L'accès aux données personnelles des utilisateurs de smartphones et de tablettes est au coeur d'énormes enjeux économiques qui peuvent conduire à des abus mettant en cause le respect de la vie privée des consommateurs.

Europe et Etats-Unis s'affrontent d'ailleurs sur le principe même de cet accès que les seconds voudraient élargir pour créer de nouvelles opportunités économiques quand les premiers l'érigent en valeur à défendre contre les appétits des grands groupes.

Ces dernières années, divers dérapages et mauvaises prises en compte de ce paramètre ont amené à se préoccuper des principes et bonnes pratiques présidant à la création des applications et services mobiles. Le G29, qui regroupe les CNIL européennes, a ainsi produit des recommandations vis à vis des différents acteurs impliqués, des développeurs aux éditeurs d'OS en passant par les fabricants de terminaux, les gestionnaires de portails de téléchargement et les tiers ( opérateurs mobiles, régies publicitaires... ).

Ces propositions visent à responsabiliser les différents participants de cette chaîne de valeur autour des données personnelles. Elles redisent aussi la volonté des régulateurs européens de ne pas faire des données personnelles une marchandise comme une autre.

A cette fin, le G29 rappelle le principe de " privacy by design " qui doit inciter les créateurs d'applications et de services à limiter la collecte des données personnelles au strict nécessaire pour le bon fonctionnement de leur invention. Les identifiants spécifiques sont proscrits et seuls des identifiants temporaires pour une application ou une catégorie d'applications devraient être utilisés.

Les acteurs doivent informer précisément les utilisateurs sur les données collectées, leur but et leur réutilisation éventuelle par des tiers. Ce cadre devrait être précisément établi avec des règles de sécurité et d'accès aux données, notamment au niveau des éditeurs d'OS mobile et des gestionnaires de portails de téléchargements.

Le G29 recommande également que l'accord exprès de l'utilisateur soit obtenu avant le téléchargement de l'application, mais aussi avant toute modification sensible des conditions de mise en oeuvre. Le principe de l'" opt-in " (consentement de l'utilisateur obtenu en amont) est valorisé et doit être détaillé. Il doit également pouvoir être annulé à tout moment par l'utilisateur. Et ce principe d'opt-in doit aller jusqu'aux tiers recueillant les données des utilisateurs.

Enfin, certaines données personnelles sont plus sensibles que d'autres, comme les données financières ou celles permettant de reconstituer le profil social d'une personne. Leur collecte et leur exploitation doit être encadrée et accompagnée d'une information spécifique, notamment pour les applications ciblant les enfants.

Au-delà de ces devoirs des éditeurs et développeurs, le G29 souligne que l'utilisateur doit aussi faire preuve de responsabilité dans le choix de ses applications et ne pas oublier que leur gratuité est souvent supportée par de la publicité, avec la possibilité d'une réutilisation des données recueillies.