Après avoir entendu le rapport M. Bertrand du Marais, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement
Formule les observations suivantes :
La Commission nationale de l'informatique et des libertés (CNIL) a adopté, par la délibération n° 2024-061 du 18 juillet 2024, la recommandation relative aux applications mobiles.
Ce document, tel qu'initialement adopté, nécessite quelques modifications, objet de la présente délibération. En complément de quelques rectifications d'erreurs ou omissions d'ordre purement matériel, les modifications principales sont les suivantes :

- au sein de la partie 4.2 (« Déterminer les qualifications de chaque acteur »), l'exemple relatif à la « Lecture et traitement d'une donnée de localisation par une application via un SDK pour le seul compte de l'éditeur » et son schéma sont modifiés, afin de rectifier une incohérence ;
- au sein de la partie 6.2.3 (« Participer à la conformité en matière de recueil du consentement »), le tableau relatif à l'« articulation des fenêtres de sollicitation (CMP/permission) en fonction de l'ordre de présentation des requêtes » est remplacé par une infographie intitulée « Articuler la permission technique et le recueil du consentement », dans un objectif de clarté ;
- au sein de la partie 6.3.1 (« Sélectionner le SDK selon les bons critères »), une précision est apportée sur la nécessité, lorsque le fournisseur d'un SDK intégré au sein d'une application réalise des traitements pour son propre compte, de le prévoir contractuellement avec l'éditeur lors de l'intégration du SDK. Cette contractualisation est nécessaire dès lors que l'éditeur et le fournisseur de SDK sont responsables conjoints de la collecte réalisée à travers le SDK et que l'éditeur doit, en tant que responsable des traitements réalisés au sein de l'application, avoir une vision claire et contractualisée des traitements opérés par le prestataire qu'il choisit. Cette modification est par ailleurs effectuée en référence à une mention déjà présente au sein de la partie 4.2 (« Déterminer les qualifications de chaque acteur »), indiquant que « l'éditeur n'est pas responsable des traitements effectués par les tiers pour leur propre compte sur des données personnelles issues d'opérations de lecture et/ou écriture qu'ils réalisent à travers l'application. Dès lors que le traitement utilise les données collectées via l'application, cette collecte doit être prévue contractuellement entre l'éditeur et le tiers ».

Le fonds des décisions de la CNIL sur Légifrance ne permettant pas, à ce stade, de présenter au public une version consolidée combinant une décision initiale et une décision modificative, il convient, pour garantir l'accessibilité de la recommandation sur le site Legifrance.gouv.fr, d'abroger la version précédente et de la remplacer entièrement par la version figurant en annexe.
Décide :

La délibération n° 2024-061 du 18 juillet 2024 portant adoption de la recommandation relative aux applications mobiles est abrogée.

La recommandation modifiée figurant en annexe est adoptée.

La présente délibération sera publiée au Journal officiel de la République française.