Pour communiquer, nous orienter, faire nos achats, nous divertir ou suivre notre santé, les applications mobiles accèdent à de nombreuses données personnelles (localisation, contacts, photos, etc.). La CNIL explicite, à l’attention des professionnels du secteur, les règles pour protéger votre vie privée : vous devez être mieux informés et garder le contrôle.
Applications mobiles : les enjeux pour la protection de vos données personnelles
Le respect de votre vie privée
Chaque fois que vous utilisez une application mobile, elle collecte des informations sur vous. Mais, contrairement au web, les applications mobiles peuvent avoir accès à des données plus variées et parfois plus intrusives (géolocalisation, données de contact, photos, microphone, etc.). Elles peuvent, par ailleurs, collecter des données même lorsque vous n’êtes pas en train de les utiliser activement.
Exemple : un réseau social demande l'accès à votre caméra et à votre microphone pour vous permettre de publier des photos et des vidéos en direct. Si l’application utilise ces accès sans que vous le sachiez, elle pourrait potentiellement enregistrer des moments privés et intimes, compromettant ainsi votre vie privée.
L’enjeu est d’autant plus important que certaines applications concernent des aspects particulièrement intimes de notre vie, comme les applications de rencontres, de suivi de santé (par exemple pour le suivi de grossesse ou des cycles menstruels) ou encore celles liées aux pratiques religieuses.
Le partage et la vente de vos données
En utilisant une application mobile, très souvent, vous n’êtes pas clairement informé que vous entrez potentiellement en relation avec plusieurs acteurs impliqués dans le fonctionnement de cette application Ainsi, les développeurs et éditeurs d’applications, les fournisseurs de systèmes d’exploitation et les courtiers en données sont susceptibles de collecter et d’utiliser vos données personnelles.
Lorsque ces applications partagent ou vendent vos données personnelles sans votre accord, cela signifie que vos données peuvent être utilisées par des entreprises avec lesquelles vous n'avez jamais souhaité interagir. Dans la plupart des cas, ces données sont utilisées à des fins de profilage publicitaire ou commerciales.
Exemple : une application météo populaire a intégré un composant logiciel (« SDK ») qui collectait des données de géolocalisation précises de ses utilisateurs. Ces informations ont ensuite été vendues à des courtiers en données, qui les ont utilisées pour afficher à l’utilisateur des publicités ciblées correspondant au lieu où il était.
La sécurité de vos données personnelles
Si vos données personnelles sont piratées, elles peuvent être utilisées pour usurper votre identité, accéder à vos comptes en ligne ou même réaliser des achats frauduleux.
Exemple : si une application de réseau social est piratée et que vos données personnelles sont volées, ces informations peuvent être utilisées pour se faire passer pour vous, accéder à vos comptes de messagerie et réseaux sociaux, et envoyer des messages frauduleux à vos contacts ou même tenter de réaliser des achats en ligne.
Face aux enjeux, la CNIL a publié des recommandations pour les professionnels afin de construire un environnement de confiance, dans lequel vous pourrez utiliser des applications mobiles sans renoncer à la protection de votre vie privée. En exigeant des garanties fortes, la CNIL s'assure que chaque utilisateur bénéficie d'une protection accrue de ses données personnelles.
Améliorer votre information sur l’utilisation de vos données
La première priorité est d’améliorer l'information qui vous est donnée sur l’utilisation de vos données : cette information doit toujours être accessible, compréhensible et vous être présentée au bon moment au sein de l’application.
Elle doit notamment vous permettre de savoir si les permissions demandées sont nécessaires au fonctionnement de l’application.
Par exemple, une application de lampe de poche n'a pas besoin d'accéder à vos contacts ou à votre localisation.
S’assurer que votre consentement est éclairé et n’est pas contraint
Par ailleurs, les applications doivent obtenir, le plus souvent, votre consentement pour collecter des données qui ne sont pas nécessaires à leur fonctionnement, par exemple à des fins de ciblage publicitaire.
Lorsque votre consentement est demandé, il ne doit pas être contraint : une application que vous venez d’installer ne doit pas vous contraindre, lorsque vous la lancez, à accepter qu’elle accède ou utilise vos données personnelles qui ne sont pas nécessaires pour vous fournir le service. Vous devez également pouvoir refuser de consentir, ou retirer votre consentement si vous changez d'avis, aussi simplement qu’il vous est proposé de le donner.
Mieux sécuriser vos données personnelles
L’ensemble des acteurs impliqués dans le développement et le fonctionnement des applications mobiles doivent mettre en œuvre des mesures de sécurité robustes pour protéger vos données personnelles contre les accès non autorisés et les fuites de données.
La CNIL donne des indications concrètes, notamment pour les développeurs d’applications, afin de limiter les risques de piratage. Il s’agit de garantir un environnement numérique plus sûr.
