Pour les entreprises, les applications mobiles constituent des points de contact clefs pour collecter de la donnée personnelle sur leurs utilisateurs. Il est ainsi important que ces applications mobiles soient conformes à la réglementation en la matière pour s’assurer que les données collectées soient réutilisables et valorisables ultérieurement. Le Règlement Général sur la Protection des Données à caractère personnel n°2016/679 du 27 avril 2016 (“RGPD”), applicable à partir de mai 2018, apporte des précisions clefs sur la manière avec laquelle le consentement des utilisateurs devra être géré par les responsable de traitement. Cet article explorera ainsi quelques pistes pour mettre les applications mobiles actuelles et futures en conformité avec les règles régissant l’obtention du consentement des personnes concernées par la collecte et le traitement des données à caractère personnel.
La place du consentement préalable dans la conformité des applications mobiles
L’article 6 du RPGD organise les différentes bases légales pour collecter et traiter de la donnée à caractère personnel. Parmi ceux-ci, les applications mobiles sont susceptibles, sauf cas particulier, d’avoir principalement recours à deux fondements de liceité, le consentement préalable de l’utilisateur et le traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie :
“1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci; […]”
A titre liminaire, l’on rappellera que l’utilisation d’une application par un utilisateur est un contrat au terme duquel l’éditeur de l’application mobile met à disposition de l’utilisateur un certain nombre de services par le biais de l’application mobile. Cela peut être la fourniture d’un jeu ou d’un outil, d’information, de livraison à domicile etc. En contrepartie et lorsque le fonctionnement de l’application implique des aspects de SaaS, l’utilisateur doit fournir à l’éditeur de l’application mobile un certain nombre de données personnelles a minima pour qu’il puisse recevoir les services proposés par l’application mobile.
Pour la collecte et le traitement de ces données personnelles, il est légitime de penser qu’ils peuvent tomber dans le champ du “traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie” et que les éditeurs peuvent se dispenser d’obtenir le consentement préalable de l’utilisateur les concernant. Cependant, cette base légale alternative à l’obtention du consentement préalable de l’utilisateur doit être comprise de manière limitée et interprétée avec prudence. En effet, il est question de traitement “nécessaire” à l’exécution d’un contrat, c’est à dire de traitement sans lesquels les services de l’application ne peuvent pas être fournis. Les éditeurs ou développeur d’application mobile devront donc faire le tri en isolant d’un côté les traitements de données personnelles sans lesquelles les services de l’application ne peuvent pas être fournis des autres traitements qui sortent hors du champ de la base légale de nécessité à l’exécution d’un contrat et pour lesquels le consentement préalable de l’utilisateur de l’application devra être obtenu (ou se reposer sur une autre base légale). Ces traitements peuvent avoir pour finalité d’assurer la maintenance de l’application, la prospection commerciale, l’amélioration des services de l’éditeur, la création de statistiques d’usage etc.
Comment donc gérer, de manière concrète, la conformité des collectes et traitement fondés sur le consentement préalable de l’utilisateur, et ce en toute tranquillité ?
La collecte du consentement
Pour ce qui concerne la collecte du consentement, le GDPR balise déjà grandement le terrain. C’est ainsi que l’on peut lire en son considérant 32 :
Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.
Après lecture, tout se trouve dans ce considérant qui n’appelle aucun commentaire particulier et ses suggestions sont suffisamment claires pour voir de quelle manière le consentement doit être collectée de manière concrète sur une application mobile.
Contentons nous donc de mettre en lumière les éléments saillants de ce considérant:
- Il faut que l’obtention du consentement préalable de l’utilisateur soit véritablement préalable à toute collecte et traitement de ses données personnelles. Cette étape devrait intervenir à la première ouverture de l’application.
- Le consentement ne peut être obtenu négativement par la simple poursuite de l’utilisation de l’application mais doit se manifester par un acte positif (cocher une tickbox, faire glisser un bouton toggle etc.). Lors du recours à une tickbox ou à un bouton toggle, celui-ci doit être décoché par défaut.
- Il faut que chaque traitement individuel fasse l’objet d’un consentement séparé et distinct de ceux associés aux autres traitements en cas de pluralité de finalités (un consentement pour la prospection commerciale ; un autre consentement pour la maintenance etc. etc.).
