Délibération n° 2025-024 du 27 mars 2025 portant adoption de la recommandation modifiée relative aux applications mobiles et abrogeant la délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles
NOR : CNIL2510874X
La Commission nationale de l'informatique et des libertés,
- Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
- Vu le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) ;
- Vu le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
- Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 8-I-2°b ;
Après avoir entendu le rapport M. Bertrand du Marais, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement
Formule les observations suivantes :
La Commission nationale de l'informatique et des libertés (CNIL) a adopté, par la délibération n° 2024-061 du 18 juillet 2024, la recommandation relative aux applications mobiles.
Ce document, tel qu'initialement adopté, nécessite quelques modifications, objet de la présente délibération. En complément de quelques rectifications d'erreurs ou omissions d'ordre purement matériel, les modifications principales sont les suivantes :
- au sein de la partie 4.2 (« Déterminer les qualifications de chaque acteur »), l'exemple relatif à la « Lecture et traitement d'une donnée de localisation par une application via un SDK pour le seul compte de l'éditeur » et son schéma sont modifiés, afin de rectifier une incohérence ;
- au sein de la partie 6.2.3 (« Participer à la conformité en matière de recueil du consentement »), le tableau relatif à l'« articulation des fenêtres de sollicitation (CMP/permission) en fonction de l'ordre de présentation des requêtes » est remplacé par une infographie intitulée « Articuler la permission technique et le recueil du consentement », dans un objectif de clarté ;
- au sein de la partie 6.3.1 (« Sélectionner le SDK selon les bons critères »), une précision est apportée sur la nécessité, lorsque le fournisseur d'un SDK intégré au sein d'une application réalise des traitements pour son propre compte, de le prévoir contractuellement avec l'éditeur lors de l'intégration du SDK. Cette contractualisation est nécessaire dès lors que l'éditeur et le fournisseur de SDK sont responsables conjoints de la collecte réalisée à travers le SDK et que l'éditeur doit, en tant que responsable des traitements réalisés au sein de l'application, avoir une vision claire et contractualisée des traitements opérés par le prestataire qu'il choisit. Cette modification est par ailleurs effectuée en référence à une mention déjà présente au sein de la partie 4.2 (« Déterminer les qualifications de chaque acteur »), indiquant que « l'éditeur n'est pas responsable des traitements effectués par les tiers pour leur propre compte sur des données personnelles issues d'opérations de lecture et/ou écriture qu'ils réalisent à travers l'application. Dès lors que le traitement utilise les données collectées via l'application, cette collecte doit être prévue contractuellement entre l'éditeur et le tiers ».
Le fonds des décisions de la CNIL sur Légifrance ne permettant pas, à ce stade, de présenter au public une version consolidée combinant une décision initiale et une décision modificative, il convient, pour garantir l'accessibilité de la recommandation sur le site Legifrance.gouv.fr, d'abroger la version précédente et de la remplacer entièrement par la version figurant en annexe.
Décide :
Article 1
La délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles est abrogée.
Article 2
La recommandation modifiée figurant en annexe est adoptée.
Article 3
La présente délibération sera publiée au Journal officiel de la République française.
La présidente,
M.-L. Denis
ANNEXE
Vous pouvez consulter l’annexe en version PDF en pièce jointe ou en cliquant sur le lien hypertexte.
Source Légifrance