Iscriviti alla nostra newsletter Tea O'Clock!
Nel 2022, i francesi passavano in media 3,9 ore al giorno sul loro telefono cellulare, un dato in costante aumento. L'evoluzione delle pratiche digitali e l'aumento dell'utilizzo delle applicazioni mobili hanno spinto la CNIL a concentrarsi maggiormente su questo tema. Nell'ambito del suo piano d'azione sulle applicazioni mobili, il CNIL ha pubblicato l'estate 2023 un progetto di raccomandazione volto a chiarire gli obblighi normativi dei diversi attori interessati e a promuovere le buone pratiche in questo campo. La CNIL prepara quindi il pendant applicativo delle sue linee guida pubblicate nel marzo 2021 che riguardano principalmente il web. La conformità delle applicazioni mobili appare quindi come un asse prioritario della Commissione per l'anno 2024.
Le applicazioni mobili consentono di trattare grandi quantità di dati personali che non esistono (o esistono poco) nella maggior parte degli ambienti web: geolocalizzazione in tempo reale, accesso al carnet di indirizzi dell'utente, utilizzo dell'apparecchio fotografico del telefono, autenticazione tramite Google / Facebook, ecc. Questo rende l'ambiente ancora più sensibile all'utilizzo dei dati degli utenti.
Gli operatori possono già effettuare un audit delle loro applicazioni mobili verificando gli elementi indicati dalla CNIL nel suo progetto di raccomandazione:
Tuttavia, l'ambiente tecnico delle applicazioni mobili è molto diverso da quello dei siti web, al punto che le applicazioni vengono spesso paragonate a delle "boîtes noires".
Nella maggior parte delle aziende, le squadre che si occupano del web e quelle che si occupano delle applicazioni mobili sono diverse, e non hanno che pochissima corrispondenza nei loro lavori. Le decisioni di conformità relative all'utilizzo dei dati sul web non sono mai state prese dai loro omonimi sul lato delle applicazioni mobili.
A seguito delle diverse regolamentazioni web emanate dalle diverse istituzioni francesi ed europee, gli annonciatori hanno preso l'abitudine di realizzare una documentazione avanzata della loro conformità web. Ciò consente, in caso di controllo, di giustificare facilmente il rispetto della legislazione e di dimostrarne la buona volontà. Questa esaustività è tuttavia piuttosto rara nelle applicazioni mobili: pochissima storicizzazione, nessuna politica di vita privata dedicata e poca governance legata alla conformità messa in atto!
Tecnologicamente, un'applicazione mobile si muove in un mondo completamente diverso da quello del web: è in effetti legata al codice, implica un ambiente più tecnico e richiede competenze particolari.
Inoltre, sul web in configurazione client-side, la trasparenza è fondamentale: è possibile osservare l'insieme delle richieste in modo semplice e immediato sul navigatore. In un'applicazione, le richieste sono talvolta realizzate in modo diverso e non sono visibili all'utente: ciò rende il controllo più complesso.
A - Obiettivi dell'audit
Per rispondere ai problemi di maestria dei tracciatori, abbiamo messo a punto un metodo di audit robusto per identificare i tracciatori presenti nelle applicazioni, negli SDK (Software Development Kit) all'origine della loro creazione e nelle loro finalità. Ciò consente di assicurare la conformità delle tracce o di identificare le azioni correttive da eseguire per garantire la conformità.
La complessità e il problema dell'audit delle applicazioni mobili consiste nel disporre di uno strumento che consenta di analizzare tutte le richieste provenienti dai diversi SDK; sul mercato, diversi strumenti consentono di visualizzare le diverse richieste.
B - La metodologia di audit da mettere in atto
La nostra metodologia si basa essenzialmente sulla mappatura degli SDK con le aziende artigianali e applicative, al fine di identificare gli SDK utilizzati, in particolare quelli per i quali dobbiamo analizzare le richieste. È anche l'occasione per comprendere l'obiettivo finale di questi diversi SDK, compresi quelli a vocazione marketing.
Per questo motivo, utilizziamo due strumenti complementari per realizzare l'audit: un'applicazione tradizionale, Browserstack, e lo strumento utilizzato da NYOB ("None Of Your Business", organizzazione per la protezione della vita privata) per i suoi audit, PiRogue. Questi strumenti consentono di mettere in luce diverse richieste.
Analizziamo quindi le richieste testando diversi scenari di consenso (prima del consenso, dopo il rifiuto e dopo il consenso) e rileviamo la presenza potenziale di dati personali, come il nome, il cognome o l'e-mail.
I risultati dell'audit permettono di mettere in evidenza i problemi di conformità dell'applicazione e le soluzioni per risolverli.
C - Mantenere la conformità a lungo termine
Sebbene pochi strumenti permettano oggi un controllo esaustivo delle applicazioni mobili, alcuni appaiono comunque sul mercato. Su Cinquantacinque, ne abbiamo testate alcune, che possiamo raggruppare in due categorie:
Se desiderate maggiori informazioni sull'audit delle applicazioni mobili, non esitate a contattarci! Potete anche scoprire le nostre risorse relative alla protezione dei dati personali su questa pagina dedicata.
Scoprite tutte le ultime notizie, articoli, repliche di webinar e cinquantacinque eventi nella nostra newsletter mensile, Tea O'Clock.