La conformità delle applicazioni mobili, un nuovo problema importante per gli annunciatori

‍

I - Conformità delle applicazioni mobili, una priorità 2024 ! 

En 2022, les français passaient en moyenne 3,9 heures par jour sur leur téléphone mobile, un chiffre en constante augmentation. L'évolution des pratiques numériques et l'augmentation de l'utilisation des applications mobiles ont incité la CNIL à se pencher davantage sur ce sujet. Dans le cadre de son plan d'action sur les applications mobiles, la CNIL a publié le 24 septembre 2024 ses lignes directrices sur les applications mobiles permettant de rappeler les rôles et responsabilités de chaque acteur. Elle a également annoncé une mise en application et des contrôles à partir du printemps 2025. 

Les applications mobiles permettent le traitement de grandes quantités de données personnelles qui n'existent pas (ou peu) sur la plupart des environnements web : géolocalisation en temps réel, accès au carnet d'adresses de l'utilisateur, utilisation de l'appareil photo du téléphone, authentification via Google / Facebook, etc. Cela rend cet environnement d'autant plus sensible à l'utilisation des données des utilisateurs.

‍

II - Le applicazioni, un ambiente complesso da controllare

Les annonceurs peuvent d'ores et déjà réaliser un audit de leurs applications mobiles en vérifiant les éléments indiqués par la CNIL dans ses lignes directrices :  

• Le consentement de l'utilisateur est-il bien recueilli?
• L'utilisateur est-il bien informé des données collectées et des permissions accordées ?
• Le buone pratiche di governance sono state messe in atto?

Toutefois, l'environnement technique des applications mobiles est très différent des sites web, à tel point que les applications sont souvent comparées à des "boîtes noires". 

1. Una complessità legata alla governance

Dans la plupart des entreprises, les équipes gérant le côté web et les équipes gérant les applications mobiles sont différentes, et n'ont que très peu d'adhérence dans leurs travaux. Les décisions de conformité liées à l'utilisation de données sur le web ne parviennent parfois pas à leurs homonymes côté applications mobiles. 

2. Processi poco documentati

Suite aux différentes réglementations web émises par les différentes institutions françaises et européennes, les annonceurs ont pris l'habitude de réaliser une documentation avancée de leur conformité web. Cela permet, en cas de contrôle, de facilement justifier le respect de la législation et montrer sa bonne volonté. Cette exhaustivité est cependant bien rare sur les applications mobiles : très peu d'historisation, pas de politique de vie privée dédiée, et peu de gouvernance liée à la conformité mise en place !

3. Una tecnologia più complessa da gestire

Tecnologicamente, un'applicazione mobile si muove in un mondo completamente diverso da quello del web: è in effetti legata al codice, implica un ambiente più tecnico e richiede competenze particolari. 

De plus, sur le web en configuration client-side, la transparence prime : nous pouvons observer l'ensemble des requêtes facilement et instantanément sur le navigateur. Sur une application, les requêtes sont parfois réalisées en différé et ne sont pas visibles par l'utilisateur : cela rend son audit plus compliqué. 

‍

III - La metodologia di audit 

A - Obiettivi dell'audit

Afin de répondre aux enjeux de maîtrise des traceurs, nous avons conçu une méthode d'audit robuste pour identifier les traceurs présents sur les applications, les SDK (Software Development Kits) à l'origine de leur dépôt, ainsi que leurs finalités. Cela permet de s'assurer de la conformité des traceurs ou d'identifier les actions correctives à réaliser pour garantir une conformité. Auditer la conformité des applications mobiles est une bonne pratique que la CNIL met en avant dans ses lignes directrices.

Toute la complexité et l'enjeu de l'audit des applications mobiles est d'avoir un outil permettant d'analyser toutes les requêtes provenant des différents SDK ; sur le marché, plusieurs outils mettent en visibilité différentes requêtes.

B - La metodologia di audit da mettere in atto 

‍

Notre méthodologie repose tout d'abord sur le mapping des SDK avec les équipes métiers et applicatives afin d'identifier les SDK utilisés, notamment ceux pour lesquels nous allons devoir analyser les requêtes. C'est aussi l'occasion de comprendre la finalité métier de ces différents SDK, dont ceux à vocation marketing. 

Par la suite, nous utilisons 2 outils complémentaires afin de réaliser l'audit : un outil applicatif traditionnel, Browserstack, et l'outil utilisé par NYOB ("None Of Your Business", organisation de protection de la vie privée) dans ses audits, PiRogue. Ces outils permettent de mettre différentes requêtes en lumière. 

Nous analysons ainsi les requêtes en testant différents scénarios de consentement (avant consentement, après refus et après consentement) et détectons la présence potentielle de données personnelles, comme le nom, prénom ou l'email. 

Les résultats de cet audit vont permettre de mettre en évidence les problèmes de conformité de l'application ainsi que les solutions pour y remédier.

C - Mantenere la conformità a lungo termine 

Si très peu d'outils permettent aujourd'hui un audit exhaustif des applications mobiles, certains apparaissent toutefois sur le marché. Chez fifty-five, nous en avons testé quelques-uns, que nous pouvons rassembler en 2 catégories : 

• Gli strumenti che permettono di effettuare audit unitari: Browserstack, PiRogue, Fiddler
• Les outils permettant d'industrialiser l'audit et d'avoir un monitoring sur le long terme : Seenaptic de Netvigie 

‍

Se desiderate maggiori informazioni sull'audit delle applicazioni mobili, non esitate a contattarci! Potete anche scoprire le nostre risorse relative alla protezione dei dati personali su questa pagina dedicata.