RGPD-app mobile

Nous parlions déjà de confidentialité lors de notre précédent article et vous n’avez certainement pas pu le rater, avec le nombre d’emails vous informant de la mise à jour des politiques de confidentialité de différentes plateformes auxquelles vous êtes inscrits. Vous l’aurez deviné, c’est le RGPD. Voté en 2016, le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai dernier. Si vous n’avez pas encore eu le temps, c’est peut-être le moment de vous conformer au RGPD avant d’encourir une sanction. Si vous êtes éditeur et que vous gérez une ou plusieurs applications mobiles, nous vous expliquons dans cet article quelles mesures prendre pour adopter le RGPD et éviter des sanctions.

Soyez transparent :

Il est à présent indispensable d’informer de façon détaillée l’utilisateur de votre application sur les points suivants :

  • La nature des données le concernant que vous collectez
    Quelles informations allez-vous collecter sur votre utilisateur ? Sont concernées par le RGPD toutes les “données à caractère personnel”. Vous devez définir dans vos conditions d’utilisation et votre politique de confidentialité que vous allez récolter, par exemple, la géolocalisation de façon permanente, la liste de contacts, les photos, les identifiants, et toute autre donnée permettant d’identifier l’utilisateur en tant que personne physique.
  • Le parcours de ces données
    Que va-t-il advenir de ces données ? Seront-ils stockés dans des serveurs internes ? Seront-ils chiffrés et “anonymisés” ? Seront-ils transmis à un prestataire externe, soit pour le stockage, soit pour un éventuel traitement ou analyse ? L’utilisateur de votre application doit savoir exactement.
  • Le comment et le pourquoi de la collecte des données
    Si votre application mobile récolte des données d’utilisateur dans le seul but de les réutiliser pour améliorer l’expérience utilisateur, prenez la peine de la préciser et d’expliquer comment chaque type de données collecté va permettre cela. Si vous ne justifiez pas la récolte de certaines données en expliquant la finalité de leur utilisation, des sanctions peuvent-être encourues.

Toutes ces informations devront être précisées dans votre nouvelle charte de politique de confidentialité. Vous devrez également informer vos utilisateurs de la mise-à-jour de ladite charte.

Le droit à l’accès :

Le RGPD donne le droit à l’utilisateur d’accéder et contrôler avec flexibilité les données récoltées sur lui. Vous devez donc lui garantir la possibilité de :

  • Consulter les données que vous récoltez à son sujet
    Si votre application ne prévoit pas de donner un accès direct de l’utilisateur à ses données, ce dernier doit, à défaut, pouvoir demander “facilement” une copie de l’ensemble des données le concernant.
  • Modifier ses données
    En effet, si l’utilisateur juge les données collectées sur lui, erronées, fausses, altérées, il doit pouvoir avoir le droit de les modifier, ou de demander leur modification dans un délai très restreint.
  • Supprimer ses données
    S’il le souhaite, l’utilisateur doit pouvoir supprimer ses données, demander que ce soit fait de votre part, ou simplement vous obliger à le faire en retirant son consentement à l’utilisation de ses données.

Afin de faciliter toutes ces opérations, il est souhaitable, selon la CNIL, de “cartographier” les données recensées et d’élaborer un registre de traitement des données.

Autres résolutions à adopter :

  • Le consentement de votre utilisateur
    Ce dernier doit être clair et explicite. Il n’est plus possible de se reposer sur le modèle opt-out, supposant un accord préalable de l’utilisateur si ce dernier n’a pas interdit une récolte de données. Il est également interdit de “pré-cocher” des cases de consentement à la place de l’utilisateur.
  • Renforcer la protection des données
    Vous êtes entièrement responsable des conditions de sécurité dans lesquelles vous conservez les données, et de la mise en place de dispositions fiables de protection de celles-ci. En cas de fuite de données, vous risquez des sanctions.
  • Confier le travail à un professionnel
    Si la CNIL demeure disponible pour vous conseiller sur les mesures à adopter pour vous conformer au RGPD, elle recommande toutefois de recruter une personne chargée de piloter l’opération de mise en conformité. En effet, selon la taille de votre entreprise et le nombre d’applications que vous gérez, il se peut que vous deviez faire appel à un “correspondant informatique et libertés”, qui devra cartographier les données, assurer le recensement de leur traitement, répondre aux requêtes des utilisateurs souhaitant accéder, contrôler, supprimer, ou transférer leurs données vers un un autre organisme.

 

Laissez un commentaire