Par Haas Avocats
En 2024, la CNIL publiait ses recommandations relatives aux applications mobiles pour mieux protéger la vie privée. En 2025, « it begins », elle va procéder à des contrôles afin de vérifier leurs bonnes applications.
Dans ce cadre, la CNIL précise que de multiples acteurs interviennent dans l’écosystème des applications mobiles. Parmi eux, les fournisseurs de SDK (« Software Development Kit » ou kit de développement logiciel)[1] conçoivent des briques logicielles susceptibles de configurer de futurs traitements de données personnelles dont ils déterminent les finalités et les moyens. Ces recommandations leur sont destinées.
Comment anticiper les risques liés aux SDK ?
La préparation des acteurs du milieu passe par une analyse des enjeux des recommandations de la CNIL. En effet, la CNIL explique que « Le code du SDK intégré au sein de l’application a le même niveau d’accès logiciel que le reste du code écrit par le développeur de l’application ». Ainsi, si une permission est accordée à l’application, tous les SDK intégrés ont, par défaut, la capacité technique d’accéder aux données. Ces accès par le SDK peuvent alors échapper au contrôle du développeur et porter atteinte au respect de la vie privée des utilisateurs de l’application/personnes concernées.
Quels sont les risques liés aux SDK selon la CNIL ?
Les risques peuvent donc être :
- une atteinte à la vie privée ;
- une violation du principe de minimisation ; ou encore
- une collecte de données excessives.
C’est en raison de ces risques que la CNIL recommande aux fournisseurs d’identifier les responsabilités juridiques leur incombant et de mettre en conformité les applications concernées.
SDK et RGPD : Clarifier les responsabilités pour une meilleure conformité
Les éditeurs, les développeurs et les fournisseurs de SDK doivent qualifier leur rôle, au sens du RGPD, vis-à-vis des traitements effectués par le SDK à travers une documentation contractuelle encadrée et conforme à le règlementation[2].
Au-delà de la documentation des traitements mis en œuvre par leur intégration dans une application, il faut également que le fournisseur s’assure que le fonctionnement de l’application permette de recueillir un consentement valable, facilite la réponse aux demandes d’exercice des droits, notamment au moyen d’API et assure des mesures de sécurité adéquates.
La CNIL renforce ainsi son engagement pour une meilleure protection de la vie privée en encadrant l’usage des SDK dans les applications mobiles. En passant de la recommandation à l’action avec des contrôles prévus en 2025, elle souligne l'importance pour les fournisseurs de SDK, les développeurs et les éditeurs d’identifier clairement leurs responsabilités et de garantir la conformité au RGPD.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] les SDK désignent un ensemble d'outils utilisés pour le développement, par exemple d’applications mobiles, en fonction du système d’exploitation utilisé
[2] Articles 26 et 28 du RGPD