Protéger spécifiquement certaines données sensibles pour votre vie privée
Certaines données, notamment celles liées à votre état de santé ou à votre religion, sont sensibles et particulièrement protégées. Les applications ont l’interdiction de les utiliser, sauf si c’est nécessaire et que vous y consentez. La CNIL demande que des précautions particulières soient prises.
Exemple : une application de suivi de la grossesse a été critiquée pour avoir partagé avec des partenaires commerciaux des données sensibles sur les utilisatrices, telles que des informations sur leur état de grossesse et leur santé. Ces données ont été utilisées pour le ciblage publicitaire et des analyses de marché. C’est en principe illégal, sauf demande spécifique de l’utilisateur en ce sens.
La CNIL accompagnera les acteurs professionnels et vérifiera le respect de vos droits
La CNIL accompagnera ces prochains mois les acteurs professionnels afin qu’ils s’approprient au mieux les règles et garanties précisées dans la recommandation et qu’ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.
À partir du début du printemps 2025, la CNIL déploiera une large campagne de contrôle des applications mobiles pour s’assurer du respect des règles applicables. Dans l’intervalle, la CNIL continuera à traiter les plaintes dont elle est saisie, à mener les contrôles qui lui paraîtront nécessaires et à adopter, si nécessaire, les mesures correctrices qui s’imposent pour protéger efficacement la vie privée des utilisateurs d’applications mobiles.
Cette campagne de contrôle viendra compléter les vérifications déjà menées par la CNIL, notamment dans le cadre de ses thématiques prioritaires de contrôle 2023, sur des applications qui tracent les utilisateurs à diverses fins (publicitaires, statistiques, etc.) en l’absence de consentement des utilisateurs.
Faux conseillers bancaires, messages alarmants… Les méthodes des escrocs se renouvellent sans cesse. Voici les trois grands principes pour s'en prémunir.
Par téléphone, SMS, messages WhatsApp ou par courriel, les tentatives d'arnaques numériques sont fréquentes. L'idée est de vous soutirer de l'argent, soit en faisant valider un paiement à la victime (vous !), soit en vous soutirant des informations personnelles qui lui serviront dans un deuxième temps.
informations personnelles qui lui serviront dans un deuxième temps.
S'informer
Pour éviter l'arnaque, il vaut mieux connaître les procédés les plus en vogue. Celui du faux conseiller bancaire a explosé depuis deux ans. Il dit appeler au nom de la banque, dispose déjà d'éléments et informations sur sa proie (nom, adresse, etc.) et alerte sur des opérations prétendument anormales sur le compte. Sous prétexte de le sécuriser, il demande des manipulations qui servent en réalité à le dévaliser.
Se méfier
Vérifier si la personne qui vous contacte est bien celle qu'elle prétend être n'est jamais une perte de temps. Ainsi, l'agence chargée d'encaisser les amendes routières (l'ANTAI) n'envoie jamais de SMS : les messages avec un lien pour payer ou contester les PV sont donc des pièges. Tout comme ces mots reçus sur WhatsApp: "Coucou maman, j'ai cassé (ou perdu) mon téléphone, voici mon nouveau numéro" Ils sont le prélude à une demande d'argent censée dépanner son fils ou sa fille. Un simple coup de fil au numéro habituel de son enfant permet de le confirmer. De même, face à l'appel suspect d'un conseiller bancaire, il vaut mieux raccrocher immédiatement et contacter soi-même sa banque pour vérifier. Jamais une banque vous demandera vos codes d'accès, rappelle la Fédération bancaire française.
Réagir
Un simple clic sur un lien dans un message suspect n'est pas forcément dangereux. Ce n'est que ce que vous faites après qui compte. Le lien conduit à un paiement en ligne ? S'il est souvent trop tard pour récupérer la somme, faire opposition sur sa carte est indispensable pour éviter tout débit ultérieur. Vous avez renseigné vos identifiants bancaires ? Changez en urgence vos identifiants bancaires et votre mot de passe. Même conseil s'il s'agit des données de connexion pour un autre organisme (Assurance maladie, site de vente en ligne…)
A savoir
Comment signaler une arnaque.
Les victimes qui ont perdu de l'argent doivent porter plainte auprès de la police ou de la gendarmerie. Même en cas de tentative, il est utile de signaler les messages reçus afin d'aider à la lutte contre la fraude. Les SMS et les appels malveillants peuvent être transmis via le site 33700.fr, géré par les opérateurs téléphoniques, ce qui peut aboutir à la coupure des services concernés. Pour les sites Internet, rendez-vous sur internet-signalement.gouv.fr (Plateforme Pharos).
Le site Cybermalveillance.gouv.fr a pour mission d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s'en protéger. Le site et ses publications sont disponibles sur les plateformes officielles (Facebook, Linkedin, Instagram) sur lesquelles vous retrouverez tous les conseils pratiques en cas d'attaque, les nouvelle méthodes d'arnaques utilisées par les escrocs.
Petit plus, le site s'adresse aux particiuliers, aux professionnels et aux collectivités.