25/04
La CNIL souhaite limiter les fuites de données sur les mobiles
Si 24 millions de Français possèdent un smartphone avec près d’un million d’applications disponible, la Commission Nationale Informatique et Liberté, tire la sonnette d’alarme sur les applications à l’origine de la majorité des fuites de données et de confidentialités.
Le Groupe des CNIL Européenne dévoile ce jour une liste de recommandations pour les 4 types d’acteurs impliqués dans l’écosystème des Smartphones :
- La nécessaire limitation des données traitées dans le cadre de l’utilisation de smartphones : le principe de " privacy by design " doit conduire les développeurs d’application à une minimisation des données collectées (seules les données nécessaires au fonctionnement de l’application doivent être recueillies) ; les smartphones ne devraient pas donner lieu à une identification permanente via un identifiant spécifique et, pour éviter un traçage continu des utilisateurs, il convient donc de recourir à des identifiants temporaires ou ciblant une application ou une catégorie d’applications.
- L’impératif de transparence à l’égard des utilisateurs : tous les acteurs de cet écosystème doivent fournir aux personnes concernées des informations claires sur les données traitées, les finalités de chaque application et les possibles réutilisations des données, notamment lorsque celles-ci sont transmises entre ces différents acteurs ; pour ce faire, de véritables privacy policies doivent être élaborées par les développeurs d’application, des standards (en particulier de sécurité et de règles d’accès aux données) et des règles simples d’utilisation doivent être proposés par les créateurs de systèmes d’exploitation et les magasins d’application doivent offrir des moyens d’information adéquats aux utilisateurs avant le téléchargement de toute application.
- L’amélioration de la maîtrise des informations par les utilisateurs : leur consentement exprès doit être recueilli avant tout téléchargement d’une application, de même qu’avant toute modification substantielle de ses conditions de mise en œuvre ; ce consentement, y compris pour les applications installées par défaut sur un smartphone, doit être préalable à l’utilisation de l’application (" opt-in "), détaillé (allant bien au-delà la proposition installer/ne pas installer) et non définitif (possibilité de retrait effectif du consentement de manière simple et accessible) ; les tiers, qui n’ont pas de contact direct avec les utilisateurs mais à qui les données sont transmises, doivent également s’assurer du recueil de ce consentement avant toute utilisation des informations.
- L’attention réservée à certaines informations : la collecte de données " sensibles ", financières ou permettant d’établir le profil social d’une personne devra donner lieu à une réflexion approfondie sur le respect des droits fondamentaux de la personne concernée et à une information spécifique ; cette information doit être en particulier adaptée lorsque les applications ciblent des enfants.