Votre application est-elle prête pour les exigences CNIL 2025 ?

Si oui, les récentes recommandations de la CNIL vous concerne

Si votre application est déployée en France, vous devez prêter attention aux récentes « Recommandations relatives aux applications mobiles » publiées par la CNIL en avril 2025. Celles-ci visent à aider les professionnels à concevoir des applications mobiles respectueuses de la vie privée. À partir de 2025, la CNIL veillera à ce que ces recommandations soient prises en compte à travers ses actions de contrôle.

Cet article résume ces recommandations et donne quelques conseils pratiques pour s’y conformer.

Résumé

La CNIL (l’autorité française de protection des données) a publié cette nouvelle recommandation le 27 mars 2025 (parution le 8 avril). Elle remplace la version de juillet 2024, en affinant la manière dont les acteurs de l’écosystème mobile doivent se conformer au RGPD et à la directive ePrivacy.
Cette mise à jour répond à la complexité croissante des écosystèmes mobiles, à l’utilisation massive des SDKs, et aux risques de sécurité/vie privée liés au traitement des données.

Le document vise à clarifier l’application du RGPD et d’ePrivacy dans le contexte des applications mobiles, et à fournir des recommandations opérationnelles à tous les acteurs concernés — éditeurs, développeurs, fournisseurs de SDK, fournisseurs de systèmes d’exploitation, et magasins d’applications — pour renforcer la transparence, la responsabilité et la protection des utilisateurs.

Qu’est-ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité indépendante française chargée de la protection des données.
Elle applique les lois relatives à la vie privée et aux droits numériques, notamment le RGPD et la Loi Informatique et Libertés.

Créée en 1978, la CNIL est l’une des autorités les plus influentes au monde, avec trois missions principales :

• Réglementation & contrôle : enquêtes, audits, amendes, avertissements publics.
• Conseil & recommandations : guides de bonnes pratiques (comme celui sur les applications mobiles).
• Influence politique : participation au Comité européen de la protection des données (CEPD), rôle actif dans l’élaboration des cadres européens.

La CNIL dispose de pouvoirs légaux étendus : contrôles sur site, demandes de documents, ordres correctifs urgents, sanctions pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial.

Le champ d’application de la recommandation

Les lignes directrices s’appliquent à toute application mobile mise à disposition d’utilisateurs en France — sans se limiter aux développeurs français.
« Mise à disposition » signifie :

• Application proposée sur un store français,
• Ciblage spécifique d’utilisateurs français, ou
• Traitement de données personnelles de personnes situées en France.

Cela correspond à l’article 3(2) du RGPD : le règlement s’applique aussi aux organisations non européennes si elles offrent des services ou suivent le comportement de personnes dans l’UE.

Comment et quand la CNIL fera respecter ces règles ?

La CNIL précise :

« Dès le printemps 2025, la CNIL déploiera une campagne spécifique d’investigations sur les applications mobiles afin de vérifier le respect des règles applicables. »

Elle peut mener :

• Audits ciblés et contrôles ponctuels d’applications disponibles en France.
• Un focus particulier sur les apps à fort volume de données, celles destinées aux enfants, ou utilisant des SDK de tracking.
• Des analyses de trafic pour détecter les SDK envoyant des données à des tiers, vérifier l’absence de boutons “Refuser tout” fonctionnels, ou l’abus de “l’intérêt légitime”.

Bref, vous êtes prévenus !

Que disent concrètement les recommandations ?

 Le texte complet (en français, seule version juridiquement opposable) : Recommandation relative aux applications mobiles  Version anglaise : Recommendation on mobile applications.

L’idée clé est que la conformité est une responsabilité partagée entre plusieurs acteurs :

• Éditeurs d’applications : responsables de traitement.
• Développeurs : constructeurs techniques de l’application.
• Fournisseurs de SDK : composants tiers intégrés.
• Fournisseurs de systèmes d’exploitation : Apple iOS, Android, HarmonyOS.
• Magasins d’applications : App Store, Play Store, AppGallery, ou stores alternatifs.

Exemples de recommandations

• Éditeurs :
  
  
  • Limiter les permissions (privacy by default).

• • Cartographier tous les tiers et SDKs.
    
    
  • Obtenir un consentement valide (notamment pour les cookies/trackers).
    
    
  • Respecter les droits des utilisateurs (accès, rectification, suppression).
    
    
  • Garantir la conformité tout au long du cycle de vie de l’app.
    
    
• Développeurs :
  
  
  • Adopter un codage sécurisé.
    
    
  • Éviter les SDKs opaques.
    
    
  • Fournir une documentation claire aux éditeurs.
    
    
• Fournisseurs de SDK :
  
  
  • Décrire précisément le traitement de données.
    
    
  • Fournir des instructions d’intégration conformes.
    
    
  • Ne pas collecter de données personnelles en cachette.
    
    
• OS Vendors :
  
  
  • Assurer des paramètres sécurisés par défaut.
    
    
  • Proposer des outils de gestion des permissions.
    
    
  • Soutenir l’exercice des droits utilisateurs au niveau système.
    
    
• App Stores (y compris alternatifs) :
  
  
  • Vérifier la conformité des apps soumises.

• • Rendre transparent le processus de validation.

• • Permettre aux utilisateurs de signaler les apps non conformes.
    
    

Points saillants

• Couvre à la fois le RGPD (données personnelles) et ePrivacy (accès terminal/trackers).
• Met l’accent sur la distinction entre intérêt légitime, nécessité contractuelle et consentement.
• Alerte sur les dérives liées aux SDKs et aux identifiants mobiles.
• Encourage la minimisation des données, la limitation des finalités, et le contrôle par l’utilisateur.

Comment Approov peut aider à se conformer

Approov aide directement les éditeurs et développeurs à respecter ces exigences en apportant :

1. Minimisation et privacy by design : contrôle d’intégrité des apps et appareils, certificat dynamique, protection des secrets à l’exécution.
2. Attestation de légitimité : tokens temporaires signés, vérification de l’authenticité et de l’environnement.
3. Gouvernance SDK & transparence : pas de collecte de données personnelles, code durci et autoportant.
4. Zéro confiance : secrets/API délivrés uniquement après attestation réussie.
5. Traçabilité & gestion du cycle de vie : métriques, rotation de clés, CLI sécurisée.
6. Distribution & stores : validation renforcée, détection des apps reconditionnées.

Conclusion

Si votre application est disponible en France, vous devez vous conformer aux recommandations de la CNIL.

• La CNIL adopte une posture plus proactive, notamment face aux pratiques de tracking mobile et aux SDKs intrusifs.
• Les obligations ne concernent pas seulement les développeurs français, mais toute application accessible en France.
• Investir dans la conformité CNIL prépare aussi à d’autres marchés réglementés.

Approov accompagne les acteurs mobiles et API pour répondre à ces exigences et renforcer la sécurité.

Nous sommes experts en sécurité des applications mobiles et des API, et notre équipe se fera un plaisir de discuter de vos besoins spécifiques lors d'un appel.

Contactez-nous

 

sécurité des données, La CNIL

George McGregor

Vice-président Marketing, Approov
George est basé dans la région de la baie de San Francisco et possède une vaste expérience en cybersécurité, services cloud et logiciels de communication. Avant de rejoindre Approov, il a occupé des postes de direction chez Imperva, Citrix, Juniper Networks et HP.