Les enjeux juridiques sont principalement liés à l’existence de recommandations concrètes de la Commission nationale de l’informatique et des libertés (CNIL) sur ce sujet, publiées en septembre 2024, couplée à l’intention affichée de celle-ci de s’assurer de leur respect par les opérateurs concernés, à compter du printemps 2025.
Explications pour nos lecteurs de Karine Disdier-Mikus, associée chez Fiducial Legal By Lamy, et Pierre Nieuwyaer, counsel au sein du même cabinet.
Pour rappel le terme « SDK » (pour « Software Development Kit ») désigne un ensemble d’outils utilisés pour faciliter ou accélérer le développement d’une application, notamment en évitant d’avoir à coder l’intégralité de l’application en question pour une ou plusieurs fonctionnalité(s).
Du fait de cette intégration de fonctionnalités « prêtes à l’emploi » dans des applications mobiles traitant des données personnelles, la question de la conformité de tels SDK à la règlementation applicable (RGPD notamment) s’est posée, raison pour laquelle la CNIL s’est saisie du sujet.
En effet, la CNIL a récemment dévoilé son plan stratégique pour 2025-2028. Ce programme met en avant plusieurs axes prioritaires : l’IA, la cybersécurité, l’identité numérique, les applications mobiles et la protection des mineurs.
S’agissant des applications mobiles, la CNIL indique : « Compte tenu de l’usage croissant des applications mobiles et des informations particulièrement sensibles auxquelles elles peuvent avoir accès (contacts, géolocalisation, santé), la CNIL a publié des recommandations pour aider les professionnels à concevoir des applications respectueuses de la vie privée. Le plan stratégique 2025-2028 sera l’occasion de contrôler la conformité des acteurs et de renforcer la sensibilisation des utilisateurs ».
Deux mots clés ici : recommandations et contrôles.
2024 : les recommandations
Les recommandations de la CNIL ont été publiées en septembre 2024 et visent toute la chaîne (éditeur, développeur, fournisseur de SDK, etc.).
De façon générale, la CNIL y rappelle la nécessité de désigner le/s responsable(s) du/des traitement(s) et le/s sous-traitant(s) et de prévoir des stipulations contractuelles claires et complètes quant aux obligations et responsabilités, etc.
Par exemple, le fournisseur de SDK peut être responsable des traitements mis en œuvre via son SDK, seul ou conjointement avec d’autres (par exemple, l’éditeur) s’il utilise tout ou partie des données pour son compte. Il peut être « simple » sous-traitant voire ne traiter aucune donnée personnelle. Sur ce point, la CNIL relève que « dans de nombreux cas, les fournisseurs de SDK se qualifient de sous-traitant dans leur documentation juridique », tout en rappelant « qu’elle [la CNIL] ne suit pas nécessairement les qualifications définies par les parties ».
La CNIL édicte par ailleurs des recommandations spécifiques pour les éditeurs, pour les développeurs, pour les fournisseurs de SDK, pour les fournisseurs d’OS et pour les magasins d’applications, avec, pour chaque type d’opérateur, une liste de vérifications à mener dans le cadre de la mise en œuvre des recommandations et de la documentation de la conformité.
A cet égard, le sujet des permissions « techniques » est au centre des recommandations et impacte l’ensemble des acteurs. Via ces permissions, l’utilisateur choisit quelles fonctionnalités et quelles données sont accessibles à chacune des applications mobiles (appareil photo, micro, carnet d’adresses, etc.). La CNIL rappelle notamment que ces permissions ne constituent pas un outil de recueil du consentement, soit parce qu’elles peuvent intervenir alors que, légalement, le traitement de données ne repose pas sur le consentement, soit parce qu’elles peuvent ne pas suffire à obtenir un consentement présentant les qualités requises au sens du RGPD (libre, spécifique, éclairé et univoque).
Pour le reste, la CNIL invite notamment les éditeurs et développeurs à la rigueur dans la sélection des fournisseurs (obtention de documentations quant aux traitements mis en œuvre et de garanties associées, en particulier quant au consentement des utilisateurs et aux droits des personnes, audits, etc.).
2025 : les contrôles
La CNIL le fait savoir expressément : la question du respect des règles applicables par les fournisseurs de SDK fera l’objet de contrôles à partir du printemps 2025, y compris dans le cadre de l’instruction de plaintes. Cette focalisation de la CNIL se double d’une actualité pour le moins prégnante suivant les récentes révélations du journal Le Monde, qui pourrait constituer un motif supplémentaire pour que la CNIL décide de se pencher encore davantage sur la conformité des fournisseurs de SDK.
Pour rappel, les contrôles de la CNIL peuvent, en cas de manquements constatés, aboutir à des sanctions à l’encontre des responsables de traitements et des sous-traitants, notamment des amendes dont le montant maximum est fixé, en procédure ordinaire, à 20 millions d’euros ou 4 % du CA annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
