Après avoir entendu le rapport M. Bertrand du Marais, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
Les applications mobiles sont l'un des principaux moyens d'accès à des contenus et des services numériques.
Pour ses utilisateurs, le téléphone mobile multifonctions (ou ordiphone, « smartphone » en anglais), terminal personnel par définition, relève de la sphère privée et intime. Il est essentiel pour chacun de pouvoir contrôler les données auxquelles les applications mobiles ont accès. Pour autant, les traitements de données mis en œuvre au sein des applications peuvent être ou apparaître opaques. En particulier, les informations sur l'existence de collectes de données et sur leurs objectifs sont souvent peu claires. L'utilisateur peut avoir des difficultés à comprendre la nature des autorisations qui lui sont demandées, ce qui complique l'expression de ses choix. Enfin, les mobiles multifonctions embarquent de nombreux capteurs plus ou moins connus des utilisateurs (caméra, GPS, base de contacts, accéléromètres, etc.), qui peuvent permettre aux applications d'accéder à des données dont la collecte peut se révéler très intrusive.
Les acteurs qui participent à la mise à disposition d'applications mobiles doivent s'assurer du respect de leurs obligations en matière de protection des données et des droits des utilisateurs. Ces acteurs sont nombreux : les développeurs d'applications (dont certaines peuvent s'échanger des données), les fournisseurs de systèmes d'exploitation, les gestionnaires de magasins d'applications, les éditeurs de kits de développement logiciel (« software development kits » ou SDK en anglais) liés à des réseaux sociaux ou à des fonctionnalités techniques, etc.
Si les principes et obligations en matière de protection des données sont désormais bien connus des opérateurs de sites web et font l'objet de recommandations de la part de la CNIL, leur mise en œuvre dans le contexte des applications mobiles nécessite d'être précisée.
Cette recommandation, qui a été soumise à consultation publique, vise à clarifier ces règles afin que les acteurs de l'écosystème mobile aient une bonne compréhension de leurs obligations et propose des éléments concrets pour s'y conformer ainsi que des bonnes pratiques.
Le document est ainsi structuré :

- les parties 1 et 2 introduisent la recommandation et définissent son périmètre ;
- la partie 3 rappelle les conditions d'application de la réglementation relative à la protection des données à caractère personnel aux applications mobiles ;
- la partie 4 analyse la question des partages des rôles et des responsabilités des différents acteurs dans la fourniture d'une application mobile au sens du règlement général sur la protection des données (RGPD) ;
- les parties 5 à 9 regroupent les obligations, recommandations et bonnes pratiques ciblées pour chacune des cinq catégories d'acteurs concernées ;
- un glossaire établit une liste des termes techniques utilisés afin de les décrire précisément dans leur contexte.

Décide :

La recommandation figurant en annexe est adoptée.

La présente délibération sera publiée au Journal officiel de la République française.