Les applications mobiles ont conquis le monde et sont devenues omniprésentes dans nos vies. Elles répondent à une multitude de besoins, mais exploitent des quantités souvent inimaginables de données. Cependant, force est de constater qu’un certain manque de cadre s’observe en comparaison notamment avec les standards établis pour le web. Le RGAA (Référentiel Général pour l’Amélioration de l’Accessibilité) par exemple, botte en touche lorsqu’il s’agit d’applications mobiles. Ce déficit s’explique en partie par la rareté des experts en conception d’applications mobiles. La CNIL a également observé que les applications mobiles présentaient des lacunes en matière de protection des données personnelles et sensibles. Elle a donc annoncé une grande campagne de contrôle pour le printemps 2025. En parallèle, elle publie une Recommandation relative aux applications mobiles qui détaille les obligations des différents acteurs, notamment les éditeurs. Dans cet article, nous allons nous attacher à définir qui sont les éditeurs concernés, comment déterminer si une application mobile est concernée et quelles sont les principales pratiques à adopter pour assurer sa conformité.
1. Application mobile : qui sont les éditeurs et les responsables de traitement ?
Au sens le plus stricte de la CNIL (Commission Nationale de l’Informatique et des Libertés), l’éditeur d’une application mobile est une entité personne morale qui met celle-ci à disposition d’utilisateurs dans la perspective de proposer des produits et/ou des services. Aucune distinction n’est faîte entre l’éditeur qui procède au développement d’une application par l’intermédiaire de sa propre équipe de celui-ci qui recourt au service d’un tiers, en l’occurrence un développeur d’applications mobiles.
Lorsqu’une organisation met une application mobile à disposition d’un public, elle devient de facto l’éditeur. Dès lors que l’app mise à disposition d’utilisateurs entraîne un traitement de données personnelles, alors l’éditeur devient de fait responsable du traitement correspondant.
DPO ou pas DPO ?
La désignation d’un DPO ou Data Protection Officer est obligatoire pour toutes les organisations dont les activités “impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement (ex : géolocalisation, vidéosurveillance, traitement des échanges bancaires)”.
2. Comment déterminer si une application mobile est soumise à la réglementation relative à la protection des données personnelles ?
2.1. Qu’est-ce que la réglementation relative à la protection des données personnelles ?
Le RGPD (Règlement Général sur la Protection des Données) est un texte européen qui encadre la collecte et le traitement des données personnelles au sein de l’Union Européenne. Il renforce les droits des citoyens et harmonise les obligations des organismes qui traitent ces données. Le RGPD s’appuie sur les principes de finalité, de proportionnalité et de transparence, et impose notamment aux organisations de recueillir le consentement des personnes concernées avant de traiter leurs données.
Le RGPD, s’inscrit dans la continuité de la loi Informatique et Libertés de 1978, renforce la protection des données personnelles et offre aux citoyens un meilleur contrôle sur l’utilisation qui en est faite. Ce cadre juridique européen harmonisé permet aux professionnels de développer leurs activités numériques en toute confiance, en s’appuyant sur la transparence et la confiance des utilisateurs.
2.2. Qu’est-ce qu’une donnée personnelle ?
Le RGPD (Référentiel Général pour la Protection des Données) définit comme donnée personnelle, toute information qui se rapporte à une personne identifiée ou identifiable.
Voici un extrait de la liste de données personnelles dont les équipes d’Ikomobi recherchent l’existence via ses procédures de privacy-by-design : nom et prénom, pseudonyme, date de naissance, photos, vidéos, enregistrement sonore de la voix, n° de téléphone personnel etc.
Données sensibles, de quoi s’agit-il ?
Les données sensibles forment une catégorie particulière des données personnelles. Selon la CNIL, il s’agit d’”informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique”. Sauf exception, le RGPD interdit de recueillir ou d’utiliser ces données.
2.3. Qu’est-ce que l’exemption domestique ?
Le RGPD ne s’applique pas aux traitements de données personnelles relevant de l’exemption domestique, c’est-à-dire des traitements réalisés par une personne physique dans le cadre d’activités « personnelles ». Pour déterminer dans quelle mesure un traitement relève de l’exemption domestique, vous pouvez vous référer au schéma ci-dessous.