- Il faut que l’utilisateur soit informé de manière claire et concise de la finalité de chaque traitement auquel il consent, ainsi que de sa faculté de retirer son consentement (voir plus bas).
En revanche, les modalités de mise en oeuvre du retrait du consentement appelle plus d’analyse que sa collecte.
Le retrait du consentement
L’article 7.3. du Règlement Général sur la Protection des Données à caractère personnel n°2016/679 du 27 avril 2016 dispose que :
“La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.“
A la lecture de cet article, l’on peut constater que celui-ci pose un principe d’équivalence de simplicité entre le don et le retrait du consentement. Ce principe impose que les mêmes moyens utilisés pour obtenir le consentement d’un utilisateur d’application mobile soient utilisés pour qu’il puisse exprimer son retrait.
Il a été préalablement évoqué que l’obtention du consentement préalable de l’utilisateur devrait, pour la plupart des cas, passer par une tickbox, un bouton toggle ou assimilable. En suivant les exigences du principe d’équivalence de simplicité du don et du retrait, il faudrait donc que l’expression de la volonté de retirer le consentement de l’utilisateur passe par des procédés identiques ou analogues.
Ainsi, il est vraisemblable qu’une fois que le RGPD entrera en vigueur, il ne sera plus possible de requérir de l’utilisateur d’une application mobile qu’il envoie un courrier ou email au responsable de traitement pour exercer son droit de retrait. En effet, une telle procédure serait trop complexe au regard de celle qui aura été utilisée pour recueillir le consentement préalable. Activer un bouton toggle ou cocher une tickbox est instantané et intuitif alors que rédiger un email ou courrier et attendre que la demande soit traitée est plus fastidieux, pas d’équivalence de simplicité.
La solution la plus évidente serait ainsi de permettre à l’utilisateur de retirer son consentement, traitement par traitement, via des boutons toggle ou des tickboxes, dans les préférences de l’application tout comme pour l’obtention de son consentement préalable.
Une autre solution pourrait être d’inviter simplement l’utilisateur à cesser d’utiliser l’application mobile et de la désinstaller mais il est possible qu’elle s’oppose au principe de liberté du consentement donnée. Dans cette perspective, le considérant 42 du règlement précité précise que :
“Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.“
Dans l’hypothèse où un utilisateur souhaiterait retirer son consentement pour un traitement non nécessaire au fonctionnement de l’application et que, pour ce faire, il n’aurait que pour seule option la désinstallation de l’application, il est possible que les autorités de contrôle considèrent que la privation totale des services de l’application induite par sa désinstallation constitue un préjudice pour l’utilisateur de nature à priver son consentement de liberté.
Il semblerait du moins que ce soit une position à laquelle le G29, l’institution regroupant l’ensemble des autorités de contrôle des données à caractère personnel de l’Union Européenne, est particulièrement sensible. C’est ainsi que dans son opinion en date du 4 avril 2017 au sujet de la proposition de règlement ePrivacy, le G29 a souligné qu’il était nécessaire d’interdire les tracking walls, pratiques qui consistent à retirer l’accès à l’intégralité des services proposés par une application ou un site web si l’utilisateur ne consent pas à être tracé :
“The future ePrivacy regulation should therefore specify that access to content in for example websites and apps may not be made conditional on the acceptance of such intrusive processing activities, regardless of the tracking technology applied, such as cookies, device fingerprinting, injection of unique identifiers or other monitoring techniques.”
Le G29 considère ainsi que la pratique du à prendre ou à laisser s’érige à l’encontre de la liberté d’expression dans son versant droit d’accès à l’information. L’on peut donc anticiper que ce raisonnement est susceptible de s’appliquer à la contrainte de devoir supprimer une application mobile pour exprimer le retrait de son consentement au traitement de ses données à caractère personnel.
En attendant que la pratique et le temps n’apporte plus de précisions sur la manière de mettre en oeuvre les modalités d’exercice du droit retrait du consentement en matière d’application mobile, il est préférable pour les éditeurs et développeurs d’opter pour les options les plus prudentes.
Mathias