Qu’est-ce que l’autorisation ?
Grâce à ces dispositifs, l’utilisateur choisit d’autoriser ou non l’accès aux applications aux capteurs (accéléromètre, localisation, luminosité, objectif photo, microphone, etc.) ou en mémoire (stockage de fichiers, photos, vidéos, sons, carnet de contacts, historiques divers, etc.) Ce sont des terminaux mobiles.
► Voir la recommandation sur les applications mobiles, partie 8.3.1.
Les autorisations doivent être distinguées de l’obtention du consentement
- En fait, ils visent uniquement à donner ou bloquer l’accès aux ressources et informations protégées du terminal mobile indépendamment des finalités poursuivies par l’éditeur de l’application. Le fournisseur du système d’exploitation suggère uniquement d’expliquer dans la demande pourquoi l’accès est demandé. Ces Des autorisations peuvent donc être requises dans des situations où le consentement de l’utilisateur n’est pas requis par la réglementation. Par exemple, l’accès à la localisation est dispensé de consentement pour le fonctionnement même d’une application de navigation puisque ces données sont nécessaires au service. Cependant, le fournisseur du système d’exploitation exige que l’éditeur demande l’autorisation d’accéder à ces données.
- Même lorsque le consentement est requis, un simple la demande d’autorisation ne permet pas toujours d’obtenir un consentement libre, spécifique, éclairé et sans équivoque, conformément au RGPD ou à la loi Informatique et Libertés (article 82). Elle n’est suffisante que dans des cas limités, par exemple si l’autorisation concerne un seul traitement, une seule finalité et un seul destinataire des données (voir la recommandation, partie 8.3.2). Dans la plupart des cas, il est nécessaire d’utiliser une plateforme de gestion du consentement en plus de la demande d’autorisation.
Que retenir des recommandations de la CNIL en matière d’autorisations ?
Meilleures pratiques pour les fournisseurs de systèmes d’exploitation
- le degré de précision les données fournies en fonction de la finalité poursuivie (ex : localisation plus ou moins précise) ;
- le portée matérielle autorisation (ex : accès aux photos sélectionnées plutôt qu’à la galerie média globale) ;
- le durée pendant la durée de l’autorisation (ex : activation ponctuelle de l’autorisation ou pour une durée prédéterminée).
► Voir recommandation, partie 8.3
L’éditeur doit choisir les autorisations à mettre en œuvre et identifier les situations dans lesquelles le consentement doit être recueilli
Il doit notamment identifier :
- au cas par cas, parmi les autorisations mises à disposition par l’OScelle qui permet de remplir les objectifs poursuivis, tout en respectant le principe de minimisation : lorsque l’OS en donne la possibilité, la CNIL recommande à l’éditeur de choisir, pour chaque autorisation, la version la moins intrusive qui répond à ses besoins.
- en tant que responsable du traitement, les situations dans lesquelles le règlement requiert le consentement en plus de l’autorisation imposée par le fournisseur du système d’exploitation. Pour ce faire, il faudra déterminer si le le traitement lié aux autorisations implique des opérations de lecture/écriture qui nécessitent le consentement de l’utilisateur (article 82 de la loi Informatique et Libertés). Dans ce cas, mettre en œuvre une plateforme de gestion du consentement (« Plateforme de gestion du consentement » ou CMP) peut être nécessaire en plus de la demande d’autorisation « technique ». La recommandation guide les développeurs sur le moyen d’obtenir le consentement dans ce cadre. À cet égard, la CNIL considère comme une bonne pratique de recueillir les consentements de manière contextuelle à partir des actions entreprises plutôt qu’une seule sélection initiale.
► Voir la recommandation sur les applications mobiles, partie 5.5 et partie 6.2.3, pp. 52-53
Comment articuler autorisation et recueil du consentement ?
L’infographie ci-dessous précise comment cette articulation peut se faire afin d’éviter toute confusion pour l’utilisateur :
Consultez l’infographie au format PDF
► Voir recommandation, partie 6.2.3
#Autorisations #dans #les #applications #mobiles #recommandations #CNIL #pour #respecter #vie #privée #des #utilisateurs