L’exemption domestique est une exception. Il faut donc bien noter qu’elle ne concernera qu’une part minime des traitements et des applications mobiles mis à la disposition d’utilisateurs.

3. Quelles règles observer pour s’assurer de proposer une application mobile conforme au titre du RGPD ?
3.1.Privacy-by-design : l’importance d’identifier la présence de données personnelles dès la conception dans le processus de conception d’une application mobile ?
Le Privacy-by-design ou protection de la vie privée dès la conception n’est pas une obligation légale. C’est une méthode recommandée par la CNIL qui consiste, comme son nom l’indique, à démarrer tout projet de développement d’une application mobile en dressant la liste exhaustive des données personnelles qui vont entrer en jeu dans le dispositif numérique.
Il s’agit donc en tout premier lieu d’identifier l’intégralité des opérations de lecture et d’écriture menées au sein de l’application mobile puis de vérifier dans quelle mesure ces dernières exploitent ou produisent des données personnelles. Cette approche est d’autant plus importante qu’elle doit permettre de légitimer la nature des données personnelles recueillies ou produites. Par exemple, il ne s’agit pas de collecter une date de naissance complète si le traitement n’a besoin que de l’année.
Attention de bien veiller à inclure l’ensemble des partenaires et/ou des composants mis à contribution dans le cadre de la mise au point de l’application mobile de telle sorte d’être en mesure de dresser une liste exhaustive des données personnelles mises à contribution et/ou produite par l’application mobile (backend inclus).
Outre l’identification des données personnelles, le privacy-by-design va s’attacher à consigner : l’objet de chaque traitement, sa légitimité, sa nécessité, la durée de conservation des données concernées, la nature du traitement réalisé au terme de la conservation, la nature des dispositifs mis en place pour permettre aux utilisateurs d’exercer leurs droits, sans oublier une analyse détaillée de la sécurité des données.
3.2. Conception, développement et exploitation d’une application mobile imposent désormais de rédiger et de tenir à jour une documentation écrite, explicite et exhaustive.
Dans la quête de l’agilité, la documentation a bien souvent été reléguée au second plan, voire considérée comme un vestige du passé. Aujourd’hui, la CNIL nous rappelle que la documentation est un élément clef et qu’elle est indispensable lorsqu’il s’agit d’assurer un traitement conforme des données personnelles.
3.2.1 Le registre d’activité des traitements
Le premier document qui doit faire l’objet d’une attention particulière est le registre d’activité des traitements. Bien que méconnu, ce document doit néanmoins être produit par toute organisation dont l’activité implique au moins un traitement de données personnelles (art. 30.5 du RGPD). Dans le cadre du processus de conception de l’application mobile, le registre d’activité des traitements est le premier document à fournir au développeur de l’application.
3.2.2. L’AIPD (Analyse d’Impact relative à la Protection des données)
Ce document n’est pas forcément indispensable mais il vient étoffer le privacy-by-design lorsque le traitement envisagé via l’application mobile fait porter un risque particulièrement important aux utilisateurs.
Pour établir ce risque, le traitement doit combiner au moins deux critères dont la liste est disponible au sein des sources du présent article ou bien faire partie de la liste établie par la CNIL. Parmi les traitements concernés, on peut citer : les traitements de données de santé mis en œuvre par les établissements de santé ou les établissements médico- sociaux pour la prise en charge des personnes ; la mise en œuvre d’une recherche médicale portant sur des patients et incluant le traitement de leurs données génétiques ; le traitement visant détecter et à prévenir les départs de salariés sur la base de corrélations établies entre divers facteurs etc.
Il faut enfin noter que l’analyse d’impact doit être transmise à la CNIL via la démarche en ligne correspondante.
La CNIL met un logiciel open-source à disposition pour élaborer une analyse d’impact. Cf. lien vers l’outil PIA au sein des sources du présent document.
3.2.3. Le cahier des charges fait son grand retour !
Bien que la définition même de cahier des charges fassent depuis tout temps débat, il faut noter qu’il s’impose désormais dans tout projet de création d’application mobile, dès lors bien sûr qu’un traitement de données personnelles à lieu.
