additionnel.
La bonne pratique : proposez un centre de préférences dans l’appli. L’utilisateur choisit quels types de notifications il reçoit. Cela respecte le RGPD et améliore l’expérience utilisateur. Moins de push non désirés = moins de désinstallations.
Consultez notre guide sur les bonnes pratiques de notifications push pour aller plus loin.
Cookies, trackers et SDK tiers
Votre application embarque probablement des outils tiers : analytics (Firebase, Matomo), crash reporting, outils de support. Chacun de ces SDK peut collecter des données.
Ce que vous devez faire :
- Dresser la liste de tous les SDK intégrés dans votre appli et les données qu’ils collectent.
- Informer l’utilisateur de la présence de ces outils dans votre politique de confidentialité.
- Recueillir le consentement avant d’activer les trackers non essentiels (analytics marketing, publicité ciblée).
- Vérifier la conformité de vos sous-traitants. Firebase (Google), par exemple, transfère les données vers les États-Unis. Assurez-vous que les clauses contractuelles types (CCT) sont en place.
Les trackers strictement nécessaires au fonctionnement de l’appli (crash reporting, sécurité) peuvent etre activés sans consentement, mais doivent etre mentionnés dans la politique de confidentialité.
Le DPO : en avez-vous besoin ?
Le Délégué à la Protection des Données (DPO) est obligatoire dans trois cas (article 37 du RGPD) :
- Vous etes une autorité ou un organisme public.
- Votre activité principale implique un suivi régulier et systématique des personnes à grande échelle.
- Vous traitez des données sensibles à grande échelle (santé, opinions politiques, données biométriques).
Pour la plupart des éditeurs d’appli via Appli en Direct, le DPO n’est pas obligatoire. Une association sportive, un commerce, une école ne remplissent généralement pas ces critères.
Cela dit, désigner un référent interne (meme sans le titre officiel de DPO) est une bonne pratique. Cette personne sera le point de contact pour les demandes des utilisateurs et le suivi de la conformité.
Le registre des traitements
L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre des traitements. Pas besoin d’un logiciel complexe. Un tableau structuré suffit.
Voici un modèle adapté à une application mobile :
| Traitement | Données collectées | Base légale | Finalité | Durée de conservation | Destinataires |
|---|---|---|---|---|---|
| Création de compte | Nom, email, mot de passe | Contrat | Accès au service | Durée du compte + 3 ans | Hébergeur |
| Notifications push | Token appareil | Consentement | Communication | Durée d’installation | Hébergeur, Firebase |
| Statistiques d’usage | Données anonymisées | Intéret légitime | Amélioration du service | 26 mois | Analytics |
| Formulaire de contact | Nom, email, message | Consentement | Réponse à la demande | 1 an | Gérant |
La CNIL propose un modèle de registre téléchargeable gratuitement (source : modèle registre CNIL).
Ce registre doit etre tenu à jour. Chaque nouvelle fonctionnalité qui collecte des données doit y etre ajoutée avant sa mise en production.
Sous-traitance : hébergeur, analytics, services tiers
Quand vous utilisez Appli en Direct, vos données sont hébergées par un sous-traitant technique. Le RGPD encadre strictement cette relation (article 28).
Vos obligations en tant que responsable de traitement :
- Un contrat de sous-traitance doit exister entre vous et chaque prestataire qui accède aux données de vos utilisateurs. Ce contrat précise les données traitées, les finalités, les mesures de sécurité et les obligations en cas de violation.
- Vérifier la localisation des données. Les données de vos utilisateurs sont-elles stockées en Europe ? Les transferts hors UE nécessitent des garanties supplémentaires (clauses contractuelles types, décision d’adéquation).
- S’assurer que le sous-traitant ne réutilise pas les données pour son propre compte.
Appli en Direct héberge les données en France, sur des serveurs conformes aux normes RGPD. Le contrat de sous-traitance est inclus dans les conditions générales du service. Découvrez toutes les fonctionnalités de la plateforme.
Les droits des utilisateurs : comment y répondre
Le RGPD accorde aux utilisateurs de votre application plusieurs droits que vous devez respecter :
- Droit d’accès (article 15) : l’utilisateur peut demander quelles données vous détenez sur lui.
- Droit de rectification (article 16) : il peut corriger des données inexactes.
- Droit à l’effacement (article 17) : il peut demander la suppression de ses données.
- Droit à la portabilité (article 20) : il peut récupérer ses données dans un format lisible par machine.
- Droit d’opposition (article 21) : il peut s’opposer à certains traitements (prospection commerciale notamment).
Vous devez répondre dans un délai d’un mois. Prévoyez un processus interne clair. Indiquez dans votre appli comment exercer ces droits (adresse email dédiée, formulaire de contact, section dans les paramètres).
Que faire en cas de violation de données ?
Si les données de vos utilisateurs sont compromises (fuite, piratage, accès non autorisé), vous devez :
- Notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33).
- Informer les personnes concernées si la violation présente un risque élevé pour leurs droits (article 34).
- Documenter l’incident : nature de la violation, données concernées, mesures prises.
Ce scénario est rare pour une appli gérée via une plateforme comme Appli en Direct, dont l’infrastructure est sécurisée et surveillée. Mais le processus doit etre prévu.
Votre plan d’action RGPD en 7 étapes
- Listez toutes les données collectées par votre application et la base légale associée.
- Rédigez ou mettez à jour votre politique de confidentialité.
- Vérifiez les mécanismes de consentement (notifications, inscription, trackers).
- Tenez votre registre des traitements à jour.
- Identifiez vos sous-traitants et vérifiez les contrats.
- Prévoyez un processus pour répondre aux demandes d’exercice de droits.
- Formez votre équipe aux bonnes pratiques (mots de passe, accès limités, signalement d’incidents).
Ce n’est pas un projet de 6 mois. Pour une appli de taille classique, une journée de travail suffit pour mettre les bases en place.
Passez à l’action
Le RGPD n’est pas un frein. C’est un cadre qui protège vos utilisateurs et renforce la confiance dans votre application. Une appli transparente sur ses pratiques de données inspire plus confiance qu’une appli opaque.
Appli en Direct vous fournit les outils techniques pour etre conforme : consentements intégrés, hébergement sécurisé en France, contrat de sous-traitance inclus. Le reste, c’est de la documentation et du bon sens.
Demandez une démo gratuite pour découvrir comment Appli en Direct vous accompagne dans votre mise en conformité RGPD.
Cet article fait partie de notre Guide Appli en Direct.
