Comment mettre votre application mobile en conformité ?

Le Règlement Général sur la Protection des Données (RGPD) est le dernier règlement adopté par l’Union européenne portant sur la protection des données personnelles. Ce règlement a été motivé par l’augmentation grandissante de l’utilisation des données personnelles et par l’obsolescence législative dans le domaine.

Si vous êtes un éditeur d’applications mobiles ou si vous gérez une ou plusieurs applications mobiles, sachez que vous devez impérativement les rendre conformes avec le RGPD sous peine d’être sanctionné sévèrement. Quelles sont les mesures à prendre pour mettre votre application mobile en conformité avec les nouvelles règles sur la protection des données ?

Bien connaitre les données traitées

La première chose à faire pour mettre en conformité votre application avec la nouvelle règlementation sur la protection des données est de cartographier la transmission des données, c’est-à-dire, réaliser un Data Mapping. Il s’agit d’identifier avec le plus de précision possible à quels endroits sont collectées vos données. Le but est de dresser le chemin parcouru par les données que vous collectez. Notez que cette cartographie vous sera d’une grande aide pour mieux remplir l’obligation d’information que vous avez envers les utilisateurs.

Informer les utilisateurs

Le RGPD vous oblige à informer les utilisateurs de votre application sur les points qui suivent :

  • La nature des données personnelles collectées

Il s’agit ici d’informer l’utilisateur sur les informations le concernant que vous allez collecter, généralement les données personnelles : identifiants, données de géolocalisation, liste de contacts, photos… Vous devrez fournir cette information dans vos conditions d’utilisation et dans votre politique de confidentialité.

  • Le parcours des données

Vous devez informer les utilisateurs de votre application sur l’usage qui sera fait de ses données. Où seront-elles stockées ? Seront-elles chiffrées ou anonymisées ? Un prestataire externe interviendra-t-il dans leur traitement (analyse, stockage…) ?

  • Les modalités et les raisons de la collecte des données

Le RGPD vous impose d’informer les utilisateurs de votre application mobile sur les raisons de la collecte des données. Ainsi, que votre application récolte des données dans le but d’optimiser l’expérience utilisateur ou qu’elle le fait pour une étude particulière, vous devrez toujours en informer les utilisateurs.

Notez que si vous ne justifiez pas le traitement des données personnelles en précisant la finalité de leur utilisation, vous vous exposez à des sanctions relativement sévères. L’ensemble de ces informations doit être inséré dans votre nouvelle charte de politique de confidentialité. Cette dernière devra par la suite transmise à chaque utilisateur de votre application mobile.

Faciliter l’accès des utilisateurs à leurs données

Le RGPD offre la possibilité aux utilisateurs d’application mobile d’accéder à leurs données récoltées et de les contrôler. Pour mettre en conformité votre application, vous devez offrir aux utilisateurs :

  • La possibilité de consulter les données les concernant que vous avez récoltées (droit d’accès aux données). Le mieux est de doter votre application mobile d’une option qui permet aux utilisateurs d’accéder à leurs données. Autrement, vous devez mettre un système qui leur permet de copier facilement l’ensemble des données les concernant ;
  • La possibilité de modifier ses données (droit de modification des données). Si l’utilisateur d’une application mobile considère que les données collectées sur lui sont erronées, fausses ou altérées, vous devez lui offrir la possibilité de modifier ses données. Pour ce faire, intégrez dans votre application une option qui permet de modifier directement les données ou au minimum de faire une demande de modification. Dans ce dernier cas, vous devez traiter la demande très rapidement ;
  • La possibilité de supprimer ses données (droit à l’effacement). Cette suppression doit se faire sur la demande du propriétaire des données ou après le retrait de l’utilisateur de son consentement ;

Optimiser la sécurité des données collectées

Avant la mise en place du RGPD, vous aviez déjà l’obligation de sécuriser votre application mobile. Avec le RGPD, cette obligation a été renforcée. Ainsi, vous devez veiller à ce que les données personnelles recueillies grâce à votre application soient bien sécurisées.

De plus, suivant la nature des données collectées, vous serez à certaines occasions obligé de réaliser un DPIA (Analyse d’Impact sur la Protection des Données). Dans tous les cas, il est important d’identifier les éléments sensibles de votre système de protection pour limiter au minimum les risques pour les utilisateurs et par la même occasion, vous mettre à l’abri de sanctions potentielles.