En effet, si la forme demeure à la convenance de chacun, il faut bien avoir à l’esprit que l’éditeur de l’application mobile est désormais contraint de fournir “des instructions claires et documentées en termes de sécurité et de processus de conformité” et ceci tout au long du cycle de vie de l’application mobile.
3.2.4. Le contrat
À l’instar du cahier des charges, il s’impose désormais comme un pierre angulaire de relation unissant l’éditeur à son sous-traitant (le développeur). Il faut d’ailleurs noter qu’un contrat est caduque s’il ne clarifie pas les responsabilités RGPD des parties.
Six points clefs à insérer au sein du contrat :
- Les données doivent être traitées conformément au RGPD ;
- Le projet fera l’objet d’un Privacy-by-design ;
- Les responsabilités respectives de l’éditeur et du sous-traitant sont précisées ;
- Le rôle précis de l’éditeur pour chacun des traitements concernés est indiqué ;
- La prestation est exclusivement limitée aux traitements prévus dans le contrat ;
- Les coordonnées d’un contact chez l’éditeur en charge de valider les choix techniques sont présentes.
3.3. Informer les utilisateurs, obtenir leur consentement et faciliter l’exercice de leurs droits au sein de l’application mobile.
3.3.1. Préciser la base légale du traitement opéré via l’application mobile
Il s’agit tout d’abord de préciser la base légale à partir de laquelle le traitement est effectuée. Il existe six bases légales qui sont : le consentement, le contrat, l’obligation légale, la sauvegarde des intérêts vitaux, l’intérêt public, l’intérêt légitime.
3.3.2. Quelles informations doivent être fournies à l’utilisateur et comment peut-il exercer ses droits au sein d’une application mobile ?
Il convient avant tout de rappeler que, dans la plupart des cas et donc selon la base légale retenue pour effectuer le traitement, les droits des utilisateurs doivent être indiqués. Ils concernent : le droit d’accès, le droit à l’effacement, le droit d’opposition, le droit à la portabilité, le droit à la rectification, le droit à la limitation du traitement, le droit de retirer son consentement, le droit d’introduire une réclamation auprès d’une autorité de contrôle.
Pour exercer ses droits, la CNIL recommande la mise en place au sein de l’application mobile d’un centre de gestion des droits qui peut, dans certains cas, proposer un certain niveau d’automatisation. Chez Ikomobi, nous recommandons également de proposer les mêmes droits au sein d’un espace web personnalisé qui, à l’instar de ce qui est exigé par Apple et Google, permet d’exercer ses droits même en cas de vol ou disparition de son smartphone.
Voici la liste des principales informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (cette liste n’est pas exhaustive, des cas particuliers peuvent appeler d’autres précisions – pour plus de détails consultez les sources ci-dessous) :
- l’identité et les coordonnées du responsable du traitement et, le cas échéant, de son représentant et du délégué à la protection des données ;
- les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
- lorsque le traitement est fondé sur les intérêts légitimes, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
- les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
- le cas échéant, s’il existe un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
- la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
3.3.3. Commencer par mettre l’information sur la politique de confidentialité à disposition avant le téléchargement et l’ouverture de l’application mobile.
La CNIL recommande de mettre l’information à disposition des utilisateurs sur l’ensemble des points de contact préalable au téléchargement et à l’ouverture de l’application mobile. Site web et pages de présentations sur les stores d’applications apparaissent alors comme des lieux privilégiés. Pour autant, la complexité de certains traitements devrait encourager l’éditeur à contextualiser l’information avant toute collecte de données personnelles.
3.3.4. Comment gérer efficacement la dualité entre consentement et permissions au sein des applications mobiles ?
Via leurs OS, Apple et Google appliquent désormais des politiques de protection de la vie privée qui leur sont propres et qui s’incarnent au travers la gestion de permissions. Ces dernières s’ajoutent à la gestion du consentement imposée par la protection des données personnelles mais ne la remplace pas. Dans la perspective de ne pas dégrader l’expérience utilisateur, la CNIL recommande de conjuguer consentement et permissions selon deux cas d’application.


