api1 (1)

Application mobile de collectivité : êtes-vous en règle avec le RGPD ?

Vous avez lancé une application mobile pour communiquer avec vos administrés ? Félicitation ! Mais saviez-vous que celle-ci peut être soumise à des obligations strictes en matière de protection des données personnelles ? Accès à la géolocalisation, contacts, galerie photographique, utilisation de SDK, « kit de développement de logiciels », gestion du consentement : voici les 10 points clés à vérifier pour rester dans les normes du RGPD et de la loi Informatique et Libertés.

 

appi mobile

 

1. L’application mobile de ma collectivité est-elle soumise à la règlementation sur les données personnelles?

Oui, dès lors que l’application :

  • lit/écrit des données sur le terminal des usagers (ex. : accès à la géolocalisation, contacts, caméra),
  • ou collecte des données personnelles (nom, e-mail, préférences…).

Vous êtes donc soumis au RGPD et à la loi Informatique et Libertés, notamment l’article 82.

 

api1 (1)

2. Qui est responsable du traitement des données?

Votre collectivité, en tant qu’éditeur de l’application, est responsable du traitement si :

  • elle décide des finalités (pourquoi les données sont collectées),
  • et des moyens (quelles données, comment, combien de temps…)
appi mobile

3. Quid du prestataire que j’ai missionné pour son développement ?

  • Il est sous-traitant s’il traite les données pour votre compte (ex. : hébergement, maintenance).
  • Il peut devenir responsable du traitement s’il réutilise les données pour ses propres finalités (ex. : statistiques pour d’autres projets).
api1 (1)

4. Ai-je des obligations particulières dans la conception de l’application?

Oui, vous devez :

  • Intégrer la protection des données dès la conception « privacy by design ». Par exemple, l’application ne devrait pas collecter par défaut les données de localisation de la personne si celles-ci ne servent qu’à faciliter l’usage d’un outil de recherche qui peut être fonctionnel sans elles,
  • Collecter uniquement les données strictement nécessaires,
  • Obtenir le consentement clair des usagers (sauf exception prévue par la loi),
  • Fournir une information claire, lisible et accessible à l’utilisateur.
appi mobile

 5. Faut-il faire un tri parmi les SDK, « kit de développement de logiciels », que le développeur utilise?

Absolument. Les SDK peuvent collecter et transmettre des données à des tiers :

  • Assurez-vous qu’ils respectent le RGPD,
  • Préférez les SDK sans finalités publicitaires ou exigez des clauses contractuelles avec ceux-ci,
  • Soyez particulièrement vigilants sur les SDK qui utilisent des identifiants publicitaires. Vous pouvez utiliser Exodus pour déterminer les pisteurs et permissions sur votre application mobile.

 

api1 (1)

 6. Que faire si l’application utilise la géolocalisation ou les contacts?

  • Obtenez le consentement explicite avant d’activer ces fonctionnalités,
  • Expliquez clairement à quoi elles servent,
  • Évitez les accès permanents ou systématiques sans justification.
appi mobile

7. Dois-je tenir une documentation interne?

Oui. Vous devez :

  • Tenir un registre des traitements,
  • Documenter les analyses d’impact (AIPD) si les traitements présentent des risques élevés (ex. : surveillance de comportement, données sensibles),
  • Prévoir une politique de gestion des durées de conservation des données personnelles.

 

api1 (1)

 8. Comment gérer les mises à jour et la sécurité?

  • Assurez-vous que l’application est maintenue à jour,
  • Mettez en place un processus de signalement des failles de sécurité,
  • Supprimez ou bloquez l’accès aux anciennes versions vulnérables.

 

appi mobile

 9. Puis-je exclure le RGPD si les données ne quittent pas le téléphone?

Oui, dans certains cas très limités, comme :

  • le traitement est uniquement local, sans échange avec des serveurs,
  • et totalement sous le contrôle de l’utilisateur.

Mais dès qu’il y a échange ou transfert de données, le RGPD s’applique.

api1 (1)

10. Existe-t-il une checklist ou un outil pour ne rien oublier?

Oui, la CNIL fournit une liste de vérification pour les éditeurs (section 5.6 du document) que vous pouvez adapter à votre cas. Elle couvre :

  • la transparence,
  • la gestion des droits,
  • la documentation,
  • les contrats,
  • les SDK,

  • la sécurité.

appi mobile

Pour aller plus loin :

Délibération n° 2025-024 du 27 mars 2025 portant modification de la recommandation relative aux applications mobiles et abrogeant la délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles.

Article 82 Loi informatique et Liberté

Qu’est-ce qu’un pisteur ?

Qu’est-ce qu’une permission ?

Qu’est-ce qu’un SDK ?