Conformité RGPD de votre application : 5 choses à retenir

Depuis mai 2018, les termes & conditions ainsi que la politique de confidentialité sont les premiers éléments à être inspectés par les utilisateurs. Avec l’émulation créée autour du RGPD (ou GDPR), nous nous sommes tous demandé ce que cela impliquait, concernant les applications mobiles particulièrement. En effet, difficile d’ignorer les dizaines d’emails reçus concernant le nouveau règlement… mais c’est probablement mieux ainsi. Dans cet article, nous vous expliquons les points importants concernant la conformité RGPD de votre application mobile.

Qu’est ce que le RGPD ? 

Le Règlement Général sur la Protection des Données (RGPD) est le dernier règlement de l’Union Européenne concernant les données personnelles. Avec l’augmentation exponentielle de l’utilisation des applications mobiles et d’internet, nos données personnelles sont constamment partagées, au point de ne plus savoir qui y a accès. Nom, adresse email, numéro de téléphone, adresse IP et bien d’autres données se retrouvent dans la nature. Les utilisateurs les communiquent mais l’utilisation de ces données est rarement transparente.

Nos informations personnelles peuvent être exploitées pour créer des publicités très ciblées, comme ce fût le cas avec le scandale Cambridge Analytica. Grâce à un test de personnalité sur Facebook, des dizaines de millions de personnes ainsi que leurs contacts furent profilées pour influencer leur vote lors d’élections américaines en 2014 et 2016.

Le RGPD donne fondamentalement plus de contrôle aux utilisateurs concernant la protection des données personnelles. Les principaux points à retenir sont une meilleure transparence, un nouveau parcours de conformité et un nouveau régime de sanction. La conformité RGPD est donc la norme. Mais qu’est-ce que cela signifie vraiment pour les applications mobiles existantes et celles du futures ?

Conformité RGPD : Comment faire ? 

Vous l’avez compris, le RGPD traite de la protection des données personnelles. Les nouvelles règles doivent être prises en compte à chaque étape du développement de votre application. Que vous sélectionniez un business model ou le design de votre app pour une expérience utilisateur de qualité, vous devrez tenir compte de la manière dont vous manipulez les données et en informez vos utilisateurs.

1. Data mapping 

La première chose à faire est de cartographier la transmission des données (Data mapping). Vous devez savoir à quels endroits de votre app vous collectez des données. D’où les recevez-vous et où vont-elles? Vous devez également garder à l’esprit que vous devrez expliquer à vos utilisateurs pourquoi vous collectez leurs données personnelles.

2. Securité

La sécurité de votre application était déjà un pré-requis avant le RGPD. Les informations personnelles recueillies via votre application mobile, quelle que soit leur nature, doivent absolument être sécurisées. En fonction du type de données collecté, vous aurez peut-être même besoin d’effectuer un DPIA (Analyse d’Impact sur la Protection des Données). Cependant, cela ne risque pas d’affecter beaucoup d’entre vous, étant donné que son obligation se limite aux projets présentant “un risque élevé pour les droits et libertés des individus”. Ceci dit, il est vital de vous assurer que votre app respecte les exigences du RGPD et d’identifier les points sensibles nécessitant une protection avancée.

3. Privacy by design 

Sans grande surprise, vos utilisateurs devront accepter les termes et conditions de votre application. Même si ils sont censés prendre note de tous ses éléments, nous savons pertinemment que peu d’entre eux le feront. Lors de cette étape, assurez-vous que les termes et conditions de votre application sont alignés avec le RGPD. Évidemment, cela s’applique également à la politique de confidentialité. Toutefois, vous devrez désormais expliquer :

• Quelles informations vous collectez ;
• Pourquoi vous le faites ;
• Comment elles peuvent être supprimées, mises à jour et exportées par l’utilisateur.

Au sein même de votre application, vous devrez demander le consentement de l’utilisateur à chaque fois que ses données seront utilisées. Comme expliqué précédemment, ils devront être capable d’accéder et de contrôler leur données à tout moment. Le concept de Privacy by Design a pour but de minimiser l’enregistrement et la rétention d’informations. Il vise également à rendre l’accord d’utilisation des données obligatoire.

4. Droit à l’effacement 

Comme expliqué dans le paragraphe précédent, les utilisateurs doivent pouvoir gérer leurs données personnelles. Le “Droit à l’effacement” (“Droit à l’oubli ») permet de demander l’effacement de ses données à l’entité en charge de leur traitement. Il faudra supprimer la totalité des données sans en garder aucune sauvegarde. Néanmoins, ce droit n’est pas absolu et ne s’applique que dans certaines circonstances.  

5. Extraterritorialité 

Vous devez savoir que cette réglementation s’applique également aux entreprises basées hors Union Européenne. Cela signifie que si votre entreprise offre un produit ou un service dans l’UE ou utilise les données de ses citoyens, les règles du RGPD s’appliquent, quel que soit l’endroit depuis lequel vous opérez. Les marketplaces, les applications cloud ou autres applications destinées au marché international seront très certainement affectées.

Conclusion 

Si vous possédez déjà une application, il est important d’effectuer tous les changements nécessaires aussi vite que possible. Les amendes pour non-respect de la conformité RGPD peuvent atteindre jusqu’à 4 % de votre chiffre d’affaires annuel ou 20 millions d’euros ! Si vous ne possédez pas encore d’application, les nouvelles régulations seront l’un des aspects fondamentaux de votre projet. Commencez par suivre notre cahier des charges pour définir votre projet. Mais surtout, ne négligez pas la protection de la vie privée et la sécurité, cela risquerait plus de causer votre perte que votre succès.