3.4. Maintenir la conformité et la sécurité d’une application mobile tant qu’elle est disponible pour ses utilisateurs est une obligation légale !
Une application mobile qui ne fait pas l’objet d’une maintenance préventive et corrective doit in fine être décommissionnée. Dans le cas contraire, la CNIL insiste pour que ladite application mobile fasse l’objet de mesures techniques qui vont minimiser le niveau de risque auquel les données personnelles sont exposées. Ces mesures incluent les mises à jour de l’application mobile autrement dit de l’ensemble des composants à partir desquels elle est bâtie (librairies, SDK…).
Il appartient également à l’éditeur de maintenir à jour la documentation présentée ci-avant et donc de s’assurer que les évolutions apportées à l’application mobile demeurent conformes.
La Recommandation relative aux applications mobiles publiée par la CNIL apporte un éclairage nouveau sur la façon de mettre en œuvre, de manière conforme, un traitement de données personnelles dans le contexte particulier de l’application mobile. Pour autant, elle ne fait que rappeler des obligations et pratiques qui, pour la plupart d’entre elles, sont déjà applicables à tout projet numérique. Au-delà de l’application mobile, c’est bien l’intégralité des projets numériques qu’il convient d’aborder via cette recommandation.
Trois exemples de sanctions parues en 2024 :
- Société développant et commercialisant une extension pour navigateur : amende de 240 000 € pour défaut de base légale, durée de conservation, information des personnes et transparence, non respect du droit d’accès ;
- Société commercialisant des portefeuilles de cryptomonnaie : amende de 750 000 € pour défaut de sécurité des données, durée de conservation ;
- Éditeur de site web proposant aux particuliers de publier ou consulter des annonces immobilières et autres services : amende de 100 000 € pour défaut de sécurité des données, encadrement des relations entre le responsable de traitement et le sous-traitant, information des personnes et transparence, durée de conservation.
Sources :
Journal officiel de l’Union européenne “Règlement […] relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)” in eur-lex.europa.eu [04/05/16] (29/01/25) [https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&qid=1738146697232#d1e2290-1-1].
CNIL “Applications mobiles : la CNIL publie ses recommandations pour mieux protéger la vie privée” [24/09/24] (28/01/25) in www.cnil.fr [www.cnil.fr/fr/applications-mobiles-la-cnil-publie-ses-recommandations-pour-mieux-proteger-la-vie-privee].
CNIL “Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise” (28/01/25) in www.cnil.fr [www.cnil.fr/sites/cnil/files/atoms/files/liste-traitements-aipd-requise.pdf].
CNIL “Outil PIA : téléchargez et installez le logiciel de la CNIL” in www.cnil.fr [09/11/17] (28/01/25) [www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil].
CNIL “Donnée sensible” in www.cnil.fr (28/01/25) [www.cnil.fr/fr/definition/donnee-sensible].
CNIL “Violations de données personnelles : bilan de 5 années de RGPD” in www.cnil.fr [27/03/24 (29/01/25) [www.cnil.fr/fr/violations-de-donnees-personnelles-bilan-de-5-annees-de-rgpd].
CNIL “Les sanctions prononcées par la CNIL” in www.cnil.fr [02/01/25] (29/01/25) [www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil].
Direction de l’information légale et administrative “Obligations en matière de protection des données personnelles (RGPD)” in entreprendre.service-public.fr [version vérifiée le 26/04/24] (28/01/25) [https://entreprendre.service-public.fr/vosdroits/F24270].
Direction de l’information légale et administrative “Soumettre une analyse d’impact relative à la protection des données (AIPD) à la CNIL (Démarche en ligne)” in entreprendre.service-public.fr [version vérifiée le 04/03/24] (28/01/25) [https://entreprendre.service-public.fr/vosdroits/R67638].
DesignGouv “Les applications mobiles sont concernées par le RGAA” in design.numerique.gouv.fr [Publié le 23/06/21 – Mis à jour le 24/08/22] (28/01/25) [https://design.numerique.gouv.fr/articles/2021-06-23-rgaa-mobile/].