Editeurs d'applications : les actualités RGPD à ne pas manquer

RGPD, vous n’êtes pas encore prêt ? Voici notre checklist des mesures à mettre en place

1 – Une politique de confidentialité

(ou de Vie Privée ou de protection des données personnelles) doit être accessible par les utilisateurs. Elle doit être distincte des conditions générales et accessible depuis l’app. Elle doit contenir les éléments mentionnés à l’art. 13 du RGPD, notamment :

  • Identité et coordonnées de l’éditeur
  • Coordonnées du DPO de l’éditeur
  • Données concernées
  • Finalités du traitement (ex: publicité)
  • Destinataires ou catégories de destinataires des données et éventuels transferts en dehors de l’UE
  • Durée de conservation des données
  • Droits des utilisateurs (droit d’accès, de rectification, d’effacement, d’opposition, de portabilité…mais aussi de retirer son consentement ou d’introduire une réclamation auprès de la CNIL)
  • Les conséquences d’un refus de ne pas fournir ses données
  • L’existence d’une prise de décision automatisée.

2 – Collecter et traiter des données

La collecte et le traitement de données supposent une base légale qui pour notre activité sera le consentement.
Toute application mobile doit obtenir un consentement éclairé de l’utilisateur (il doit comprendre ce à quoi il consent) et lui permettre de refuser ou retirer son consentement sans préjudice pour lui.
Le consentement doit être un acte positif (exemple : pas de case déjà pré-cochée).
Toute application devra garder une trace du consentement donné et pouvoir les partager avec ses partenaires.

Plus de détail sur le site de l’IAB EUROPE : advertisingconsent.eu

3 – Droits des utilisateurs

Le RGPD permet aux utilisateurs d’accéder à leurs données, de les rectifier, de demander leur suppression, de les récupérer et de s’opposer au traitement.

Toute application doit permettre aux utilisateurs d’exercer leurs droits via une adresse générique ou via les paramètres de l’application. Veillez à vous coordonner avec vos partenaires si une action est nécessaire de leur côté.

4 – Sécuriser les données

Toutes les datas collectées doivent être conservées sur des plateformes sécurisées pour éviter les fuites de données.
La CNIL a partagé des bonnes pratiques dans son guide sur la sécurité.

Requesting Consent by IAB EUROPE, qu’est-ce que c’est ?

Depuis le mois d’avril, l’IAB Europe met à disposition des éditeurs d’applications une API JavaScript qui leur permet de personnaliser leur demande de consentement à leurs utilisateurs (message, liste des partenaires/catégories, etc…).

 

L’objectif de cette API est de mettre en place un template standard qui intègre un mécanisme d’identification du consentement des users. Les données de consentements des utilisateurs pourront être partagées avec les partenaires de l’éditeur.

FAQ

Est-ce qu’un pop-up opt-in de géolocalisation suffit ?
Les règles du consentement sont renforcées avec le RGPD. Le consentement devra être libre, spécifique, informé et univoque. Il faudra un accord spécifique pour les différents traitements et données (ex: pour les données de localisation utilisées à des fins publicitaires).

 

Quels sont les montants des amendes annoncés ?
Les amendes administratives (article 83 RGPD) peuvent s’élever à 20 000 000 € ou jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 

L’utilisation du framework de l’IAB Europe est-elle obligatoire? 
L’initiative de l’IAB est une proposition pour l’implémentation des règles du RGPD par les acteurs de la publicité mais elle n’est pas obligatoire.

 

En quoi la géolocalisation est-elle une donnée sensible ? 
Les données de géolocalisation sont des données personnelles soumises aux règles du règlement européen sur la protection des données (RGPD). Lorsqu’elles sont collectées via des cookies ou traceurs, cette collecte est soumise aux règles de la Directive 2002/58/CE sur les cookies, notamment à l’obligation d’obtenir le consentement.

 

La nomination d’un DPO ne concerne que les grandes entreprises ? 
La désignation d’un DPO est obligatoire selon les activités de l’entreprise ou le nombre de données traitées et non pas en fonction de la taille de l’entreprise. Lorsqu’elle n’est pas obligatoire, la nomination d’un DPO est fortement recommandée par la CNIL. Il peut être internalisé ou externalisé mais il peut aussi être mutualisé entre plusieurs organismes ou au sein d’associations professionnelles.